|
Problem, Savings Wizard und Awesomehp lassen sich nicht entfernen Ich habe ein kleines großes Problem :daumenrunter: Ich habe mir aus dem i-Net ne verseuchte Datei downloadet die von Norton 360 (Bezahlte Version) als unbedenklich eingestuft wurde. So nach dem installieren dann erstmal die doch relativ gewohnte bösen Überraschung das es ein Paket voll mit Adware und sonstigem Schrott war der sich sofort eingenistet hat auf dem PC. Ich habe neben Norton noch Malwarebytes und Adwcleaner drauf diese 3 Programme schaffen es aber einfach nicht den Müll ausfindig zu machen und zu löschen. Im Falle von Awesomehp handelt es sich um eine Hartnäckige Startseite die im Internet Explorer und in Firefox festklebt und sich nicht über Addons enfernen lässt da darunter nichts zu finden ist. Savings Wizard ist da sogar noch schlimmer. Er sitzt im Google Chrome Browser fest und lässt sich werder mit Geek noch mit Eraser noch mit iObit entfernen. Wenn ich die Datei unter %LOCALAPPDATA% lösche dann ist er zwar nicht mehr aktiviert aber er kommt nach der Neuinstallation von Chrome wieder drauf. Ich bin mächtig am verzweifel da ich meistens Chrome nutzte und darunter auch auf das Online Banking zugreife. Jemand eine passende Antwort?? Bitte :headbang::wtf: |
Hi, mach bitte Folgendes: Schritt 1 Downloade dir bitte
Schritt 2 Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop:  FRST 32-Bit | FRST 64-Bit(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
|
Shortcut Cleaner: Shortcut Cleaner 1.2.8 by Lawrence Abrams (Grinler) hxxp://www.bleepingcomputer.com/ Copyright 2008-2014 BleepingComputer.com More Information about Shortcut Cleaner can be found at this link: hxxp://www.bleepingcomputer.com/download/shortcut-cleaner/ Windows Version: Windows 8.1 Program started at: 01/31/2014 04:53:51 PM. Scanning for registry hijacks: * No issues found in the Registry. Searching for Hijacked Shortcuts: Searching C:\Users\Marcel\AppData\Roaming\Microsoft\Windows\Start Menu\ * Shortcut Cleaned: C:\Users\Marcel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk => C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.awesomehp.com/?type=sc&ts=1391110188&from=amt&uid=3219913727_198339_C04AC7F4 Searching C:\ProgramData\Microsoft\Windows\Start Menu\ Searching C:\Users\Marcel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ * Shortcut Cleaned: C:\Users\Marcel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk => C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.awesomehp.com/?type=sc&ts=1391110188&from=amt&uid=3219913727_198339_C04AC7F4 * Shortcut Cleaned: C:\Users\Marcel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk => C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.awesomehp.com/?type=sc&ts=1391110188&from=amt&uid=3219913727_198339_C04AC7F4 Searching C:\Users\Public\Desktop\ Searching C:\Users\Marcel\Desktop 3 bad shortcuts found. Program finished at: 01/31/2014 04:53:53 PM Execution time: 0 hours(s), 0 minute(s), and 1 seconds(s) Addition TextdateiFRST Additions Logfile: Code: Additional scan result of Farbar Recovery Scan Tool (x64) Version: 29-01-2014 01FRST Textdatei FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 29-01-2014 01 |
Welche Probleme bestehen nach folgendem Fix noch? Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code: HKLM-x32\...\Run: [mobilegeni daemon] - C:\Program Files (x86)\Mobogenie\DaemonProcess.exeSpeichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
|
Awesomehp ist wohl zugrunde gegangen aber Savings Wizard hat sich erneut in Chrome eingenistet und wird durch "Unternehmensrichtlinien installiert" geschützt. Zwar wurde das Programm durch FRST beschädigt aber restlos verschwunden ist es nicht. Savings Wizard kommt nach dem löschen von chrome und neuinstallion wieder! Habe es getestet http://abload.de/img/wichtigrysbx.jpg Fixlog Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 29-01-2014 01 Ran by Marcel at 2014-01-31 18:46:02 Run:1 Running from C:\Users\Marcel\Desktop Boot Mode: Normal ============================================== Content of fixlist: ***************** HKLM-x32\...\Run: [mobilegeni daemon] - C:\Program Files (x86)\Mobogenie\DaemonProcess.exe HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.awesomehp.com/web/?type=ds&ts=1391110188&from=amt&uid=3219913727_198339_C04AC7F4&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.awesomehp.com/?type=hp&ts=1391110188&from=amt&uid=3219913727_198339_C04AC7F4 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.awesomehp.com/?type=hp&ts=1391110188&from=amt&uid=3219913727_198339_C04AC7F4 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.awesomehp.com/web/?type=ds&ts=1391110188&from=amt&uid=3219913727_198339_C04AC7F4&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.awesomehp.com/web/?type=ds&ts=1391110188&from=amt&uid=3219913727_198339_C04AC7F4&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.awesomehp.com/?type=hp&ts=1391110188&from=amt&uid=3219913727_198339_C04AC7F4 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.awesomehp.com/?type=hp&ts=1391110188&from=amt&uid=3219913727_198339_C04AC7F4 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.awesomehp.com/web/?type=ds&ts=1391110188&from=amt&uid=3219913727_198339_C04AC7F4&q={searchTerms} BHO: Savings Wizard BHO - {5682CA62-1A80-40AE-82A0-B67833CE75FF} - C:\Program Files (x86)\Savings Wizard\FrameworkBHO64.dll No File FF DefaultSearchEngine: awesomehp FF SelectedSearchEngine: awesomehp CHR Extension: (Savings Wizard) - C:\Users\Marcel\AppData\Local\Google\Chrome\User Data\Default\Extensions\ajakpekbmnkgnjbpajgkdhimcbeoocam [2014-01-31] S2 IePluginService; C:\ProgramData\IePluginService\PluginService.exe -service [x] 2014-01-30 20:33 - 2014-01-30 20:34 - 00000000 ____D C:\Users\Marcel\AppData\Local\Mobogenie 2014-01-30 20:33 - 2014-01-30 20:33 - 00000000 ____D C:\Users\Marcel\Documents\Mobogenie 2014-01-30 20:33 - 2014-01-30 20:33 - 00000000 ____D C:\Users\Marcel\AppData\Local\genienext 2014-01-30 20:33 - 2014-01-30 20:33 - 00000000 ____D C:\Users\Marcel\.android 2014-01-30 20:33 - 2014-01-30 20:33 - 00000000 _____ C:\Users\Marcel\daemonprocess.txt 2014-01-30 20:32 - 2014-01-30 22:30 - 00000000 ____D C:\ProgramData\WPM 2014-01-30 20:32 - 2014-01-30 22:30 - 00000000 ____D C:\Program Files (x86)\SupTab 2014-01-30 20:32 - 2014-01-30 20:35 - 00000000 __SHD C:\WINDOWS\SysWOW64\AI_RecycleBin 2014-01-30 20:32 - 2014-01-30 20:35 - 00000000 ____D C:\Users\Marcel\Documents\RegistryDr 2014-01-30 20:32 - 2014-01-30 20:35 - 00000000 ____D C:\Program Files (x86)\Registry Dr 2014-01-30 20:32 - 2014-01-30 20:34 - 00000000 ____D C:\Program Files (x86)\Mobogenie 2014-01-30 20:29 - 2014-01-30 23:34 - 00000000 ____D C:\Program Files (x86)\Bench 54.204.28.26 ajakpekbmnkgnjbpajgkdhimcbeoocam Task: {2CEAAAFD-535C-44E5-83DF-C22E21347A56} - \UpdaterEX No Task File ***************** HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\mobilegeni daemon => Value deleted successfully. HKLM\Software\\Microsoft\Internet Explorer\Main\\Default_Search_URL => Value was restored successfully. HKLM\Software\\Microsoft\Internet Explorer\Main\\Default_Page_URL => Value was restored successfully. HKLM\Software\\Microsoft\Internet Explorer\Main\\Start Page => Value was restored successfully. HKLM\Software\\Microsoft\Internet Explorer\Main\\Search Page => Value was restored successfully. HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main\\Default_Search_URL => Value was restored successfully. HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main\\Default_Page_URL => Value was restored successfully. HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main\\Start Page => Value was restored successfully. HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main\\Search Page => Value was restored successfully. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5682CA62-1A80-40AE-82A0-B67833CE75FF} => Key deleted successfully. HKCR\CLSID\{5682CA62-1A80-40AE-82A0-B67833CE75FF} => Key deleted successfully. Firefox DefaultSearchEngine deleted successfully. Firefox SelectedSearchEngine deleted successfully. C:\Users\Marcel\AppData\Local\Google\Chrome\User Data\Default\Extensions\ajakpekbmnkgnjbpajgkdhimcbeoocam => Moved successfully. IePluginService => Service deleted successfully. C:\Users\Marcel\AppData\Local\Mobogenie => Moved successfully. C:\Users\Marcel\Documents\Mobogenie => Moved successfully. C:\Users\Marcel\AppData\Local\genienext => Moved successfully. C:\Users\Marcel\.android => Moved successfully. C:\Users\Marcel\daemonprocess.txt => Moved successfully. C:\ProgramData\WPM => Moved successfully. C:\Program Files (x86)\SupTab => Moved successfully. C:\WINDOWS\SysWOW64\AI_RecycleBin => Moved successfully. C:\Users\Marcel\Documents\RegistryDr => Moved successfully. C:\Program Files (x86)\Registry Dr => Moved successfully. C:\Program Files (x86)\Mobogenie => Moved successfully. C:\Program Files (x86)\Bench => Moved successfully. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{2CEAAAFD-535C-44E5-83DF-C22E21347A56} => Key deleted successfully. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2CEAAAFD-535C-44E5-83DF-C22E21347A56} => Key deleted successfully. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\UpdaterEX => Key deleted successfully. ==== End of Fixlog ==== |
Ok. Schritt 1 ESET Online Scanner
Schritt 2 Starte noch einmal FRST.
|
ESET ESETSmartInstaller@High as downloader log: all ok # version=8 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6920 # api_version=3.0.2 # EOSSerial=3e4807528956464595518344ce647eb1 # engine=16889 # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=false # unsafe_checked=false # antistealth_checked=true # utc_time=2014-01-31 09:35:03 # local_time=2014-01-31 10:35:03 (+0100, Mitteleuropäische Zeit) # country="Germany" # lang=1033 # osver=6.2.9200 NT # compatibility_mode=3592 16777213 100 88 48953 141866599 0 0 # compatibility_mode=5893 16776574 100 94 5761595 14037805 0 0 # scanned=253714 # found=1 # cleaned=0 # scan_time=3414 sh=BF79D5C0175D384675C98D0ED5DC13FFFDF07807 ft=1 fh=71ae7b54df38edf4 vn="a variant of Win32/Skintrim.LT trojan" ac=I fn="C:\Users\Marcel\AppData\Local\Microsoft\Windows\INetCache\IE\RDN4IIAP\download[1].php" FRST FRST Logfile: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 29-01-2014 01--- --- --- schade das mir da keiner helfen kann... |
Sorry für die Verzögerung. Welche Probleme bestehen jetzt noch? |
Savings Wizard ist immer noch Aktiv und sitzt im System (bild oben)damit meine ich wenn ich Chrome deinstalliere und wieder neu installiere dann ist er erneut in Chrome drinne allerdings wieder mit Icon und Ordner im chrome local ordner |
Das sollte jetzt erkennt werden: Starte noch einmal FRST.
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:08 Uhr. |
Copyright ©2000-2025, Trojaner-Board
