Adware, Spyhunter und co
 

Guten Abend,
folgendes Problem: hab mir beim Runterladen einer Software Adware eingefangen. Um diese wieder loszuwerden werden habe ich dann Spyhunter runtergeladen (nicht sehr schlau wie ich nun festgestellt habe :)) dannach funktionierte nichts mehr, Outlook schleppend, Internet schleppend etc. ... Dann bin ich auf eure Seite gestoßen und hab mir einige vorhandenen Posts durchgelesen und mir dann REVO Uninstaller runtergeladen. War ganz happy und konnte dann auch den SPYHUNTER löschen. Nur jetzt habe ich plötzlich beim Surfen wieder jede Menge Adware, die ständig aufploppt. Habe versucht awecleaner wie von euch empfohlen runterzuladen, aber funktioniert auch nicht. Obwohl firewall augeschalten, jedesfall "fehlgeschlagen". Hilfe, was kann ich tun. Auch Outlook funktioniert nicht einwandfrei.

:hallo:

Mein Name ist Sandra und ich werde Dir bei Deinem Problem behilflich sein.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig durch bevor Du beginnst. Wenn es Probleme gibt oder Du etwas nicht verstehst, dann stoppe mit Deiner Ausführung und beschreibe mir das Problem
• Führe bitte nur Scans durch zu denen Du von mir aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert.
• Poste die Logfiles direkt in deinen Thread in Code-Tags.
• Bedenke, dass wir hier alle während unserer Freizeit tätig sind, wenn du innerhalb von 2 Tagen nichts von mir hörst, dann schreibe mir bitte eine PM.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der schnellere und bei einem Befall durch Malware immer der sicherste Weg. Adware lässt sich in den allermeisten Fällen problemlos entfernen.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis Dir jemand vom Team sagt, dass Du clean bist.

Posten in Code Tags
Bitte füge die Logs immer in Code-Tags ein. Wenn Du das nicht machst, erschwert es mir sehr das Auswerten. Danke.
Dazu:

• Klicke über dem Antwortfenster auf die Raute #, dann steht dort in eckigen Klammern [] CODE /CODE.
• Zwischen den beiden code-Bausteinen fügst Du dann deine Logfiles ein. Also CODE Logfile /CODE
• Wenn die Logs zu lang sein sollten, dann teile sie bitte auf und poste sie dann hier in Deinem Thread, notfalls in mehreren Antworten.

Schritt 1
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Vielen Dank für Deine Nachricht.
Leider lässt sich keine der Farbar's Recovery Scan Tool runterladen. Es komt die Meldung, dass die Datei beschädigt und nicht lesbar ist und das bei beiden Versionen.

Hast du die Möglichkeit dir die an einem anderen Computer runterzuladen und via USB-Stick auszuführen?

CODE can result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 29-02-2015
Ran by Belinda (administrator) on AUGENSTERN on 01-03-2015 19:46:20
Running from E:\
Loaded Profiles: Belinda (Available profiles: Belinda)
Platform: Windows 8 (X64) OS Language: Deutsch (Deutschland)
Internet Explorer Version 10 (Default browser: FF)
Boot Mode: Normal
Tutorial for Farbar Recovery Scan Tool: FRST Tutorial - How to use Farbar Recovery Scan Tool - Malware Removal Guides and Tutorials

==================== Processes (Whitelisted) =================

(If an entry is included in the fixlist, the process will be closed. The file will not be moved.)


CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION

==================== Internet (Whitelisted) ====================

(If an item is included in the fixlist, if it is a registry item it will be removed or restored to default.)

HKU\S-1-5-21-2990914698-57978162-3136459285-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://sony13.msn.com
HKU\S-1-5-21-2990914698-57978162-3136459285-1001\Software\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = CountrySelector - Sony
SearchScopes: HKLM -> DefaultScope value is missing.
SearchScopes: HKLM -> {0b4d26f6-61a8-4463-99dd-5f2fe0400fa6} URL = hxxp://binkiland.com/results.php?f=4&q={searchTerms}&a=bnk_ir_15_09&cd=2XzuyEtN2Y1L1Qzu0AyEtCyBtAtC0C0AtBtAtAyC0BzyyE0FtN0D0Tzu0StCtCyDtBtN1L2XzutAtFzztFtBtFtDtN1L1CzutCyE tBzytDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2StDtAtDzy0A0E0D0CtG0DtDyB0BtG0DyEzz0DtG0F0ByDyBtGtCtBzztC0B0C0AtByByD0CtD2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0E0CzzzyyByEyDyBtG zzzy0B0CtGyEzy0A0DtGzyyD0CyDtGzzyByDtDyE0AyEyB0DtCyEyE2QtN1B2Z1V1T1S1NzuyDyDyE&cr=530313040&ir=
SearchScopes: HKLM-x32 -> DefaultScope value is missing.
SearchScopes: HKU\S-1-5-21-2990914698-57978162-3136459285-1001 -> DefaultScope {09BED6AF-DA71-4384-9E1C-7ACE8CC0BED4} URL = hxxp://binkiland.com/results.php?f=4&q={searchTerms}&a=bnk_ir_15_09&cd=2XzuyEtN2Y1L1Qzu0AyEtCyBtAtC0C0AtBtAtAyC0BzyyE0FtN0D0Tzu0StCtCyDtBtN1L2XzutAtFzztFtAtFtDtN1L1CzutCyE tBzytDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2SyCzyzz0AyD0F0BzytGyByD0CyBtGyDtDtBtBtG0EyDyByCtGtB0FyEtA0E0A0AtDzyyE0AyE2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0E0CzzzyyByEyDyBtG zzzy0B0CtGyEzy0A0DtGzyyD0CyDtGzzyByDtDyE0AyEyB0DtCyEyE2QtN1B2Z1V1T1S1NzuyDyDtA&cr=1646365220&ir=
SearchScopes: HKU\S-1-5-21-2990914698-57978162-3136459285-1001 -> {09BED6AF-DA71-4384-9E1C-7ACE8CC0BED4} URL = hxxp://binkiland.com/results.php?f=4&q={searchTerms}&a=bnk_ir_15_09&cd=2XzuyEtN2Y1L1Qzu0AyEtCyBtAtC0C0AtBtAtAyC0BzyyE0FtN0D0Tzu0StCtCyDtBtN1L2XzutAtFzztFtAtFtDtN1L1CzutCyE tBzytDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2SyCzyzz0AyD0F0BzytGyByD0CyBtGyDtDtBtBtG0EyDyByCtGtB0FyEtA0E0A0AtDzyyE0AyE2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0E0CzzzyyByEyDyBtG zzzy0B0CtGyEzy0A0DtGzyyD0CyDtGzzyByDtDyE0AyEyB0DtCyEyE2QtN1B2Z1V1T1S1NzuyDyDtA&cr=1646365220&ir=
SearchScopes: HKU\S-1-5-21-2990914698-57978162-3136459285-1001 -> {0b4d26f6-61a8-4463-99dd-5f2fe0400fa6} URL = hxxp://binkiland.com/results.php?f=4&q={searchTerms}&a=bnk_ir_15_09&cd=2XzuyEtN2Y1L1Qzu0AyEtCyBtAtC0C0AtBtAtAyC0BzyyE0FtN0D0Tzu0StCtCyDtBtN1L2XzutAtFzztFtBtFtDtN1L1CzutCyE tBzytDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2StDtAtDzy0A0E0D0CtG0DtDyB0BtG0DyEzz0DtG0F0ByDyBtGtCtBzztC0B0C0AtByByD0CtD2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0E0CzzzyyByEyDyBtG zzzy0B0CtGyEzy0A0DtGzyyD0CyDtGzzyByDtDyE0AyEyB0DtCyEyE2QtN1B2Z1V1T1S1NzuyDyDyE&cr=530313040&ir=
SearchScopes: HKU\S-1-5-21-2990914698-57978162-3136459285-1001 -> {EF20A1E8-AAE8-42E1-866E-F239D5521FF2} URL = hxxp://rover.ebay.com/rover/1/5221-29898-16445-29/4?mpre=hxxp://shop.ebay.at/?oemInLn=ieSrch-Q113&_nkw={searchTerms}
BHO: Groove GFS Browser Helper -> {72853161-30C5-4D22-B7F9-0BBC1D38A37E} -> C:\Program Files\Microsoft Office\Office14\GROOVEEX.DLL (Microsoft Corporation)
BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files\Java\jre7\bin\ssv.dll (Oracle Corporation)
BHO: CIESpeechBHO Class -> {8D10F6C4-0E01-4BD4-8601-11AC1FDF8126} -> C:\Program Files (x86)\Bluetooth Suite\IEPlugIn.dll (Qualcomm Atheros Commnucations)
BHO: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)
BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
BHO-x32: Groove GFS Browser Helper -> {72853161-30C5-4D22-B7F9-0BBC1D38A37E} -> C:\Program Files (x86)\Microsoft Office\Office14\GROOVEEX.DLL (Microsoft Corporation)
BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files (x86)\Java\jre7\bin\ssv.dll (Oracle Corporation)
BHO-x32: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files (x86)\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)
BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
StartMenuInternet: IEXPLORE.EXE - iexplore.exe

FireFox:
========
FF ProfilePath: C:\Users\Belinda\AppData\Roaming\Mozilla\Firefox\Profiles\wn4ahi2l.default-1423560353235
FF Plugin: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF64_16_0_0_305.dll ()
FF Plugin: @java.com/DTPlugin,version=10.9.2 -> C:\Windows\system32\npDeployJava1.dll (Oracle Corporation)
FF Plugin: @java.com/JavaPlugin,version=10.9.2 -> C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files\Microsoft Silverlight\5.1.30514.0\npctrl.dll ( Microsoft Corporation)
FF Plugin: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~1\MICROS~1\Office14\NPAUTHZ.DLL (Microsoft Corporation)
FF Plugin-x32: @adobe.com/FlashPlayer -> C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_16_0_0_305.dll ()
FF Plugin-x32: @intel-webapi.intel.com/Intel WebAPI ipt;version=2.1.42 -> C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\IPT\npIntelWebAPIIPT.dll (Intel Corporation)
FF Plugin-x32: @intel-webapi.intel.com/Intel WebAPI updater -> C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\IPT\npIntelWebAPIUpdater.dll (Intel Corporation)
FF Plugin-x32: @java.com/DTPlugin,version=10.9.2 -> C:\Windows\SysWOW64\npDeployJava1.dll (Oracle Corporation)
FF Plugin-x32: @java.com/JavaPlugin,version=10.9.2 -> C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF Plugin-x32: @mcafee.com/McAfeeMssPlugin -> C:\Program Files (x86)\Sony\MSS\3.8.130\npMcAfeeMss.dll No File
FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files (x86)\Microsoft Silverlight\5.1.30514.0\npctrl.dll ( Microsoft Corporation)
FF Plugin-x32: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~2\MICROS~1\Office14\NPAUTHZ.DLL (Microsoft Corporation)
FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~2\MICROS~1\Office14\NPSPWRAP.DLL (Microsoft Corporation)
FF Plugin-x32: @WildTangent.com/GamesAppPresenceDetector,Version=1.0 -> C:\Program Files (x86)\WildTangent Games\App\BrowserIntegration\Registered\0\NP_wtapp.dll ()
FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF user.js: detected! => C:\Users\Belinda\AppData\Roaming\Mozilla\Firefox\Profiles\wn4ahi2l.default-1423560353235\user.js
FF Extension: No Name - C:\Users\Belinda\AppData\Roaming\Mozilla\Firefox\Profiles\wn4ahi2l.default-1423560353235\Extensions\{b6a94784-0ffb-4121-88c6-435139067ee2}.xpi [2015-02-26]
FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK
FF Extension: No Name - C:\Users\Belinda\AppData\Roaming\Mozilla\Firefox\Profiles\wn4ahi2l.default-1423560353235\extensions\{b6a94784-0ffb-4121-88c6-435139067ee2}.xpi [2015-02-26]
StartMenuInternet: FIREFOX.EXE - firefox.exe

==================== NetSvcs (Whitelisted) ===================

(If an item is included in the fixlist, it will be removed from the registry. Any associated file could be listed separately to be moved.)


==================== Files in the root of some directories =======

2015-02-26 21:45 - 2015-02-26 22:14 - 0000057 _____ () C:\Users\Belinda\AppData\Roaming\WB.CFG

==================== Bamital & volsnap Check =================

(There is no automatic fix for files that do not pass verification.)

C:\Windows\System32\winlogon.exe => File is digitally signed
C:\Windows\System32\wininit.exe => File is digitally signed
C:\Windows\explorer.exe => File is digitally signed
C:\Windows\SysWOW64\explorer.exe => File is digitally signed
C:\Windows\System32\svchost.exe => File is digitally signed
C:\Windows\SysWOW64\svchost.exe => File is digitally signed
C:\Windows\System32\services.exe => File is digitally signed
C:\Windows\System32\User32.dll => File is digitally signed
C:\Windows\SysWOW64\User32.dll => File is digitally signed
C:\Windows\System32\userinit.exe => File is digitally signed
C:\Windows\SysWOW64\userinit.exe => File is digitally signed
C:\Windows\System32\rpcss.dll => File is digitally signed
C:\Windows\System32\Drivers\volsnap.sys => File is digitally signed


LastRegBack: 2015-02-22 21:43

==================== End Of Log ============================/CODE

Additional text:

Hmm,
wie alt ist der Rechner?

Schritt 1
Überprüfen der Festplatte mit chkdsk

• Drücke gleichzeitig die Windowstaste und R, es öffnet sich das Ausführen-Fenster
• gebe dort ein
  Code:

  ---

  cmd

  ---

  und drücke dann Strg, Shift (Taste darüber) und Enter gleichzeitig, bestätige
• Kopiere folgendes aus der Code-Box in die Eingabezeile
  
  Code:

  ---

  chkdsk c: /f /r

  ---

• starte den Rechner neu, nun wird Windows mit der Untersuchung der Festplatte beginnen, dieses kann etwas dauern.

vielen Dank für die Antwort. ich werde es gleich probieren. Der REchner ist knapp 2 jahre alt, war aber bis vor ein paar Tagen kaum im Gebrauch und dann habe ich mir diesen blöden Virus eingefangen. Glaubst Du, es ist etwas gröberes kaputt?

ich komme dann auf einen schwarzen Bildschirm, auf welchem dann c: users Belinda steht.
Dort habe ich den Code wie von Dir angegeben eingegeben. Leider sagt er mir, dass ich nicht über genügend Berechtigungen verfüge um dieses Hilfprogramm auszuführen :nono:

Lies bitte nochmal die Anleitung, hast du nachdem du cmd eingegeben hast STRG, Shift und Enter gedrückt? Dann sollte sich die Konsole als Admin öffen.

Ja, ich habe nachdem ich cmd eingegeben habe, die Tastenkombi wie von Dir angegeben gedrückt und es öffnet sich dieser schwarze Bildschirm in welchem aber bereits c: users belinda steht und sich auch nicht löschen lässt.

ich habe es auf meinem anderen Computer auch versucht, aber auch hier öffnet sich der Bildschirm mit einem Usernamen.:heulen:

Ja, das ist ja auch richtig, so ein schwarzes Fenster wo oben dann steht Administrator und dann ein Verzeichnispfad und da kopierst du dann eben rein

So sieht es bei mir aus, nachdem ich die von dir angegebene Tastenkombi verwende ...

Dann startest du das Teil aber nicht als Administrator...

Machen wir das anders:

Windowsbutton unten links > alle Programme > Zubehör > dann rechtsklick auf Eingabeaufforderung und da dann als Administrator ausführen und dann

sorry Verzweiflung. ich arbeite mit Windows 8 und da gibt es das windowssymbol im linken eck nicht mehr!!! hast du eine Idee???

juhu... ich habs gefunden und geschafft. jetzt lass ich es laufen und melde mich dann wieder. vielen dank mal für Deine Mühe.

Schön :D und kann dauern :)

Guten Morgen Sandra,

so, hat etwas gedauert. Nun ist es fertig. Was soll ich jetzt machen? Schönen Tag

Hallo Sandra! Nur zur Info die Probleme haben sich sehr reduziert, aber z.b. beim Mail tauchen noch immer Troubles auf. Liebe Grüße Belinda

Hallo,

das freut mich zu lesen.

Schritt 1
Schau jetzt bitte nach dem Log.

• Drücke dazu die Windowstaste +R
• gebe dort folgendes ein
  Code:

  ---

  eventvwr.msc

  ---

  und drücke Enter
• es öffnet sich ein neues Fenster
• dort bitte auf Windowsprotokolle > Anwendung (hier rechtsklich und Suchen auswählen
• jetzt
  Code:

  ---

  chkdsk

  ---

  eingeben und auf Suchen drücken
• wenn die Suche abgeschlossen wurde wird jetzt das Log angeziegt
• jetzt bitte auf Kopieren gehen (findest du mittig unten rechts) und dann hier das Log mittels drücken der STRG+V Taste einfügen

Schritt 2
Überprüfen der Systemdateien mit sfc scannow

• Drücke nochmals gleichzeitig die Windowstaste und R, es öffnet sich wieder das Ausführen-Fenster
• Kopiere folgendes aus der Code-Box in die Eingabezeile
  
  Code:

  ---

  sfc /scannow

  ---

• der Computer wird mit der Überprüfung und gegebenenfalls Herstellung der Systemdateien beginnen

und nun bitte ein neues FRST-log

Schritt 3
Starte noch einmal FRST.

• Setze den Haken bei addition.txt und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, werden zwei neue Logfiles FRST.txt und addition.txt erstellt und auf dem Desktop (oder in dem Verzeichnis in dem FRST liegt) gespeichert.
• Poste den Inhalt dieser Logfiles bitte hier in deinen Thread.

So hoffe hab das richtige generiert. Denn bei Anwendung war bei mir nicht die Funktion suchen, sondern nur "öffnen". Habe also zuerst "öffnen" gemacht und dann konnte ich rechts "Suchen" aussuchen. hoffe es passt so.


FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---

Hallo,

das Log sieht doch schon mal sehr viel besser aus als das erste zumindest was die Funktionalität von Windows angeht.

Ich möchte dir ans Herz legen eben noch deine Festplatte zu testen:
Schritt 1
Festplatte überprüfen.

• Lade dir von hier CrystalDiskInfo herunter,
• Installiere das Programm auf deinem Rechner
• Starte nun CrystalDiskInfo
  Wenn das Programm deine Festplatte untersucht hat, öffnet sich ein Fenster mit den Daten
• Gehe nun auf Optionen und wähle den Punkt Seriennummer verstecken aus
• Gehe nun auf Bearbeiten und wähle kopieren
• Kopiere die Informationen aus der Zwischenablage nun mit der Tastenkombination Strg-V hier in deinen Thread (alternativ mit: rechtsklick Einfügen)

Tja und dann muss ich dir leider mitteilen, dass du einen Crack auf deinen Rechner hast und deswegen kann ich dir nicht weiterhelfen:
Die von mir gelisteten Einträge deuten stark darauf hin, dass auf diesem Rechner Software benutzt wird, die nicht legal erworben wurde.

Supportunterbrechung

Hallo Sandra,

danke für Deine Info.
Mhhh, welche Art von Software sollte denn illegal sein??
Denn eigentlich wüsste ich nicht welche.

Soll ich das File jetzt trotzdem posten oder was soll ich löschen, damit wir weiter machen können?

Danke und liebe Grüße

Der Crack muss auf jeden Fall runter.

MultiKMS ist normalerweise ein Crack um die Office-Aktivierung zu umgehen

okay, alles klar.
Das muss ich jetzt mit der Person klären, von der ich den Computer gekauft habe....

vielen Dank mal für Deine Hilfe

Ok. Wär schön, wenn du dich noch mal meldest und wir hier fortfahren können.