Bobrowser
 

Hallo an Alle,

ich habe auf meinem Laptop diesen Bobrowser..wenn ich ein Dokument öffnen will, erscheint immer Bobrowser HTML..unter systemsteuerung programme hatte ich das bereits deinstalliert, irgendwie werde ich das nicht los und weiß nicht, was ich machen muss.

Habe leider wenig Pc-Kenntnisse...bitte um Hilfe :-) Wer kann mir dabei helfen?
Vielen Dank...

hi,


Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Ok mache ich sofort

Ich habe eine Meldung bekommen auf englisch, ob ich es zulassen soll?

Ich habe eine Meldung bekommen auf englisch, ob ich das zullassen soll?

Ich habe eine Meldung bekommen, ob ich das zulassen soll?

Sorry, wollte eigentllich nur einmal schreiben :-)

FRST Additions Logfile:
--- --- ---


FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---


FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

FRST Additions Logfile:
--- --- ---


So ich glaube das wars..was soll ich bitte nach dem Posten machen?

Hi,
ich will nicht nerven, aber warum krieg ich keine Antwort?

Weil es Leute gibt die neben der Spielerei hier auch noch richtige Arbeit haben ;)


Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Combofix Logfile:
--- --- ---
A36C5E4F47E84449FF07ED3517B43A31

So alles glaub ich gemacht :-)
Vielen Dank Schrauber

Was muss ich jetzt machen?

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

und ein frisches FRST log bitte.

Hallo Schrauber MBAM hat gemeldet, gar kein Fund.

jetzt läuft Adwcleaner

Bei Adwcleaner hab ich das Gefühl tut sich gar nichts, seit über einer Std. steht tMelduing...Warte auf eine Aktion...ist das ok so?

Danke nochmals

Wie gesagt bei AdwCleaner tut sich wirklich nichts...soll ich jetzt den nächsten Schritt machen?

Anleitung lesen ;)

Auf Scannen klicken, dann auf Löschen klicken :)

Bei AdwC gibt es nur die Möglichkeit Suchlauf...

So ich habe es jetzt nochmal runtergeladen und nach Anleitung erneut den Suchlauf gestartet..es tut sich nichts....ich versteh das nicht

Screenshot von der Adw Oberfläche bitte, von dem was Du siehst. Ich benutz das Tool 4000mal am Tag, da ist ein Button Suchen (oder Suchlauf) dann wird gesucht, danach heisst es "warte auf Aktion", das bedeutet übersetzt, ich warte drauf dass der User endlich auf den Löschen Button drückt, damit ich löschen und Feierabend machen kann ;)

AdwCleaner Logfile:
--- --- ---


Ok jetzt habe ich esJRT Logfile:
--- --- ---


FRST Additions Logfile:
--- --- ---

So alles erledigt..wenn ich ein Dokument öffnen will, kommt immer noch die Meldung Bobrowser HTML...

Frisches FRST log bitte noch, Du hast ne Addition.txt gepostet.

Hallo Schrauber,

ich versteh nicht ganz, was muss ich denn jetzt machen, um dieses frische FRST log zu kriegen?

FRST öffnen und auf Scannen drücken :)

Eigentlich hatte ich es genauso gemacht, na ja hab es jetzt erneut gemacht.....
Gruß Balim


FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

Du siehst aber doch hoffentlich selbst den Unterschied zwischen dem Log jetzt und dem von dir geposteten ;)



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

und ein frisches FRST log bitte. Noch Probleme? :)

ESETSmartInstaller@High as downloader log:
all ok
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.7623
# api_version=3.0.2
# EOSSerial=3294bd135084c343b90cce7a7a8ab494
# engine=23244
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2015-04-05 01:58:40
# local_time=2015-04-05 03:58:40 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode_1=''
# compatibility_mode=5893 16776574 100 94 3104533 179872170 0 0
# scanned=153725
# found=20
# cleaned=0
# scan_time=3944
sh=5DDF3496088CB6522824807CCDF072E36B284840 ft=1 fh=41f3df3104ca837e vn="Variante von Win32/Adware.MultiPlug.HW Anwendung" ac=I fn="C:\$RECYCLE.BIN\S-1-5-21-3219620770-197578698-1071931620-1000\$R942V5J.exe"
sh=3B95C8AFECF3F7F21FD166C3DBA1E0B3F8E4A2A7 ft=1 fh=41f3df314ede3f40 vn="Variante von Win32/Adware.MultiPlug.HW Anwendung" ac=I fn="C:\$RECYCLE.BIN\S-1-5-21-3219620770-197578698-1071931620-1000\$RACCLO9.exe"
sh=A44BBE9F1ADD3C011245D735A81089C847147270 ft=1 fh=41f3df3149242713 vn="Variante von Win32/Adware.MultiPlug.HW Anwendung" ac=I fn="C:\$RECYCLE.BIN\S-1-5-21-3219620770-197578698-1071931620-1000\$RAVN1KO.exe"
sh=F8C65BCD76546BEF2257AFB90B032EC43BDEF15E ft=1 fh=e287ed49477546ff vn="Win32/Systweak.K evtl. unerwünschte Anwendung" ac=I fn="C:\$RECYCLE.BIN\S-1-5-21-3219620770-197578698-1071931620-1000\$RC5QICE.exe"
sh=724A58F7FBBB8182D5DD87B2C3A0303E18E407B3 ft=1 fh=41f3df31751a4713 vn="Variante von Win32/Adware.MultiPlug.HW Anwendung" ac=I fn="C:\$RECYCLE.BIN\S-1-5-21-3219620770-197578698-1071931620-1000\$RKY1FJY.exe"
sh=6146A62667B95038CBCAC69E205B45624B1403D2 ft=1 fh=41f3df31ddc2c02b vn="Variante von Win32/Adware.MultiPlug.GX Anwendung" ac=I fn="C:\$RECYCLE.BIN\S-1-5-21-3219620770-197578698-1071931620-1000\$RV3EBBS.exe"
sh=13634F115940FC85BDB3EC054E87996BC2A37237 ft=1 fh=41f3df3131ec58de vn="Variante von Win32/Adware.MultiPlug.HW Anwendung" ac=I fn="C:\$RECYCLE.BIN\S-1-5-21-3219620770-197578698-1071931620-1000\$RWQM5PJ.exe"
sh=91D0AEDDA4E51B1A4F0FECE104083179D52D5618 ft=1 fh=790cb7a16dcf0f95 vn="Variante von Win32/ReImageRepair.E evtl. unerwünschte Anwendung" ac=I fn="C:\$RECYCLE.BIN\S-1-5-21-3219620770-197578698-1071931620-1000\$RXYD0DM.exe"
sh=B06EE6E97D30DB38C3E8FEA66B396DB00EC79616 ft=0 fh=0000000000000000 vn="JS/Toolbar.Crossrider.B evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Users\Ergan\AppData\Local\BoBrowser\Application\36.0.1985.136\default_apps\crossbrowser.crx.vir"
sh=05F6C33F5A45CD34A9CAF61E295E886922448732 ft=0 fh=0000000000000000 vn="JS/Toolbar.Crossrider.B evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Users\Ergan\AppData\Local\BoBrowser\Application\36.0.1985.136\Installer\chrome.7z.vir"
sh=03517F89D3F20D2D4E2B1A956F8248C9DA9FFC18 ft=0 fh=0000000000000000 vn="JS/Toolbar.Crossrider.B evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Users\Ergan\AppData\Local\BoBrowser\User Data\Default\Extensions\ebpeonjdeofpjegbdiibbdjlgfohngee\1.26.14_1\extensionData\plugins\91.js.vir"
sh=C7BABD68507D2D1CE674558BA82D9F9F3AED0098 ft=1 fh=5ea21da900efcf02 vn="Variante von Win64/Systweak.A evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Windows\System32\roboot64.exe.vir"
sh=DCA213C540EF001778FAEB054F2FE44C982E59E1 ft=1 fh=291e8864a1370e5c vn="Variante von Win32/InstallMonetizer.BC evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Ergan\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\QLNJOJN2\2015022855185[1].exe"
sh=E57D35B193E9B97D5508EF0EDB9A21EAC071ECF1 ft=1 fh=c10de000fab736ae vn="Variante von Win32/ReImageRepair.E evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Ergan\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\QLNJOJN2\ReimagePackage1808x64g[1].exe"
sh=9413821E4285C46DAF48156B472065FC2D763FE8 ft=0 fh=0000000000000000 vn="JS/Toolbar.Crossrider.C evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Ergan\AppData\Roaming\FGGM"
sh=DDD7E789E67132CF6C5D8169B2F46E3498FCA60F ft=0 fh=0000000000000000 vn="JS/Toolbar.Crossrider.C evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Ergan\AppData\Roaming\IPKMW"
sh=DDD7E789E67132CF6C5D8169B2F46E3498FCA60F ft=0 fh=0000000000000000 vn="JS/Toolbar.Crossrider.C evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Ergan\AppData\Roaming\KXLUSGZ"
sh=DDD7E789E67132CF6C5D8169B2F46E3498FCA60F ft=0 fh=0000000000000000 vn="JS/Toolbar.Crossrider.C evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Ergan\AppData\Roaming\OCRFX"
sh=9413821E4285C46DAF48156B472065FC2D763FE8 ft=0 fh=0000000000000000 vn="JS/Toolbar.Crossrider.C evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Ergan\AppData\Roaming\QMDRF"
sh=9413821E4285C46DAF48156B472065FC2D763FE8 ft=0 fh=0000000000000000 vn="JS/Toolbar.Crossrider.C evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Ergan\AppData\Roaming\WAOVER"

Danke Schrauber habe alles gemacht und zuletzt security check runtergeladen, beim Versuch zur Ausführung krieg ich diese Meldung:

UNSUPPORTED OPERATING SYSTEM! ABORTED!

Sonst tut sich nichts habe ich das Gefühl, ist das so richti?
Gruß Balim

Passt, das frische FRST log fehlt noch.

ok erledigt :-)
FRST Logfile:
--- --- ---

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

http://deeprybka.trojaner-board.de/b...cleanupneu.png
Cleanup:
(Die Reihenfolge ist hier entscheidend)

Falls Defogger verwendet wurde: Erneut starten und auf Re-enable klicken.

Falls Combofix verwendet wurde:
http://deeprybka.trojaner-board.de/b.../combofix2.pngCombofix deinstallieren

• Wichtig: Bitte Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.
  
• Drücke bitte die http://deeprybka.trojaner-board.de/b...ne/revo/w7.png + R Taste und schreibe Combofix /Uninstall in das Ausführen-Fenster.
• Klicke auf OK.
  Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert.
• Nun die eben deaktivierten Programme wieder aktivieren.

Alle Logs gepostet? Dann lade Dir bitte http://filepony.de/icon/tiny/delfix.pngDelFix herunter.

• Schließe alle offenen Programme.
• Starte die delfix.exe mit einem Doppelklick.
• Setze vor jede Funktion ein Häkchen.
• Klicke auf Start.

Hinweis: DelFix entfernt u.a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
Starte Deinen Rechner abschließend neu. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein, kannst Du diese bedenkenlos löschen.

Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:und/oder das Forum mit einer kleinen Spende http://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:

http://deeprybka.trojaner-board.de/b...ast/schild.png
Absicherung:
Beim Betriebsystem Windows die automatischen Updates aktivieren. Auch die sicherheitsrelevante Software sollte immer nur in der aktuellsten Version vorliegen:

Browser
Java
Flash-Player
PDF-Reader

Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim einfachen Besuch einer manipulierten Website per "Drive-by" Malware zu installieren.
Ich empfehle z.B. die Verwendung von Mozilla Firefox statt des Internet Explorers. Zudem lassen sich mit dem Firefox auch PDF-Dokumente öffnen.

Aktiviere eine Firewall. Die in Windows integrierte genügt im Normalfall völlig.

Verwende ein Antivirusprogramm mit Echtzeitscanner und stets aktueller Signaturendatenbank.
Meine Empfehlung:
http://filepony.de/icon/emsisoft_anti_malware.png
Emsisoft

Zusätzlich kannst Du Deinen PC regelmäßig mit Malwarebytes Anti-Malware und ESET scannen.

Optional:
http://filepony.de/icon/noscript.png NoScript verhindert das Ausführen von aktiven Inhalten (Java, JavaScript, Flash,...) für sämtliche Websites. Man kann aber nach dem Prinzip einer Whitelist festlegen, auf welchen Seiten Scripts erlaubt werden sollen.
http://filepony.de/icon/malwarebytes_anti_exploit.pngMalwarebytes Anti Exploit: Schützt die Anwendungen des Computers vor der Ausnutzung bekannter Schwachstellen.


Lade Software von einem sauberen Portal wie http://filepony.de/images/microbanner.gif.
Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen, fürs Programm, irrelevanten Ergänzungen.
Um Adware wieder los zu werden, empfiehlt sich zunächst die Deinstallation sowie die anschließende Resteentfernung mit Adwcleaner .


Abschließend noch ein paar grundsätzliche Bemerkungen:
Ändere regelmäßig Deine wichtigen Online-Passwörter und erstelle regelmäßig Backups Deiner wichtigen Dateien oder des Systems.
Der Nutzen von Registry-Cleanern, Optimizern usw. zur Performancesteigerung ist umstritten. Ich empfehle deshalb, die Finger von der Registry zu lassen und lieber die windowseigene Datenträgerbereinigung zu verwenden.

Hallo Schrauber,
erstmal nochmals vielen Dank....ich habe die ersten Schritte befolgt und kriege, wenn ich FRST neu starte und fix klicke, erscheint die Meldung:
The fixlist.txt found
The fixlist.txt should be in the same folder/directory the tool is loocated...
Mehr passiert nicht...
Gruß Balim

Dann mach das was in der Fehlermeldung steht, und pack die fixlist zu FRST, also in den Downloadordner :)

Hallo Schrauber,
wenn ich combofix/uninstall eingebe, kommt eine Fehlermeldung..combofix st nicht im verzeichnis

Ich weiß leider nicht, was jetzt wieder hier falsch war?

Liegt Combofix auf dem Desktop? Leerzeichen vor /Uninstall vergessen?

Nein combofix ist weg...??

Dann mach gleich mit Delfix weiter :)

Hallo Schrauber, ich dachte jetzt bin ich das Übel los...aber leider nein :-(
Hab gerade ein Ebook, was ich per email erhalten habe öffnen wollen und habe zu meinem Übel feststellen müssen...es kommt immer noch die Meldung, Datei öffnen mit Bobrowser HTML....bin wirklich ratlos...hab ich was falsch gemacht?
gruß Balim

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop.
SystemLook (64 bit)

• Doppelklicke auf die SystemLook_x64.exe, um das Tool zu starten.
• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
  
  Code:

  ---

  :regfind
BoBrowser

  ---

• Klicke nun auf den Button Look, um den Scan zu starten.
• Der Suchlauf kann einige Zeit dauern.
• Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, poste diese in deinen Thread.
• Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

SystemLook 30.07.11 by jpshortstuff
Log created at 23:35 on 12/04/2015 by Ergan
Administrator - Elevation successful

========== regfind ==========

Searching for "BoBrowser"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\App Paths\bobrowser.exe]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\App Paths\bobrowser.exe]
@="C:\Users\Ergan\AppData\Local\BoBrowser\Application\bobrowser.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\App Paths\bobrowser.exe]
"Path"="C:\Users\Ergan\AppData\Local\BoBrowser\Application"
[HKEY_CURRENT_USER\Software\Classes\BoBrowsHTM.YDTLTGDWIILLI2BHTG3ZXCDJRY]
@="BoBrowser HTML Document"
[HKEY_CURRENT_USER\Software\Classes\BoBrowsHTM.YDTLTGDWIILLI2BHTG3ZXCDJRY\DefaultIcon]
@="C:\Users\Ergan\AppData\Local\BoBrowser\Application\bobrowser.exe,0"
[HKEY_CURRENT_USER\Software\Classes\BoBrowsHTM.YDTLTGDWIILLI2BHTG3ZXCDJRY\shell\open\command]
@=""C:\Users\Ergan\AppData\Local\BoBrowser\Application\bobrowser.exe" -- "%1""
[HKEY_CURRENT_USER\Software\Classes\Wow6432Node\CLSID\{19041B6B-8F97-4669-BA21-C17572737ED2}\LocalServer32]
@=""C:\Users\Ergan\AppData\Local\BoBrowser\Application\36.0.1985.136\delegate_execute.exe""
[HKEY_CURRENT_USER\Software\Classes\Wow6432Node\CLSID\{19041B6B-8F97-4669-BA21-C17572737ED2}\LocalServer32]
"ServerExecutable"="C:\Users\Ergan\AppData\Local\BoBrowser\Application\36.0.1985.136\delegate_execute.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\BoBrowsHTM.YDTLTGDWIILLI2BHTG3ZXCDJRY]
@="BoBrowser HTML Document"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\BoBrowsHTM.YDTLTGDWIILLI2BHTG3ZXCDJRY\DefaultIcon]
@="C:\Users\Ergan\AppData\Local\BoBrowser\Application\bobrowser.exe,0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\BoBrowsHTM.YDTLTGDWIILLI2BHTG3ZXCDJRY\shell\open\command]
@=""C:\Users\Ergan\AppData\Local\BoBrowser\Application\bobrowser.exe" -- "%1""
[HKEY_LOCAL_MACHINE\SOFTWARE\RegisteredApplications]
"BoBrowser.YDTLTGDWIILLI2BHTG3ZXCDJRY"="Software\Clients\StartMenuInternet\BoBrowser.YDTLTGDWIILLI2BHTG3ZXCDJRY\Capabilities"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\RegisteredApplications]
"BoBrowser.YDTLTGDWIILLI2BHTG3ZXCDJRY"="Software\Clients\StartMenuInternet\BoBrowser.YDTLTGDWIILLI2BHTG3ZXCDJRY\Capabilities"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{1D710FAF-551E-4FDB-B686-B231E67F871B}"="v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|LPort=5353|App=C:\Users\Ergan\AppData\Local\BoBrowser\Application\bobrowser.exe|Name =Chromium (mDNS-In)|Desc=Eingangsregel für die Zulassung von mDNS-Verkehr in Chromium|EmbedCtxt=BoBrowser|"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{1D710FAF-551E-4FDB-B686-B231E67F871B}"="v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|LPort=5353|App=C:\Users\Ergan\AppData\Local\BoBrowser\Application\bobrowser.exe|Name =Chromium (mDNS-In)|Desc=Eingangsregel für die Zulassung von mDNS-Verkehr in Chromium|EmbedCtxt=BoBrowser|"
[HKEY_USERS\S-1-5-21-3219620770-197578698-1071931620-1000\Software\Microsoft\Windows\CurrentVersion\App Paths\bobrowser.exe]
[HKEY_USERS\S-1-5-21-3219620770-197578698-1071931620-1000\Software\Microsoft\Windows\CurrentVersion\App Paths\bobrowser.exe]
@="C:\Users\Ergan\AppData\Local\BoBrowser\Application\bobrowser.exe"
[HKEY_USERS\S-1-5-21-3219620770-197578698-1071931620-1000\Software\Microsoft\Windows\CurrentVersion\App Paths\bobrowser.exe]
"Path"="C:\Users\Ergan\AppData\Local\BoBrowser\Application"
[HKEY_USERS\S-1-5-21-3219620770-197578698-1071931620-1000\Software\Classes\BoBrowsHTM.YDTLTGDWIILLI2BHTG3ZXCDJRY]
@="BoBrowser HTML Document"
[HKEY_USERS\S-1-5-21-3219620770-197578698-1071931620-1000\Software\Classes\BoBrowsHTM.YDTLTGDWIILLI2BHTG3ZXCDJRY\DefaultIcon]
@="C:\Users\Ergan\AppData\Local\BoBrowser\Application\bobrowser.exe,0"
[HKEY_USERS\S-1-5-21-3219620770-197578698-1071931620-1000\Software\Classes\BoBrowsHTM.YDTLTGDWIILLI2BHTG3ZXCDJRY\shell\open\command]
@=""C:\Users\Ergan\AppData\Local\BoBrowser\Application\bobrowser.exe" -- "%1""
[HKEY_USERS\S-1-5-21-3219620770-197578698-1071931620-1000\Software\Classes\Wow6432Node\CLSID\{19041B6B-8F97-4669-BA21-C17572737ED2}\LocalServer32]
@=""C:\Users\Ergan\AppData\Local\BoBrowser\Application\36.0.1985.136\delegate_execute.exe""
[HKEY_USERS\S-1-5-21-3219620770-197578698-1071931620-1000\Software\Classes\Wow6432Node\CLSID\{19041B6B-8F97-4669-BA21-C17572737ED2}\LocalServer32]
"ServerExecutable"="C:\Users\Ergan\AppData\Local\BoBrowser\Application\36.0.1985.136\delegate_execute.exe"
[HKEY_USERS\S-1-5-21-3219620770-197578698-1071931620-1000_Classes\BoBrowsHTM.YDTLTGDWIILLI2BHTG3ZXCDJRY]
@="BoBrowser HTML Document"
[HKEY_USERS\S-1-5-21-3219620770-197578698-1071931620-1000_Classes\BoBrowsHTM.YDTLTGDWIILLI2BHTG3ZXCDJRY\DefaultIcon]
@="C:\Users\Ergan\AppData\Local\BoBrowser\Application\bobrowser.exe,0"
[HKEY_USERS\S-1-5-21-3219620770-197578698-1071931620-1000_Classes\BoBrowsHTM.YDTLTGDWIILLI2BHTG3ZXCDJRY\shell\open\command]
@=""C:\Users\Ergan\AppData\Local\BoBrowser\Application\bobrowser.exe" -- "%1""
[HKEY_USERS\S-1-5-21-3219620770-197578698-1071931620-1000_Classes\Wow6432Node\CLSID\{19041B6B-8F97-4669-BA21-C17572737ED2}\LocalServer32]
@=""C:\Users\Ergan\AppData\Local\BoBrowser\Application\36.0.1985.136\delegate_execute.exe""
[HKEY_USERS\S-1-5-21-3219620770-197578698-1071931620-1000_Classes\Wow6432Node\CLSID\{19041B6B-8F97-4669-BA21-C17572737ED2}\LocalServer32]
"ServerExecutable"="C:\Users\Ergan\AppData\Local\BoBrowser\Application\36.0.1985.136\delegate_execute.exe"

-= EOF =-

Kopiere den Text in der Codebox in deinen Editor (z.B. Notepad) und speichere es unter dem Namen regfix.reg (bei Dateityp bitte "alle Dateien" wählen)

Starte die regfix.reg duch Doppelklick.

Alles gemacht...aber ich habe auch noch pepperzip...ist das auch schädlich?
Danke und gruß Balim

Wo siehst Du das?

FRST öffnen, Haken setzen bei Addition und scannen, poste beide Logs. Ebenso nochmal ne Systemlook Suche machen, diesmal BoBrowser durch pepperzip ersetzen.

Und hast Du sonst noch Probleme ausser Pepperzip? Wenn ja gleich alle auf einmal nennen ;)

FRST Additions Logfile:
--- --- ---



FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

Dann jetzt bitte nochmal Systemlook, hiermit:

:regfind
pepperzip

SystemLook 30.07.11 by jpshortstuff
Log created at 00:17 on 17/04/2015 by Ergan
Administrator - Elevation successful

========== regfind ==========

Searching for "pepperzip"
[HKEY_CURRENT_USER\Software\Classes\.7z]
@="PepperZip"
[HKEY_CURRENT_USER\Software\Classes\.rar]
@="PepperZip"
[HKEY_CURRENT_USER\Software\Classes\.zip]
@="PepperZip"
[HKEY_CURRENT_USER\Software\Classes\PepperZip]
[HKEY_CURRENT_USER\Software\Classes\PepperZip]
@="PepperZip"
[HKEY_CURRENT_USER\Software\Classes\PepperZip\DefaultIcon]
@="C:\Program Files (x86)\PepperZip\PepperZip.exe,0"
[HKEY_CURRENT_USER\Software\Classes\PepperZip\Shell\open\command]
@=""C:\Program Files (x86)\PepperZip\PepperZip.exe" "%1""
[HKEY_USERS\S-1-5-21-3219620770-197578698-1071931620-1000\Software\Classes\.7z]
@="PepperZip"
[HKEY_USERS\S-1-5-21-3219620770-197578698-1071931620-1000\Software\Classes\.rar]
@="PepperZip"
[HKEY_USERS\S-1-5-21-3219620770-197578698-1071931620-1000\Software\Classes\.zip]
@="PepperZip"
[HKEY_USERS\S-1-5-21-3219620770-197578698-1071931620-1000\Software\Classes\PepperZip]
[HKEY_USERS\S-1-5-21-3219620770-197578698-1071931620-1000\Software\Classes\PepperZip]
@="PepperZip"
[HKEY_USERS\S-1-5-21-3219620770-197578698-1071931620-1000\Software\Classes\PepperZip\DefaultIcon]
@="C:\Program Files (x86)\PepperZip\PepperZip.exe,0"
[HKEY_USERS\S-1-5-21-3219620770-197578698-1071931620-1000\Software\Classes\PepperZip\Shell\open\command]
@=""C:\Program Files (x86)\PepperZip\PepperZip.exe" "%1""
[HKEY_USERS\S-1-5-21-3219620770-197578698-1071931620-1000_Classes\.7z]
@="PepperZip"
[HKEY_USERS\S-1-5-21-3219620770-197578698-1071931620-1000_Classes\.rar]
@="PepperZip"
[HKEY_USERS\S-1-5-21-3219620770-197578698-1071931620-1000_Classes\.zip]
@="PepperZip"
[HKEY_USERS\S-1-5-21-3219620770-197578698-1071931620-1000_Classes\PepperZip]
[HKEY_USERS\S-1-5-21-3219620770-197578698-1071931620-1000_Classes\PepperZip]
@="PepperZip"
[HKEY_USERS\S-1-5-21-3219620770-197578698-1071931620-1000_Classes\PepperZip\DefaultIcon]
@="C:\Program Files (x86)\PepperZip\PepperZip.exe,0"
[HKEY_USERS\S-1-5-21-3219620770-197578698-1071931620-1000_Classes\PepperZip\Shell\open\command]
@=""C:\Program Files (x86)\PepperZip\PepperZip.exe" "%1""

Searching for " "
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Plugin\Microsoft.PowerShell]
"ConfigXML"=" <PlugInConfiguration xmlns="hxxp://schemas.microsoft.com/wbem/wsman/1/config/PluginConfiguration" Name="microsoft.powershell" Filename="%windir%\system32\pwrshplugin.dll" SDKVersion="1" XmlRenderingType="text" > <InitializationParameters> <Param Name="PSVersion" Value="2.0"/> </InitializationParameters> <Resources> <Resource ResourceUri="hxxp://schemas.microsoft.com/powershell/microsoft.powershell" SupportsOptions="true" ExactMatch="true"> <Security xmlns="hxxp://schemas.microsoft.com/wbem/wsman/1/config/PluginConfiguration" Uri="hxxp://schemas.microsoft.com/powershell/microsoft.powershell" ExactMatch="true" Sddl="O:NSG:BAD:P(A;;GA;;;BA)S:P(AU;FA;GA;;;WD)(AU;SA;GXGW;;;WD)"/> <Capability Type="Shell"/> </Resource> </Res
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\WSMAN\Plugin\Microsoft.PowerShell32]
"ConfigXML"="<PlugInConfiguration xmlns="hxxp://schemas.microsoft.com/wbem/wsman/1/config/PluginConfiguration" Name="microsoft.powershell32" Filename="%windir%\system32\pwrshplugin.dll" SDKVersion="1" XmlRenderingType="text" Architecture="32" > <InitializationParameters> <Param Name="PSVersion" Value="2.0"/> </InitializationParameters> <Resources> <Resource ResourceUri="hxxp://schemas.microsoft.com/powershell/microsoft.powershell32" SupportsOptions="true" ExactMatch="true"> <Security xmlns="hxxp://schemas.microsoft.com/wbem/wsman/1/config/PluginConfiguration" Uri="hxxp://schemas.microsoft.com/powershell/microsoft.powershell32" ExactMatch="true" Sddl="O:NSG:BAD:P(A;;GA;;;BA)S:P(AU;FA;GA;;;WD)(AU;SA;GXGW;;;WD)"/>
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\WpdBusEnumRoot\UMB\2&37c186b&0&STORAGE#VOLUME#_??_USBSTOR#DISK&VEN_&PROD_&REV_8.07#12092825040129&0#]
"DeviceDesc"=" "
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\WpdBusEnumRoot\UMB\2&37c186b&0&STORAGE#VOLUME#_??_USBSTOR#DISK&VEN_&PROD_&REV_8.07#12092825040129&0#]
"DeviceDesc"=" "
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\WpdBusEnumRoot\UMB\2&37c186b&0&STORAGE#VOLUME#_??_USBSTOR#DISK&VEN_&PROD_&REV_8.07#12092825040129&0#]
"DeviceDesc"=" "

-= EOF =-

So das habe ich gerade auch noch erledigt....wie kann ich denn feststellen, ob ich noch andere ähnliche Probleme habe und wie krieg ich diese fiesen Dinger eigentlich?

Noch eine Frage, mein Laptop wird immer sehr schnell heiß...wenn ich z. B. eine Serie gucke etc...

ach ja vielen Dank schrauber..
gruß balim

Kopiere den Text in der Codebox in deinen Editor (z.B. Notepad) und speichere es unter dem Namen regfix.reg (bei Dateityp bitte "alle Dateien" wählen)

Starte die regfix.reg duch Doppelklick.


Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

genauso wie beim letzten Mal:
Hallo Schrauber,
erstmal nochmals vielen Dank....ich habe die ersten Schritte befolgt und kriege, wenn ich FRST neu starte und fix klicke, erscheint die Meldung:
The fixlist.txt found
The fixlist.txt should be in the same folder/directory the tool is loocated...
Mehr passiert nicht...
Gruß Balim

Pack die Fixlist in den Downloadordner, neben das Tool FRST :)

Also ich soll die Fixlist neben dem FRST Ordner, dass ich unter Downloads sehe, speichern? Wenn ja, hab ich das gemacht...ist das so richtig? und jetzt?

Oh sorry, jetzt hab ich es verstanden...nachdem ich deine Anweisung befolgt habe, habe ich FRST gestartet mit fix..jetzt hat es geklappt..der Inhalt:

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 18-04-2015 01
Ran by Ergan at 2015-04-19 22:58:24 Run:1
Running from C:\Users\Ergan\Downloads
Loaded Profiles: Ergan (Available profiles: Ergan & Deniz)
Boot Mode: Normal
==============================================

Content of fixlist:
*****************
C:\Program Files (x86)\PepperZip
*****************

"C:\Program Files (x86)\PepperZip" => File/Directory not found.

==== End of Fixlog 22:58:25 ====

Perfekt. Noch Probleme?