Malwarebyte Suchlauf
 

Hallo,

ich habe eigentlich kein Problem. Ich hatte einfach mal das Bedürfnis mein System zu scannen.
Malwarebytes Anti-Malware hat daraufhin 9 Objekte gefunden, die ich erstmal in Quarantäne gesteckt habe und frage nun hier nach, ob die gefährlich sind und vielleicht was das ist. Malwarebytes Anti-Rootkit und TDSSKiller.exe haben beide nichts gefunden! Ich haber auch keine offensichtlichen Anzeichen einer Infektion.

Hier das Scan-Log von Malwarebytes Anti-Malware:


Malwarebytes Anti-Malware
www.malwarebytes.org

Suchlaufdatum: 14.10.2015
Suchlaufzeit: 19:54
Protokolldatei:
Administrator: Ja

Version: 2.2.0.1024
Malware-Datenbank: v2015.10.14.05
Rootkit-Datenbank: v2015.10.06.01
Lizenz: Testversion
Malware-Schutz: Aktiviert
Schutz vor bösartigen Websites: Aktiviert
Selbstschutz: Deaktiviert

Betriebssystem: Windows 10
CPU: x64
Dateisystem: NTFS
Benutzer: ###

Suchlauftyp: Bedrohungssuchlauf
Ergebnis: Abgeschlossen
Durchsuchte Objekte: 385375
Abgelaufene Zeit: 22 Min., 13 Sek.

Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Aktiviert
PUM: Aktiviert

Prozesse: 0
(keine bösartigen Elemente erkannt)

Module: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 1
PUP.Optional.HomePageHelper, HKU\S-1-5-21-910250602-713045467-4267404475-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{FDD7AAF5-ECE3-11E4-826F-3065EC4921C6}, In Quarantäne, [be1fd383fb9081b56fba740f22e1da26],

Registrierungswerte: 4
PUP.Optional.HomePageHelper, HKU\S-1-5-21-910250602-713045467-4267404475-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{FDD7AAF5-ECE3-11E4-826F-3065EC4921C6}|FaviconURL, hxxp://homepage-web.com/favicon.ico, In Quarantäne, [be1fd383fb9081b56fba740f22e1da26]
PUP.Optional.HomePageHelper, HKU\S-1-5-21-910250602-713045467-4267404475-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{FDD7AAF5-ECE3-11E4-826F-3065EC4921C6}|FaviconURLFallback, hxxp://homepage-web.com/favicon.ico, In Quarantäne, [33aa88ce91fa51e5c267750ebe45b24e]
PUP.Optional.HomePageHelper, HKU\S-1-5-21-910250602-713045467-4267404475-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{FDD7AAF5-ECE3-11E4-826F-3065EC4921C6}|TopResultURL, hxxp://search.homepage-web.com/?src=omnibox&partner=acer&q={searchTerms}, In Quarantäne, [33aadf778308013533f6b7cc8c77a45c]
PUP.Optional.HomePageHelper, HKU\S-1-5-21-910250602-713045467-4267404475-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{FDD7AAF5-ECE3-11E4-826F-3065EC4921C6}|URL, hxxp://search.homepage-web.com/?src=omnibox&partner=acer&q={searchTerms}, In Quarantäne, [8b5258febfccf73fcb5e99ea8182cc34]

Registrierungsdaten: 1
PUP.Optional.HomePageHelper, HKU\S-1-5-21-910250602-713045467-4267404475-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Start Page, hxxp://homepage-web.com/?s=acer&m=start, Gut: (www.google.com), Schlecht: (hxxp://homepage-web.com/?s=acer&m=start),Ersetzt,[4f8e16402269a78f93c9db6513f10ef2]

Ordner: 0
(keine bösartigen Elemente erkannt)

Dateien: 3
PUP.Optional.WebSearch, C:\Users\chris1\AppData\Roaming\Mozilla\Firefox\Profiles\r0fFb7SX.default\searchplugins\Web Search.xml, In Quarantäne, [7766bc9a157643f3f748eac05aa9d52b],
PUP.Optional.HomePageHelper, C:\Users\chris1\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences, Gut: ("session":{"restore_on_startup":4,"startup_urls":["https://www.malwarebytes.org/restorebrowser/"]}}), Schlecht: ("session":{"restore_on_startup":4,"startup_urls":["hxxp://homepage-web.com/?s=acer&m=start"]}}), Ersetzt,[6b7283d374173303b3b8de8de91bbb45]
PUP.Optional.HomePageHelper, C:\Users\chris1\AppData\Roaming\Mozilla\Firefox\Profiles\r0fFb7SX.default\prefs.js, Gut: (browser.startup.homepage", "https://www.malwarebytes.org/restorebrowser/), Schlecht: (browser.startup.homepage", "hxxp://homepage-web.com), Ersetzt,[607daaac3b50cb6ba7c974f89e66d030]

Physische Sektoren: 0
(keine bösartigen Elemente erkannt)


(end)

hi,

das ist "nur" PUP. Also Browser-Adware-Braucht kein Mensch-Zeugs :)

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Wow, wie schnell man hier kompetent beraten wird. Kann ich denn dann sagen, dass ich zumindest mit hier Wahrschienlichkeit ein sauberes System habe, wenn die beiden Programme oben und Malwarebytes Anti-Malware nichts gefunden haben? Welches Programm sollte ich denn vielleicht nochal laufen lassen?

Der Grund für mein Schreiben ist, dass ich seit dem ich WIndows 10 (!) habe, irgeendwie ab und zu seltsame Kleinigkeiten passieren und Firefox ziemlich oft hängt! Oder ass wenn man mit der Maus bei geöffnetem Firefox unten auf der Taskleiste den Browser berührt sich ja dieses kleine 4-eckige Fenster öffnet solange man die Maus drauf hat. Allerdings, manchmal, bleibt das Kästchen einfach, auch wnn ich dann weiter browse...

Naja dazu mache ich vielleicht ein neues Thema auf.

Hier der Scan:
AdwCleaner Logfile:
--- --- ---

Funde mit AdwCleaner auch löschen lassen.

Win10 hat manchmal so Macken.



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

und ein frisches FRST log bitte. Noch Probleme? :)

Wurden denn die Sachen nicht gelöscht durch Ausführung obier Anweisung?

Der ESET Scanner und das andere sind fakultativ oder gehört das noch zum Adaware?

Hier ist erstmal ESET:


ESETSmartInstaller@High as downloader log:
all ok
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=73ab95abb4f3b94c967589d4cf5592c6
# end=init
# utc_time=2015-10-15 08:05:23
# local_time=2015-10-15 10:05:23 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# osver=6.2.9200 NT
Update Init
Update Download
Update Finalize
Updated modules version: 26255
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=73ab95abb4f3b94c967589d4cf5592c6
# end=updated
# utc_time=2015-10-15 08:07:53
# local_time=2015-10-15 10:07:53 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# osver=6.2.9200 NT
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.7777
# api_version=3.1.1
# EOSSerial=73ab95abb4f3b94c967589d4cf5592c6
# engine=26255
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2015-10-15 10:27:28
# local_time=2015-10-16 12:27:28 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=6.2.9200 NT
# compatibility_mode_1=''
# compatibility_mode=5893 16776573 100 94 102939 8422060 0 0
# scanned=358533
# found=5
# cleaned=0
# scan_time=8375
sh=62BFF91A7E351CB1A21EF92320815874B2D2DFA8 ft=1 fh=fc2555afc5bde153 vn="Variante von Win32/DownloadSponsor.C evtl. unerwünschte Anwendung" ac=I fn="C:\Users\chris1\AppData\Local\Temp\DMR\dmr_72.exe"
sh=DDCA182E443354075F90BCB772E68210298E25BA ft=1 fh=7b052d968b2c4f96 vn="Variante von Win32/DownloadSponsor.C evtl. unerwünschte Anwendung" ac=I fn="C:\Users\chris1\Downloads\Dwarf Fortress - CHIP-Installer.exe"
sh=8A10B0BD192847D53AE60A5AD198A1030A05254B ft=1 fh=840543266862f987 vn="Variante von Win32/DownloadSponsor.C evtl. unerwünschte Anwendung" ac=I fn="C:\Users\chris1\Downloads\Free PDF Compressor - CHIP-Installer.exe"
sh=17055DB61F8D4654FC5A46C141E12F68A013C41D ft=1 fh=65b888b14954d2f5 vn="Variante von Win32/DownloadSponsor.C evtl. unerwünschte Anwendung" ac=I fn="C:\Users\chris1\Downloads\PDF24 Creator - CHIP-Installer.exe"
sh=2FC4E5FBFDAD3F2E68253645EC3B0F2FA31FFD80 ft=1 fh=58d8cdf04867bd19 vn="Win32/InstallMonetizer.AQ evtl. unerwünschte Anwendung" ac=I fn="C:\Users\chris1\Downloads\PDFCreator-2_1_2-setup.exe"

Hier Security Check:

Results of screen317's Security Check version 1.009
x64 (UAC is enabled)
Internet Explorer 11
``````````````Antivirus/Firewall Check:``````````````
Windows Defender
WMI entry may not exist for antivirus; attempting automatic update.
`````````Anti-malware/Other Utilities Check:`````````
Adobe Flash Player 19.0.0.207
Mozilla Firefox (41.0.2)
Google Chrome (45.0.2454.101)
Google Chrome (46.0.2490.71)
````````Process Check: objlist.exe by Laurent````````
Windows Defender MSMpEng.exe
Malwarebytes Anti-Malware mbamservice.exe
Malwarebytes Anti-Malware mbam.exe
Malwarebytes Anti-Malware mbamscheduler.exe
Windows Defender MpCmdRun.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C: %
````````````````````End of Log``````````````````````


FRST:
FRST Logfile:
--- --- ---

+ Addition:FRST Additions Logfile:
--- --- ---

löschen

Kann mir jmd weiterhelfen? Es wurden bei ESET 5 Objekte gefunden?

Du hast nur das Logfile vom Suchvorgang des AdwCleaners gepostet.

Entweder Du hast nur das falsche Log gepostet, oder du hast mit AdwCleaner nur nen Scan gemacht, und nicht auf Löschen geklickt.

Das müssen wir jetzt erst klären bevor es weiter geht :)

Oh sorry. Ich habs gelöscht:AdwCleaner Logfile:
--- --- ---

Download Ordner leeren. Noch Probleme mit dem Rechner?

Was ist denn mit ESET? Die gefundenen Objekte waren im win-Ordner? Papierkorb leeren hilft?

Ist denn deine letzte Anweisung nun die endgültige Lösung?

Denn den Papierkorb habe ich doch schon gelöscht bei einem der obigen Schritte.

ESET meldet wieder die gleichen Objekte. Obwohl Ordner gelöscht ist. Allerding ist in Firefox Download Ordner noch alles drinne...

Update:

Es waren doch nur ein Objekt durch ESET. Habe aber auch die AKtion löschen gewählt.


ESETSmartInstaller@High as downloader log:
all ok
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=73ab95abb4f3b94c967589d4cf5592c6
# end=init
# utc_time=2015-10-20 10:48:49
# local_time=2015-10-20 12:48:49 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# osver=6.2.9200 NT
Update Init
Update Download
Update Finalize
Updated modules version: 26321
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=73ab95abb4f3b94c967589d4cf5592c6
# end=updated
# utc_time=2015-10-20 10:50:46
# local_time=2015-10-20 12:50:46 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# osver=6.2.9200 NT
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.7777
# api_version=3.1.1
# EOSSerial=73ab95abb4f3b94c967589d4cf5592c6
# engine=26321
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2015-10-20 01:06:07
# local_time=2015-10-20 03:06:07 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=6.2.9200 NT
# compatibility_mode_1=''
# compatibility_mode=5893 16776573 100 94 82702 8820379 0 0
# scanned=361756
# found=1
# cleaned=1
# scan_time=8120
sh=62BFF91A7E351CB1A21EF92320815874B2D2DFA8 ft=1 fh=fc2555afc5bde153 vn="Variante von Win32/DownloadSponsor.C evtl. unerwünschte Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert)" ac=C fn="C:\Users\chris1\AppData\Local\Temp\DMR\dmr_72.exe"

Das ist ein Fund in den Temps, den hätten wir im letzten Step entfernt. Ich wollte vorab eigentlich nur wissen ob der Rechner noch Probleme macht :)

Falls nicht:

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Cleanup:
(Die Reihenfolge ist hier entscheidend)

Falls Defogger verwendet wurde: Erneut starten und auf Re-enable klicken.

Falls Combofix verwendet wurde:
http://deeprybka.trojaner-board.de/b.../combofix2.pngCombofix deinstallieren .

• Wichtig: Bitte Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.
  
• Drücke bitte die http://deeprybka.trojaner-board.de/b...ne/revo/w7.png + R Taste und schreibe Combofix /Uninstall in das Ausführen-Fenster.
• Klicke auf OK.
  Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert.
• Nun die eben deaktivierten Programme wieder aktivieren.

Alle Logs gepostet? Dann lade Dir bitte http://filepony.de/icon/tiny/delfix.pngDelFix herunter.

• Schließe alle offenen Programme.
• Starte die delfix.exe mit einem Doppelklick.
• Setze vor jede Funktion ein Häkchen.
• Klicke auf Start.

Hinweis: DelFix entfernt u.a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
Starte Deinen Rechner abschließend neu. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein, kannst Du diese bedenkenlos löschen.

Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:und/oder das Forum mit einer kleinen Spende http://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:

http://deeprybka.trojaner-board.de/b...ast/schild.pngAbsicherung:
Beim Betriebsystem Windows die automatischen Updates aktivieren. Auch die sicherheitsrelevante Software sollte immer nur in der aktuellsten Version vorliegen:

Browser
Java
Flash-Player
PDF-Reader

Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim einfachen Besuch einer manipulierten Website per "Drive-by" Malware zu installieren.
Ich empfehle z.B. die Verwendung von Mozilla Firefox statt des Internet Explorers. Zudem lassen sich mit dem Firefox auch PDF-Dokumente öffnen.

Aktiviere eine Firewall. Die in Windows integrierte genügt im Normalfall völlig.

Verwende ein Antivirusprogramm mit Echtzeitscanner und stets aktueller Signaturendatenbank.
Meine Empfehlung:
http://filepony.de/icon/emsisoft_anti_malware.png
Emsisoft

Zusätzlich kannst Du Deinen PC regelmäßig mit Malwarebytes Anti-Malware und ESET scannen.

Optional:
http://filepony.de/icon/noscript.png NoScript verhindert das Ausführen von aktiven Inhalten (Java, JavaScript, Flash,...) für sämtliche Websites. Man kann aber nach dem Prinzip einer Whitelist festlegen, auf welchen Seiten Scripts erlaubt werden sollen.
http://filepony.de/icon/malwarebytes_anti_exploit.pngMalwarebytes Anti Exploit: Schützt die Anwendungen des Computers vor der Ausnutzung bekannter Schwachstellen.


Lade Software von einem sauberen Portal wie http://filepony.de/images/microbanner.gif.
Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen, fürs Programm, irrelevanten Ergänzungen.
Um Adware wieder los zu werden, empfiehlt sich zunächst die Deinstallation sowie die anschließende Resteentfernung mit Adwarecleaner .


Abschließend noch ein paar grundsätzliche Bemerkungen:
Ändere regelmäßig Deine wichtigen Online-Passwörter und erstelle regelmäßig Backups Deiner wichtigen Dateien oder des Systems.
Der Nutzen von Registry-Cleanern, Optimizern usw. zur Performancesteigerung ist umstritten. Ich empfehle deshalb, die Finger von der Registry zu lassen und lieber die windowseigene Datenträgerbereinigung zu verwenden.