Windows 10 - PUP.Optional.Booking
 

Ein Scan mit Malwarebytes fand 5 Bedrohungen.

Auf Grund der Länge musste ich den Post auf 2 Posts verteilen

Teil 1

FRST-File:

Die Malwarebytes Logs mit den Funden bitte nicht vergessen

Addition.txt

Malwarebytes
Symptome und Auffälligkeiten

Eigentlich merke ich keine Ungewöhnlichkeiten. Allerdings habe ich gestern Abend zur Abwechslung mal Microsoft Edge geöffnet. Als Startseite öffnete sich irgendeine Pseudo-Facebook-Seite und eine kleine Pop-Up-Box, worauf stand, dass ich was gewonnen hätte. Ich konnte den Tab nicht schließen und wenn man Edge schloss und wieder öffnete kam wieder diese Seite. Man konnte nur auf dieser Box "OK" klicken, dann war es weg. Im Link stand irgendwas mit "feed.xyz".
Wenn ich jetzt Edge öffne - das ich eigentlich nie verwende - ist alles ganz normal. Dennoch hat mich das Ganze dazu veranlasst mal einen Scan mit Mbam durchzuführen. Ergebnis: siehe oben.

Der Laptop ist übrigens recht neu. Angeblich wurde der Booking.com-Ordner am 28.01.2016 erstellt.

Ich sollte auf jeden Fall einige Programme aktualisieren, werde das aber erst tun, wenn ich weiß, dass alles (wieder) in Ordnung ist.


Vielen Dank

P.S.: Was sind Trackbacks?

Bitte Avast deinstallieren. Das Teil können wir einfach nicht mehr guten Gewissens empfehlen. => Antivirensoftware: Schutz Für Ihre Dateien, Aber Auf Kosten Ihrer Privatsphäre? | Emsisoft Blog

Auch andere Freewareanbieter wie Avira, AVG oder Panda springen auf diesen oder ähnlichen Zügen rauf, basteln Junkware in die Setups, arbeiten mit ASK zusammen etc; so was ist bei Sicherheitssoftware einfach inakzeptabel.

Gib Bescheid wenn Avast weg ist; wenn wir hier durch sind, kannst du auf einen anderen Virenscanner umsteigen, Infos folgen dann im Abschlussposting. Bitte JETZT nix mehr ohne Absprache installieren!

Avast ist runter

Malwarebytes Anti-Rootkit (MBAR)

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Ergebnis: No Cleanup is required

Adware/Junkware/Toolbars entfernen

Alte Versionen von adwCleaner und falls vorhanden JRT vorher löschen, danach neu runterladen auf den Desktop!
Virenscanner jetzt vor dem Einsatz dieser Tools bitte komplett deaktivieren!

1. Schritt: adwCleaner

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

2. Schritt: JRT - Junkware Removal Tool

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Hatte den Adware-Cleaner gestartet, der hat mit entsprechenden Einstellungen 2-3 Dienste, einen Ordner, Registrierdatenbankeinträge und anderes Zeug gefunden. Habe dann auf Löschen geklickt, daraufhin stürzte das Programm ab. Habe es erneut gestartet. Beim neuen Suchlauf fand er nur noch die Datenbankeinträge.

Logfiles wurden - wie ich sehe - zu beiden Vorgängen erstellt:

Adware-Cleaner-Logfile 1

Adware-Cleaner-Logfile 2
JRT-Scan-Logfile

EDIT: Hatte zuerst die falsche Logfile gepostet, gerade korrigiert

EDIT2: Die AdwCleaner[Sx].exe interessiert dich nicht? Da sind zumindest 3 Einträge mehr bei den Reg-Datenbankschlüsseln

Poste ruhig alles was du hast

OK, also im Endeffekt ist in der AdwCleaner[S2] alles wie oben bei der AdwCleaner[C2], zusätzlich eben noch die 3 dick hervorgehobenen Einträge in der Datenbank

***** [ Registrierungsdatenbank ] *****

Schlüssel gefunden : HKLM\SOFTWARE\Classes\Amazon1ButtonRuntime.Amazon1ButtonRuntime
Schlüssel gefunden : HKLM\SOFTWARE\Classes\Amazon1ButtonRuntime.AmazonRuntimeServer
Schlüssel gefunden : HKLM\SOFTWARE\Classes\AppID\{7F46C358-270D-4791-A579-AD1DDA1A3F7B}
Schlüssel gefunden : HKLM\SOFTWARE\Classes\CLSID\{BD6ECB00-7C4A-4F97-B425-44117F2A7AAE}
Schlüssel gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{BD6ECB00-7C4A-4F97-B425-44117F2A7AAE}
Schlüssel gefunden : HKCU\Software\Host App Service
Schlüssel gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Host App Service
Schlüssel gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{B6DCCCD3-520D-4485-B642-FCC136CE12C3}
Schlüssel gefunden : HKU\S-1-5-21-4037366606-900614802-1318375999-1001\Software\Host App Service
Schlüssel gefunden : HKU\S-1-5-21-4037366606-900614802-1318375999-1001\Software\Microsoft\Windows\CurrentVersion\Uninstall\Host App Service
Schlüssel gefunden : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\3DCCCD6BD02558446B24CF1C63EC213C
Schlüssel gefunden : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AA9A4890-4262-4441-8977-E2FFCBFB706C}
Schlüssel gefunden : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{AA9A4890-4262-4441-8977-E2FFCBFB706C}
Schlüssel gefunden : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{AA9A4890-4262-4441-8977-E2FFCBFB706C}
Schlüssel gefunden : HKU\S-1-5-21-4037366606-900614802-1318375999-1001\Software\Microsoft\Internet Explorer\SearchScopes\{AA9A4890-4262-4441-8977-E2FFCBFB706C}
Schlüssel gefunden : HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\amazonbrowserapp.com
Schlüssel gefunden : HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\analytics.app.amazonbrowserapp.com
Schlüssel gefunden : [x64] HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Amazon 1Button App Service

EDIT: Ich meinte oben übrigens AdwCleaner[Sx].txt, nicht exe

Dann zeig mal frische FRST Logs. Haken setzen bei addition.txt dann auf Untersuchen klicken

http://www.trojaner-board.de/picture...&pictureid=611

FRST-Logfile

Addition.txt

FRST-Fix

Virenscanner jetzt bitte komplett deaktivieren, damit sichergestellt ist, dass der Fix sauber durchläuft!

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.