Rechner ist mit schadsoftware belagert. Extrem langsam geworden. USB Anschlüsse ohne Funktion
 

Guten Tag,
nach 2 Jahre sorgenfrei benutzen hat sich leider irgendeine schadsoftware installiert. Die USB-Anschlüsse am Notebook reagieren ebenfalls nicht. Würde mich sehr freuen, wenn mir jemand bei "aufräumen" und der Problem helfen würde :)

Gruß Tobi

:hallo:



Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.


Bitte vergewissere dich zuerst, dass du die folgenden Regeln und Hinweise für eine Analyse inklusive Bereinigung gelesen und verstanden hast:
Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?







Schritt 1
Bitte lade dir die passende Version von Farbar Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit

• Starte FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach im selben Verzeichnis wie FRST.
• Poste mir die FRST.txt und die Addition.txt in deinem Thema (#-Symbol im Eingabefenster der Webseite anklicken).

Bitte poste mit deiner nächsten Antwort

• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt).

moin vielen Dank für die schnelle Antwort.

Woher weißt du, dass dein Rechner mit Malware belagert ist?
Folgerst du das nur, weil die USB-Anschlüssen nicht mehr funktionieren bzw. weil der Rechner langsam geworden ist?
Oder hat Windows Defender Malware entdeckt?

Erläutere bitte deine Aussage... ich sehe nämlich nur etwas Adware und PUP.










Schritt 1
Die folgenden Programme sind veraltet, stören die Bereinigung oder es handelt sich um Werbesoftware bzw. unerwünschte Software (Adware, PUP) und müssen entfernt werden:

• Deinstalliere über Start > Einstellungen > Apps die folgenden Programme:
  • Host App Service
  • Lenovo Browser Guard
• Starte den Rechner im Anschluss neu auf.
• Gib eine kurze Rückmeldung, ob die Deinstallation erfolgreich war.

Schritt 2
Downloade Dir bitte AdwCleaner auf deinen Desktop (Bebilderte Anleitung).

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Einstellungen, scrolle nach unten und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • Tracing Schlüssel löschen
  • Prefetch-Dateien löschen
  • Proxy wiederherstellen
  • IE-Policies wiederherstellen
  • Chrome-Policies wiederherstellen
  • Winsock wiederherstellen
• Klicke nun auf Dashboard, dann auf Jetzt scannen und warte bis der Suchlauf abgeschlossen ist.
• Klicke nun auf Bereinigen & Reparieren und bestätige mit Bereinigen & Neu Starten.
  
• WICHTIG:
  Sollte AdwCleaner nichts finden, klicke auf Grundlegende Reparatur ausführen und anschließend auf Bereinigen & Neu Starten.
• Nach dem Neustart öffnet sich AdwCleaner automatisch. Klicke auf Log-Datei ansehen.
• Poste mir deren Inhalt der Log-Datei mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt. (xx = fortlaufende Nummer).

Schritt 3
Downloade Dir bitte Malwarebytes Anti-Malware (MBAM) auf deinen Desktop (Bebilderte Anleitung).

• Installiere das Programm in den vorgegebenen Pfad.
• Starte MBAM.
• Klicke im Anschluss auf Scan, wähle den Bedrohungs-Scan aus und klicke auf Scan starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Ausgewählte Elemente in die Quarantäne verschieben.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM nach dem Neustart, klicke auf Berichte.
• Wähle den neuesten Scan-Bericht aus, klicke auf Bericht anzeigen und dann auf Export.
• Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 4

• Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort

• die Beantwortung der gestellten Fragen inklusive deiner Erläuterungen,
• eine Rückmeldung bezüglich der Deinstallationen,
• die Logdatei von AdwCleaner,
• die Logdatei von MBAM,
• die zwei neuen Logdateien von FRST.

Das Notebook gehört meinen Vater. Laut sein Aussage funktionieren die usb anschlüsse nicht mehr, seitdem dieses Adware auf dem Desktop erscheint. Ob das wirklich abhänig von der Adware ist, kann ich nicht sagen. Ich vermute es.


Deinstallation war erfolgreich

Schritt 1

• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
HKU\S-1-5-21-3329994275-1887797684-988601984-1002\...\RunOnce: [Application Restart #3] => C:\Users\Henrik\AppData\Local\SweetLabs App Platform\Engine\ServiceHostApp.exe  --disable-internal-flash --noerrdialogs --no-message-box --disable-extensions --disable-web-security --disable-web-resou (Der Dateneintrag hat 585 mehr Zeichen).
HKU\S-1-5-21-3329994275-1887797684-988601984-1002\...\RunOnce: [Application Restart #2] => C:\Users\Henrik\AppData\Local\SweetLabs App Platform\Engine\ServiceHostApp.exe  --disable-internal-flash --noerrdialogs --no-message-box --disable-extensions --disable-web-security --disable-web-resou (Der Dateneintrag hat 585 mehr Zeichen).
C:\Users\Henrik\AppData\Local\SweetLabs App Platform
GroupPolicyUsers\S-1-5-21-3329994275-1887797684-988601984-1002\User: Beschränkung <==== ACHTUNG
GroupPolicyUsers\S-1-5-21-3329994275-1887797684-988601984-1001\User: Beschränkung <==== ACHTUNG
C:\Users\Henrik\AppData\Local\Jetzt Konvertieren
C:\Users\Henrik\AppData\Local\{A73890E7-721F-47CC-BB23-7D8EF1D6F2C7}
Task: {00CBDBC1-DB0B-40C7-8382-8B713B474069} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Keine Datei <==== ACHTUNG
Task: {09208B5C-5E94-4860-AE7C-627CC84BC443} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Keine Datei <==== ACHTUNG
Task: {174BE452-2238-4580-80E2-A652D0F8FA5C} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Keine Datei <==== ACHTUNG
Task: {1EFCF7C0-010D-4A72-AE62-4F4B3174CD47} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Keine Datei <==== ACHTUNG
Task: {2A46AD08-B163-4DCF-B971-8543CF951346} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Keine Datei <==== ACHTUNG
Task: {2C32251E-4FCD-4090-A4F3-CA500E50D39E} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Keine Datei <==== ACHTUNG
Task: {34BFCDDB-0044-4E85-90B3-D4C69ACAF534} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Keine Datei <==== ACHTUNG
Task: {4115ED2A-4B49-4B20-8636-972372BB9273} - \Microsoft\Windows\UNP\RunCampaignManager -> Keine Datei <==== ACHTUNG
Task: {5D403592-0D08-458A-8E3B-630EDACEE8B4} - \McAfee\McAfee Idle Detection Task -> Keine Datei <==== ACHTUNG
Task: {6F14B37A-99EF-4935-B835-534FC5705255} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Keine Datei <==== ACHTUNG
Task: {72B5A4A4-FA4B-4C4F-8C81-BAB5D3B70B54} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Keine Datei <==== ACHTUNG
Task: {7882DC33-4238-4F73-905F-377FA278D16B} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Keine Datei <==== ACHTUNG
Task: {87216444-51B2-4570-86E0-4A3915EBD7B7} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Keine Datei <==== ACHTUNG
Task: {CFD32356-E45E-45BD-B579-1CDA72BA3044} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Keine Datei <==== ACHTUNG
Task: {D8DF5507-101A-48FC-AF34-8689DCF0EF31} - \WPD\SqmUpload_S-1-5-21-3329994275-1887797684-988601984-1005 -> Keine Datei <==== ACHTUNG
Task: {DE5AD134-8AD8-443C-B382-FCABF2796E2F} - \WPD\SqmUpload_S-1-5-21-3329994275-1887797684-988601984-1002 -> Keine Datei <==== ACHTUNG
Task: {E33A863B-0223-44C7-A897-5A54C5C8A66E} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Keine Datei <==== ACHTUNG
CMD: dir "%ProgramFiles%"
CMD: dir "%ProgramFiles(x86)%"
CMD: dir "%ProgramData%"
CMD: dir "%Appdata%"
CMD: dir "%LocalAppdata%"
CMD: dir "%CommonProgramFiles(x86)%"
CMD: dir "%CommonProgramW6432%"
CMD: dir "%UserProfile%"
CMD: dir "C:\"
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
CMD: ipconfig /flushdns
CMD: netsh winsock reset
RemoveProxy:
EmptyTemp:
End::

  ---

• Starte nun FRST und klicke direkt den Entfernen Button. Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2

• Starte FRST erneut. Kopiere den Inhalt der folgenden Code-Box oben in das Suchfeld:
  
  Code:

  ---

  SearchAll: Pokki;SweetLabs;TestForSpeed;MergeDocsOnline;EasyPDFCombine;JETZT KONVERTIEREN

  ---

• Klicke auf den Button Datei-Suche.
• FRST beginnt mit dem Suchlauf. Dieser kann einige Zeit dauern, bitte gedulde dich!
• Am Ende wird eine Textdatei Search.txt erstellt.
• Poste mir deren Inhalt mit deiner nächsten Antwort.

Schritt 3

• Starte die FRST.exe erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort

• die Logdatei des FRST-Fix (fixlog.txt),
• die Logdatei des FRST-Suchlaufs (Search.txt),
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt).

Hinweis: Der Suchlauf mit ESET kann länger ( >> 2 Stunden) dauern.





Schritt 1

• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
DeleteValue: HKEY_USERS\S-1-5-21-3329994275-1887797684-988601984-1002\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION|Jetzt Konvertieren.exe
EmptyTemp:
End::

  ---

• Starte nun FRST und klicke direkt den Entfernen Button. Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich die FRST/FRST64.exe befindet.
• Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2
Downloade Dir bitte ESET Online Scanner auf deinen Desktop (Bebilderte Anleitung).

• Starte die Installationsdatei.
• Klicke auf Erste Schritte und akzeptiere die Nutzungsbedingungen.
• Klicke wiederrum auf Erste Schritte, wähle die empfohlenen Einstellungen aus und klicke auf Weiter.
• Wähle einen Vollständigen Scan aus, aktiviere die Erkennung von potentiell unerwünschten Anwendungen und klicke auf Prüfung starten.
• Zuerst werden die notwendigen Module und Signaturen heruntergeladen, anschließend startet der Suchlauf automatisch.
• Klicke am Ende des Suchlaufs zuerst auf Weiter. Im Scan-Bericht werden gegebenenfalls die gefundenen Elemente aufgelistet, klicke hier auf Scan-Log speichern und speichere das Ergebnis als eset.txt auf deinen Desktop ab, damit wir notfalls an die Ergebnisse noch kommen.
• Klicke immer auf Weiter und beende ESET mit Ohne Feedback schließen.
• Öffne die ausführliche Logdatei über die Tastenkombination WIN+R (Ausführen), kopiere ins Textfeld folgendes hinein und klick dann auf OK.
  
  Code:

  ---

  notepad "%tmp%\log.txt"

  ---

• Du solltest nun eine geöffnete Textdatei mit dem ausführlichen ESET-Log sehen - alles markieren mit STRG+A und hier in CODE-Tags posten.

http://www.trojaner-board.de/extra/lesestoff.pngGibt es jetzt noch Probleme mit dem PC oder mit deinen Internet Browsern? Wenn ja, welche?







Bitte poste mit deiner nächsten Antwort

• die Logdatei des FRST-Fix,
• die Logdatei von ESET,
• die Beantwortung der gestellten Fragen.

werden die anforderten txt daten heute abend, in den beitrag schreiben.

Ok, bis dann. :)

kann schonmal sagen, dass der rechner deutlich flüssiger läuft.
ich werde ihn in den nächsten tagen testen

Schritt 1

• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
DeleteQuarantine:
Reboot:
End::

  ---

• Starte nun FRST und klicke direkt den Entfernen Button. Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich die FRST/FRST64.exe befindet.
• Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc


Abschließend bitte noch einen Cleanup mit unserem TBCleanUpTool durchführen und unbedingt die Sicherheitsmaßnahmen lesen und umsetzen - beides ist in folgendem Lesestoff verlinkt:




Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:
Vielleicht möchtest du das Forum mit einer kleinen Spende https://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:

Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Dann bitte noch den im letzten Post erwähnten Lesestoff durcharbeiten und wir sind fertig. :)




Ich bin froh, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.