SEO.exe eingefangen nach Download von chip.de
 

Hallo in die Runde,

leider hat sich mein Schwiegervater ein kostenloses Scan-Tool (WinScan2PDF) installiert und hierbei gleich auch noch weitere unerwünschte Software.
Das eine hieß: QuickDriverUpdater und konnte mit Systemmitteln deinstalliert werden (zumindest haben wir das versucht).
Das andere heißt: SEO.exe und startet wohl sich beim Autostart und zeigt eine Fehlermeldung an ("seo shell-benachrichtigungssymbol kann nicht entfernt werden."

Mein Schwiegervater hat Norton Antivirus installiert und einen Scan gemacht, der nichts gefunden hat.

Hier die Logfiles aus FRST und Addition.

Vielen Dank für Eure Hilfe!

Viele Grüße

Maja


FRST.txt und Additon.txt:
*********************

:hallo:


Mein Name ist Matthias und ich werde dir bei der Analyse und Bereinigung deines Systems helfen.



Ich analysiere gerade dein System und melde mich in Kürze mit weiteren Anweisungen.

Servus,


dein Schwiegervater muss besser auf die Downloadquellen achten. :D ;)

Eine kurze Information vorab:





Auf dem System sind jetzt keine Trojaner, aber viel unerwünschte Software und Adware. Norton ist dafür nicht geeignet.
Dafür müssen wir ein paar Bereinigungsschritte durchführen, aber das sollte alles kein Problem sein.
Wir starten zuerst eine Reparatur mit FRST. Bitte die dazugehörige Logdatei posten.




Reparatur mit FRST
HINWEIS AN ALLE MITLESER:
Dieses FRST-Skript ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System verwendet werden!

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Markiere den gesamten Inhalt der folgenden Code-Box mit der Maus und kopiere ihn (gleichzeitiges Drücken der beiden Tasten "STRG" + "C"):
  
  Code:

  ---

  Start::
CreateRestorePoint:
CloseProcesses:
DeleteKey: HKU\S-1-5-21-1275647924-3172935870-2327309876-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BitCleaner
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{02251d6d-3fac-4a8a-b8db-3b302f5b4051}
CMD: reg query "HKU\S-1-5-21-1275647924-3172935870-2327309876-1005\Software\Microsoft\Windows\CurrentVersion\Uninstall\seekentral" /S
DeleteKey: HKU\S-1-5-21-1275647924-3172935870-2327309876-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\seekentral
CMD: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{0000A0AB-3A12-1EF4-A21C-9ADE1843AB04}" /S
CMD: reg query "HKU\S-1-5-21-1275647924-3172935870-2327309876-1005\Software\Microsoft\Windows\CurrentVersion\Uninstall\JustConvertFiles" /S
CustomCLSID: HKU\S-1-5-21-1275647924-3172935870-2327309876-1005_Classes\CLSID\{37906838-DE43-4833-8569-53BBD2D4F9F4}\InprocServer32 -> kein Dateipfad
CustomCLSID: HKU\S-1-5-21-1275647924-3172935870-2327309876-1005_Classes\CLSID\{642ccb6b-4be1-471e-bc61-606dd9dc7c79}\localserver32 -> "C:\Program Files\InPixio\Photo Studio 11\PhotoStudioIPS11.exe" -ToastActivated => Keine Datei
CustomCLSID: HKU\S-1-5-21-1275647924-3172935870-2327309876-1005_Classes\CLSID\{6FF9B5B6-389F-444A-9FDD-A286C36EA079}\InprocServer32 -> C:\Program Files\MagentaCLOUD\CfApiShellExtensions.dll () [Datei ist nicht signiert]
ShellIconOverlayIdentifiers: [                MagentaCLOUDError] -> {21A727D8-DF75-47AC-9B23-98CA9941E764} => C:\Windows\System32\shellext\NCOverlays.dll -> Keine Datei
ShellIconOverlayIdentifiers: [                MagentaCLOUDOK] -> {5FB43024-D810-463E-8298-25AC18B4D657} => C:\Windows\System32\shellext\NCOverlays.dll -> Keine Datei
ShellIconOverlayIdentifiers: [                MagentaCLOUDOKShared] -> {207E0D58-A4D2-4BEA-B23F-74B275067FF4} => C:\Windows\System32\shellext\NCOverlays.dll -> Keine Datei
ShellIconOverlayIdentifiers: [                MagentaCLOUDSync] -> {B7E41BEC-A46C-4536-A3B8-F20322BC4538} => C:\Windows\System32\shellext\NCOverlays.dll -> Keine Datei
ShellIconOverlayIdentifiers: [                MagentaCLOUDWarning] -> {EC74FC2C-CC25-4FF8-B860-8F98CB200CCE} => C:\Windows\System32\shellext\NCOverlays.dll -> Keine Datei
ShellIconOverlayIdentifiers: [  MagentaOverlayIcon1] -> {70fd746c-367b-3030-8aa3-9170bba946b5} =>  -> Keine Datei
ShellIconOverlayIdentifiers: [  MagentaOverlayIcon2] -> {975d4594-41a0-3903-a44e-ce7109705240} =>  -> Keine Datei
ShellIconOverlayIdentifiers: [  MagentaOverlayIcon3] -> {4e36001f-6b82-3b12-8348-64d682964de9} =>  -> Keine Datei
ShellIconOverlayIdentifiers: [  MagentaOverlayIcon4] -> {47418e6f-8c1d-3223-bef9-2ba1bc655f28} =>  -> Keine Datei
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Keine Datei
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Keine Datei
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Keine Datei
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Keine Datei
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Keine Datei
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Keine Datei
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Keine Datei
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Keine Datei
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Keine Datei
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Keine Datei
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Keine Datei
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Keine Datei
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Keine Datei
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Keine Datei
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Keine Datei
ContextMenuHandlers1: [PDFCreator.ShellContextMenu] -> {d9cea52e-100d-4159-89ea-76e845bc13e1} =>  -> Keine Datei
ContextMenuHandlers2: [ContextMenu] -> {ee10d625-cc60-30a4-b3df-4b349785be6b} => C:\Program Files (x86)\Avira\Security\Antivirus.ContextMenu\Antivirus.ContextMenu.DLL -> Keine Datei
C:\Program Files (x86)\Avira
ContextMenuHandlers3: [ContextMenu] -> {ee10d625-cc60-30a4-b3df-4b349785be6b} => C:\Program Files (x86)\Avira\Security\Antivirus.ContextMenu\Antivirus.ContextMenu.DLL -> Keine Datei
ContextMenuHandlers3: [MagentaCLOUDContextMenuHandler] -> {C475B1E0-655A-4080-9D13-C3F0905740CF} => C:\Windows\System32\shellext\NCContextMenu.dll -> Keine Datei
SearchScopes: HKU\S-1-5-21-1275647924-3172935870-2327309876-1005 -> {BDF61FAE-9D19-40F0-8F34-688DEB334CA9} URL = hxxp://securedsearch.lavasoft.com/results.php?pr=vmn&id=webcompa&ent=ch_WCYID10000__170917&q={searchTerms}
IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com
IE trusted site: HKU\S-1-5-21-1275647924-3172935870-2327309876-1005\...\webcompanion.com -> hxxp://webcompanion.com
HKLM\...\Run: [] => [X]
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-1275647924-3172935870-2327309876-1005\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe [3429528 2025-04-16] (7270356 Canada Inc. -> Lavasoft) <==== ACHTUNG
HKU\S-1-5-21-1275647924-3172935870-2327309876-1005\...\Run: [] => [X]
HKLM\Software\...\Authentication\Credential Providers: [{C885AA15-1764-4293-B82A-0586ADD46B35}] ->
Startup: C:\Users\AllUserName\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\BitCleaner Tasker.lnk [2025-04-16] <==== ACHTUNG
C:\Users\AllUserName\AppData\Roaming\BitCleaner
Startup: C:\Users\AllUserName\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SearchEngineOptimizer.lnk [2025-04-16] <==== ACHTUNG
C:\Users\AllUserName\AppData\Roaming\SEO
GroupPolicy-Firefox: Beschränkung <==== ACHTUNG
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Beschränkung <==== ACHTUNG
Task: {6A832DD1-78E1-41FE-8260-B6CDF17F03F4} - \Opera scheduled assistant Autoupdate 1744822956 -> Keine Datei <==== ACHTUNG
Task: {077BA067-7C15-40F0-B22E-C9DC2A54B4A2} - System32\Tasks\Microsoft\Windows\Location\Notifications => %windir%\System32\LocationNotificationWindows.exe  (Keine Datei)
Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => %SystemRoot%\System32\MbaeParserTask.exe  (Keine Datei)
Task: {9EF616FA-0E7F-43F5-9207-FCA4474496B4} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_AC => %systemroot%\system32\MusNotification.exe  /RunOnAC RebootDialog (Keine Datei)
Task: {A81B23DF-5D31-4266-ACB2-56656DFD1C25} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_Battery => %systemroot%\system32\MusNotification.exe  /RunOnBattery RebootDialog (Keine Datei)
Task: {F3E6E7ED-A196-4E44-8803-55FAB3AD4E29} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Keine Datei)
Task: {4D57982D-66C5-49D9-B09D-AD908C19B015} - System32\Tasks\SEO => C:\Users\AllUserName\AppData\Roaming\SEO\SEO.exe [11398232 2025-04-16] (BUSINESS CONVERS TRACK S.R.L. -> Business Convers Track S.R.L.) <==== ACHTUNG
C:\Users\AllUserName\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\emgfgdclgfeldebanedpihppahgngnle
FF SearchPlugin: C:\Users\AllUserName\AppData\Roaming\Mozilla\Firefox\Profiles\ppr1ff4o.default-release\searchplugins\My Firefox Search.xml [2021-08-16]
FF Homepage: Mozilla\Firefox\Profiles\f4wtvsot.default -> hxxps://myfiresearch.com/homepage?hp=1&bitmask=9996&pId=CH210629&iDate=2021-08-16 04:34:57&bName=
FF NewTab: Mozilla\Firefox\Profiles\f4wtvsot.default -> hxxps://myfiresearch.com/homepage?hp=1&bitmask=9996&pId=CH210629&iDate=2021-08-16 04:34:57&bName=
FF NewTab: Mozilla\Firefox\Profiles\ppr1ff4o.default-release -> hxxps://myfiresearch.com/homepage?hp=1&bitmask=9996&pId=CH210629&iDate=2021-08-16 04:34:57&bName=
CHR HKLM\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton Security\Engine\22.24.8.36\Exts\Chrome.crx <nicht gefunden>
CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif]
CHR HKLM-x32\...\Chrome\Extension: [caljgklbbfbcjjanaijlacgncafpegll]
CHR HKLM-x32\...\Chrome\Extension: [ccbpbkebodcjkknkfkpmfeciinhidaeh]
CHR HKLM-x32\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton Security\Engine\22.24.8.36\Exts\Chrome.crx <nicht gefunden>
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk]
CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif]
R2 DCIService; C:\Program Files (x86)\Lavasoft\Web Companion\Service\x64\DCIService.exe [3420376 2025-04-16] (Lavasoft Software Canada Inc. -> ) <==== ACHTUNG
R2 WCAssistantService; C:\Program Files (x86)\Lavasoft\Web Companion\Application\Lavasoft.WCAssistant.WinService.exe [27800 2025-04-16] (7270356 Canada Inc. -> ) <==== ACHTUNG
C:\Users\AllUserName\AppData\Local\AviraWebView2Cache
C:\WINDOWS\system32\rtp.db
C:\Users\AllUserName\AppData\Local\Avira
C:\ProgramData\Avira
C:\Program Files (x86)\Avira
C:\WINDOWS\system32\Tasks\Opera scheduled Autoupdate 1744822955
C:\Users\AllUserName\Downloads\WinScan2PDF__1_ (3).zip
C:\Users\AllUserName\AppData\Local\Opera Software
C:\Users\AllUserName\AppData\Roaming\SEO
C:\Users\AllUserName\AppData\Roaming\Opera Software
C:\Users\AllUserName\AppData\Roaming\BitCleaner
C:\Users\AllUserName\Downloads\WinScan2PDF__1_ (2).zip
C:\Users\AllUserName\Downloads\WinScan2PDF__1_.zip
C:\Users\AllUserName\Downloads\*CHIP Installer*.exe
C:\WINDOWS\system32\Tasks\Avira
C:\Program Files (x86)\Lavasoft
C:\ProgramData\Application Data\Lavasoft
C:\ProgramData\Lavasoft
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft
C:\Users\AllUserName\AppData\Local\Lavasoft
C:\Users\AllUserName\AppData\Roaming\Lavasoft
DeleteKey: HKCU\Software\Lavasoft
DeleteKey: HKLM\Software\Wow6432Node\Lavasoft
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh winhttp reset proxy
CMD: Bitsadmin /Reset /Allusers
CMD: Winmgmt /salvagerepository
CMD: Winmgmt /verifyrepository
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
Hosts:
RemoveProxy:
EmptyTemp:
End::

  ---

• Starte nun FRST und klicke direkt auf den Button Reparieren.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt die Datei fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Zum Abschluss wird das System neu gestartet.
• Poste mir den Inhalt der Datei fixlog.txt mit deiner nächsten Antwort.

Hallo Matthias,

vielen Dank für Deine Untersuchung. Werde es ihm auf jeden Fall ausrichten, dass er nichts mehr aus unseriösen Quellen runterlädt.

Hier das FixLog:

Gut gemacht. :)

Als Nächstes bitte MBAM, ADW und FMRS ausführen.



Schritt 1
Führe Malwarebytes' AntiMalware (MBAM) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.



Schritt 2
Führe AdwCleaner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.



Schritt 3
Bitte downloade dir Furtivex Malware Removal Script (FMRS) auf deinen Desktop.

• Bitte speichere alle Arbeiten und schließe alle offenen Programme, da dieses Tool alle nicht-notwendigen Prozesse während der Bereinigung beendet.
• Rechtsklicke auf FMRS und wähle Als Administrator ausführen.
• Bitte gedulde dich, während die Reparatur durchgeführt wird.
• Am Ende der Bereinigung wird auf dem Desktop eine Datei mit dem Namen FMRS_[DatumUhrzeit].txt abgespeichert.
• Poste mir den Inhalt dieser Datei mit deiner nächsten Antwort.

Hallo Matthias,

hier als erstes die MBAM.txt

Gut gemacht. :)

Dann weiter mit Schritt 2 und 3.

Hab jetzt auch den ADWCleaner gemacht.
Dann auch noch das Tool aus 3.
Da hat der Norton total gemeckert und den Prozess abgebrochen.
Meinst Du, ob das auch ohne geht?

Hier schonmal das Log vom ADWCleaner:

Vielen Dank für die Logdatei von AdwCleaner.
Da wurden noch ein paar Reste entfernt.


Das ist ein Fehlalarm von Norton. Leider meckern fälschlicherweise immer noch ein paar AV-Programme bei dem Tool, obwohl es legitim ist.

Willst du das Tool nicht ausführen, weil Norton meckert?

Ich fände es schon gut, wenn du Norton sagst, dass es das Tool zulassen soll und es dann ausgeführt werden würde.