Firefox von Malware entführt

markus.klingenberg

Hallo!

Firefox wurde durch Malware entführt. Wenn ich Firefox starte kommt manchmal ein Programm, das dann nach Passworteingabe usw. fragt. Man landet in einer Endlos-Schleife. Man kommt nur über Task.Manager raus.
Oder bei einer Suchanfrage wird eine neue Seite aufgemacht und man landet bei Yahoo anstatt Standard-Google.
Hab schon mehrere Neuinstallationen gemacht, Virenchecker, AdCleaner probiert => ohne Erfolg.
Auch löschen von allen Dateien, die mit Stichwort Firefox zu finden waren, alles ohne Erfolg => Wer hat noch Tipps bevor ich Laufwerk C platt machen muss?

Zitronella

Gib uns bitte mehr Infos über deinen Firefox und zwar folgendermaßen:
●☰ ➜ (?) Hilfe ➜ Informationen zur Fehlerbehebung
● jetzt die Schaltfläche "Text in die Zwischenablage kopieren" anklicken
● jetzt den kopierten Text aus der Zwischenablage als Code hier ins Forum einfügen. siehe dazu

Fox2Fox

Zitat von markus.klingenberg

Wenn ich Firefox starte kommt manchmal ein Programm, das dann nach Passworteingabe usw. fragt. Man landet in einer Endlos-Schleife. Man kommt nur über Task.Manager raus.

Meinst du dieses oder ähliches?
https://www.camp-firefox.de/forum/viewtopic.php?f=1&t=119528

markus.klingenberg

Zumindest ist dies ein Teil des Problems. Erklärt noch nicht warum Firefox z.B. ein Suchergebnis für 3 sec richtig anzeigt und plötzlich die Ergebnisse geändert werden oder ein neues Fenster aufgeht mit Yahoo als Suchmaschine.
Das andere probier ich aber auf jeden Fall beim näxhsten Auftreten.

markus.klingenberg

PS

Selbst im abgesichrten Firefox-Modus passieert der Fehler, Bereinigen-Fkt hat nichts gebracht.

AngelOfDarkness

Liefere bitte mal die Informationen, die bereits im Beitrag #2 angefordert wurden, insofern machbar.

Mache bitte mal einen Scan mit dem AdwCleaner und poste hier das Ergebnis im vollständigen Editor zwischen den Code-Klammern </> des vollständigen Editors, anstatt den Fundbericht wie in der Anleitung hochzuladen (Schritt 3) : Mit AdwCleaner nach Problemen suchen

markus.klingenberg

Code

Hijackthis


<Running processes:
Number | Path
   2  C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AcroRd32.exe
   1  C:\Program Files (x86)\Chip Digital GmbH\chip1click\chip 1-click installer.exe
   1  C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
   1  C:\Program Files (x86)\Common Files\DVDVideoSoft\lib\app_updater.exe
   1  C:\Program Files (x86)\Common Files\DVDVideoSoft\lib\vidnotifier\vidnotifier.exe
   1  C:\Program Files (x86)\Microsoft Office\root\Office16\OUTLOOK.EXE
   1  C:\Program Files (x86)\Panda Security\Panda Devices Agent\AgentSvc.exe
   1  C:\Program Files (x86)\Panda Security\Panda Security Protection\PSANHost.exe
   1  C:\Program Files (x86)\Panda Security\Panda Security Protection\PSUAMain.exe
   1  C:\Program Files (x86)\Panda Security\Panda Security Protection\PSUAService.exe
   1  C:\Program Files (x86)\devolo\dlan\devolonetsvc.exe
   1  C:\Program Files\Common Files\Common Desktop Agent\CDASrv.exe
   1  C:\Program Files\Common Files\microsoft shared\ClickToRun\OfficeClickToRun.exe
   1  C:\Program Files\Dell\QuickSet\quickset.exe
   6  C:\Program Files\Mozilla Firefox\firefox.exe
   1  C:\Program Files\Windows Media Player\wmpnetwk.exe
   1  C:\Program Files\WindowsApps\Microsoft.Windows.Photos_2018.18091.17210.0_x64__8wekyb3d8bbwe\Microsoft.Photos.exe
   1  C:\Program Files\rempl\sedsvc.exe
   1  C:\Users\admin\Desktop\HiJackThis\HiJackThis_v2.8.0.4.exe
   1  C:\Windows\ImmersiveControlPanel\SystemSettings.exe
   1  C:\Windows\SysWOW64\SecUPDUtilSvc.exe
   2  C:\Windows\SysWOW64\cmd.exe
   1  C:\Windows\SysWOW64\dllhost.exe
   1  C:\Windows\SysWOW64\notepad.exe
   1  C:\Windows\SysWOW64\svchost.exe
   1  C:\Windows\System32\ApplicationFrameHost.exe
   4  C:\Windows\System32\RuntimeBroker.exe
   1  C:\Windows\System32\SearchIndexer.exe
   1  C:\Windows\System32\SecurityHealthService.exe
   1  C:\Windows\System32\SettingSyncHost.exe
   1  C:\Windows\System32\SgrmBroker.exe
   1  C:\Windows\System32\WUDFHost.exe
   2  C:\Windows\System32\conhost.exe
   2  C:\Windows\System32\csrss.exe
   1  C:\Windows\System32\ctfmon.exe
   1  C:\Windows\System32\dasHost.exe
   1  C:\Windows\System32\dllhost.exe
   1  C:\Windows\System32\dwm.exe
   2  C:\Windows\System32\fontdrvhost.exe
   1  C:\Windows\System32\lsass.exe
   1  C:\Windows\System32\services.exe
   1  C:\Windows\System32\sihost.exe
   1  C:\Windows\System32\smss.exe
   1  C:\Windows\System32\spoolsv.exe
  71  C:\Windows\System32\svchost.exe
   2  C:\Windows\System32\taskhostw.exe
   1  C:\Windows\System32\wbem\WmiPrvSE.exe
   1  C:\Windows\System32\wininit.exe
   1  C:\Windows\System32\winlogon.exe
   1  C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe
   1  C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe
   1  C:\Windows\explorer.exe
   1  D:\Downloads\Treiber\Bluetooth\Treiber1\BtSwitcherService.exe
   1  D:\Downloads\Treiber\Bluetooth\Treiber1\CsrAudioguiCtrl.exe
   1  D:\Downloads\Treiber\Bluetooth\Treiber1\CsrBtAudioService.exe
   1  D:\Downloads\Treiber\Bluetooth\Treiber1\CsrBtOBEXService.exe
   1  D:\Downloads\Treiber\Bluetooth\Treiber1\CsrBtService.exe
   1  D:\Downloads\Treiber\Bluetooth\Treiber1\CsrHCRPServer.exe
   1  D:\Downloads\Treiber\Bluetooth\Treiber1\CsrSyncMLServer.exe
   1  D:\Downloads\Treiber\Bluetooth\Treiber1\HarmonyUserStartup.exe
   1  D:\Downloads\Treiber\Bluetooth\Treiber1\TrayApplication.exe
   1  D:\Downloads\Treiber\Bluetooth\Treiber1\vksts.exe
   1  D:\HiJackThis\MemCompression
   1  D:\HiJackThis\Registry


O4 - HKCU\..\Run: [vidnotifier.exe] = C:\Program Files (x86)\Common Files\DVDVideoSoft\lib\vidnotifier\vidnotifier.exe
O4 - HKLM\..\Run: [CDAServer] = C:\Program Files\Common Files\Common Desktop Agent\CDASrv.exe
O4 - HKLM\..\Run: [Windows Mobile Device Center] = C:\WINDOWS\WindowsMobile\wmdc.exe
O4 - HKLM\..\StartupApproved\Run: [CSRHarmonySkypePlugin] (1601/01/01) = C:\Program Files (x86)\CSR\CSR Harmony Wireless Software Stack\CSRHarmonySkypePlugin.exe
O4 - HKLM\..\StartupApproved\Run: [CsrAudioguiCtrl] (1601/01/01) = D:\Downloads\Treiber\Bluetooth\Treiber1\CsrAudioguiCtrl.exe
O4 - HKLM\..\StartupApproved\Run: [CsrHCRPServer] (1601/01/01) = D:\Downloads\Treiber\Bluetooth\Treiber1\CsrHCRPServer.exe
O4 - HKLM\..\StartupApproved\Run: [CsrSyncMLServer] (1601/01/01) = D:\Downloads\Treiber\Bluetooth\Treiber1\CsrSyncMLServer.exe
O4 - HKLM\..\StartupApproved\Run: [HarmonyUserStartup] (1601/01/01) = D:\Downloads\Treiber\Bluetooth\Treiber1\HarmonyUserStartup.exe
O4 - HKLM\..\StartupApproved\Run: [QuickSet] (1601/01/01) = C:\Program Files\Dell\QuickSet\QuickSet.exe
O4 - HKLM\..\StartupApproved\Run: [SecurityHealth] (2017/11/15) = C:\Program Files\Windows Defender\MSASCuiL.exe
O4 - HKLM\..\StartupApproved\Run: [TrayApplication] (1601/01/01) = D:\Downloads\Treiber\Bluetooth\Treiber1\TrayApplication.exe
O4 - HKLM\..\StartupApproved\Run: [vksts] (1601/01/01) = D:\Downloads\Treiber\Bluetooth\Treiber1\vksts.exe
O4 - HKU\S-1-5-19\..\RunOnce: [WAB Migrate] = C:\Program Files\Windows Mail\wab.exe /Upgrade
O4 - HKU\S-1-5-20\..\RunOnce: [WAB Migrate] = C:\Program Files\Windows Mail\wab.exe /Upgrade
O4-32 - HKLM\..\Run: [PSUAMain] = C:\Program Files (x86)\Panda Security\Panda Security Protection\PSUAMain.exe /LaunchSysTray
O9-32 - Button: HKLM\..\{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - Mobilen Favoriten erstellen - C:\WINDOWS\WindowsMobile\INetRepl.dll
O9-32 - Button: HKLM\..\{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - (no name) - C:\WINDOWS\WindowsMobile\INetRepl.dll
O9-32 - Tools menu item: HKLM\..\{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - Mobilen Favoriten erstellen... - C:\WINDOWS\WindowsMobile\INetRepl.dll
O17 - DHCP DNS 1: 192.168.0.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files (x86)\Common Files\Skype\Skype4COM.dll
O21 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive1 - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive2 - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive3 - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive4 - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive5 - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive6 - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive7 - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive1 - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive2 - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive3 - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive4 - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive5 - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive6 - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive7 - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O22 - Task: (disabled) \Microsoft\Windows\HelloFace\FODCleanupTask - C:\WINDOWS\System32\WinBioPlugIns\FaceFodUninstaller.exe (Microsoft)
O22 - Task: (disabled) \Microsoft\Windows\InstallService\WakeUpAndContinueUpdates - {0DC331EE-8438-49D5-A721-E10B937CE459} - C:\Windows\System32\InstallServiceTasks.dll (Microsoft)
O22 - Task: (disabled) \Microsoft\Windows\InstallService\WakeUpAndScanForUpdates - {D5A04D91-6FE6-4FE4-A98A-FEB4500C5AF7} - C:\Windows\System32\InstallServiceTasks.dll (Microsoft)
O22 - Task: (disabled) \Microsoft\Windows\UpdateOrchestrator\UpdateAssistant - C:\WINDOWS\UpdateAssistant\UpdateAssistant.exe /ClientID Win10Upgrade:VNL:Th2Eos:{} (Microsoft)
O22 - Task: (disabled) \Microsoft\Windows\UpdateOrchestrator\UpdateAssistantCalendarRun - C:\WINDOWS\UpdateAssistant\UpdateAssistant.exe /ClientID Win10Upgrade:VNL:Th2Eos:{} /CalendarRun (Microsoft)
O22 - Task: (disabled) \S-1-5-21-1948384408-553668163-268504756-1001\DataSenseLiveTileTask - C:\WINDOWS\System32\DataUsageLiveTileTask.exe
O22 - Task: (telemetry) \Microsoft\Office\OfficeTelemetryAgentFallBack2016 - C:\Program Files (x86)\Microsoft Office\root\Office16\msoia.exe scan upload mininterval:2880 (Microsoft)
O22 - Task: (telemetry) \Microsoft\Office\OfficeTelemetryAgentLogOn2016 - C:\Program Files (x86)\Microsoft Office\root\Office16\msoia.exe scan upload (Microsoft)
O22 - Task: Allway Sync_{4CDEC1BF2566A65BF37894142F557AAC} - C:\Program Files\Allway Sync\Bin\syncappw.exe -e -m -l -s "4CDEC1BF2566A65BF37894142F557AAC"
O22 - Task: Driver Booster SkipUAC (admin) - C:\Program Files (x86)\IObit\Driver Booster\5.1.0\DriverBooster.exe /skipuac (file missing)
O22 - Task: EPM Preload - C:\Program Files (x86)\Samsung\Easy Printer Manager\EPM2DotNetHandler.exe /preload
O22 - Task: Opera scheduled Autoupdate 1544357579 - C:\Users\admin\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0)
O22 - Task: \Microsoft\Office\Office Automatic Updates 2.0 - C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeC2RClient.exe /frequentupdate SCHEDULEDTASK displaylevel=False (Microsoft)
O22 - Task: \Microsoft\Office\Office ClickToRun Service Monitor - C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeC2RClient.exe /WatchService (Microsoft)
O22 - Task: \Microsoft\Office\Office Feature Updates - C:\Program Files (x86)\Microsoft Office\root\VFS\ProgramFilesCommonX86\Microsoft Shared\Office16\sdxhelper.exe (Microsoft)
O22 - Task: \Microsoft\Office\Office Feature Updates Logon - C:\Program Files (x86)\Microsoft Office\root\VFS\ProgramFilesCommonX86\Microsoft Shared\Office16\sdxhelper.exe /onlogon (Microsoft)
O22 - Task: \Microsoft\Office\OfficeBackgroundTaskHandlerLogon - C:\Program Files (x86)\Microsoft Office\root\Office16\officebackgroundtaskhandler.exe (Microsoft)
O22 - Task: \Microsoft\Office\OfficeBackgroundTaskHandlerRegistration - C:\Program Files (x86)\Microsoft Office\root\Office16\officebackgroundtaskhandler.exe (Microsoft)
O22 - Task: \Microsoft\Windows\DeviceDirectoryClient\RegisterDeviceLocationRightsChange - {AE31B729-D5FD-401E-AF42-784074835AFE},-RegisterDevice -SettingChange - C:\WINDOWS\system32\DeviceDirectoryClient.dll (Microsoft)
O22 - Task: \Microsoft\Windows\DeviceDirectoryClient\RegisterDevicePolicyChange - {AE31B729-D5FD-401E-AF42-784074835AFE},-RegisterDevice -SettingChange - C:\WINDOWS\system32\DeviceDirectoryClient.dll (Microsoft)
O22 - Task: \Microsoft\Windows\DeviceDirectoryClient\RegisterDeviceProtectionStateChanged - {AE31B729-D5FD-401E-AF42-784074835AFE},-RegisterDevice -ProtectionStateChanged -FreeNetworkOnly - C:\WINDOWS\system32\DeviceDirectoryClient.dll (Microsoft)
O22 - Task: \Microsoft\Windows\DeviceDirectoryClient\RegisterDeviceWnsFallback - {AE31B729-D5FD-401E-AF42-784074835AFE},-RegisterDevice -Periodic - C:\WINDOWS\system32\DeviceDirectoryClient.dll (Microsoft)
O22 - Task: \Microsoft\Windows\DirectX\DXGIAdapterCache - C:\WINDOWS\system32\dxgiadaptercache.exe (Microsoft)
O22 - Task: \Microsoft\Windows\InstallService\ScanForUpdates - {A558C6A5-B42B-4C98-B610-BF9559143139} - C:\Windows\System32\InstallServiceTasks.dll (Microsoft)
O22 - Task: \Microsoft\Windows\InstallService\ScanForUpdatesAsUser - {DDAFAEA2-8842-4E96-BADE-D44A8D676FDB} - C:\Windows\System32\InstallServiceTasks.dll (Microsoft)
O22 - Task: \Microsoft\Windows\InstallService\SmartRetry - {F3A219C3-2698-4CBF-9C07-037EDB8E72E6} - C:\Windows\System32\InstallServiceTasks.dll (Microsoft)
O22 - Task: \Microsoft\Windows\LanguageComponentsInstaller\ReconcileLanguageResources - {D0582E3B-3126-4CAA-9155-AC37C912A489} - C:\WINDOWS\System32\LanguageOverlayServer.dll (Microsoft)
O22 - Task: \Microsoft\Windows\SMB\UninstallSMB1ClientTask - C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Unrestricted -NonInteractive -NoProfile -WindowStyle Hidden "& C:\WINDOWS\system32\WindowsPowerShell\v1.0\Modules\SmbShare\DisableUnusedSmb1.ps1 -Scenario Client"
O22 - Task: \Microsoft\Windows\SMB\UninstallSMB1ServerTask - C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Unrestricted -NonInteractive -NoProfile -WindowStyle Hidden "& C:\WINDOWS\system32\WindowsPowerShell\v1.0\Modules\SmbShare\DisableUnusedSmb1.ps1 -Scenario Server"
O22 - Task: \Microsoft\Windows\Speech\HeadsetButtonPress - C:\WINDOWS\system32\speech_onecore\common\SpeechRuntime.exe StartedFromTask (Microsoft)
O22 - Task: \Microsoft\Windows\UpdateOrchestrator\Schedule Retry Scan - C:\WINDOWS\system32\usoclient.exe StartScan (Microsoft)
O22 - Task: \Microsoft\Windows\WaaSMedic\PerformRemediation - {72566E27-1ABB-4EB3-B4F0-EB431CB1CB32},None - C:\WINDOWS\System32\WaaSMedicSvc.dll (Microsoft)
O22 - Task: \Microsoft\Windows\rempl\shell - C:\Program Files\rempl\sedlauncher.exe (Microsoft)
O23 - Service R2: Adobe Acrobat Update Service - (AdobeARMservice) - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service R2: Bluetooth Switcher Service - (BtSwitcherService) - D:\Downloads\Treiber\Bluetooth\Treiber1\BtSwitcherService.exe
O23 - Service R2: CSR Bluetooth Audio-Service - (CSRBtAudioService) - D:\Downloads\Treiber\Bluetooth\Treiber1\CsrBtAudioService.exe
O23 - Service R2: CSR Bluetooth-Dienst - (CsrBtService) - D:\Downloads\Treiber\Bluetooth\Treiber1\CsrBtService.exe
O23 - Service R2: CSR OBEX-Dienst - (CsrBtOBEX-Dienst) - D:\Downloads\Treiber\Bluetooth\Treiber1\CsrBtOBEXService.exe
O23 - Service R2: Digital Wave Update Service - (DigitalWave.Update.Service) - C:\Program Files (x86)\Common Files\DVDVideoSoft\lib\app_updater.exe
O23 - Service R2: Local Cleaner Service - (LCleanerSvc) - C:\WINDOWS\SysWow64\svchost.exe -k LocalCleanerService; "ServiceDll" = C:\Program Files (x86)\PCCleaner\PCCleanerSvc.dll
O23 - Service R2: Microsoft Office-Klick-und-Los-Dienst - (ClickToRunSvc) - C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeClickToRun.exe /service
O23 - Service R2: Panda Devices Agent - (PandaAgent) - C:\Program Files (x86)\Panda Security\Panda Devices Agent\AgentSvc.exe
O23 - Service R2: Panda Product Service - (PSUAService) - C:\Program Files (x86)\Panda Security\Panda Security Protection\PSUAService.exe
O23 - Service R2: Panda Protection Service - (NanoServiceMain) - C:\Program Files (x86)\Panda Security\Panda Security Protection\PSANHost.exe
O23 - Service R2: Samsung UPD Utility Service - (SamsungUPDUtilSvc) - C:\WINDOWS\SysWOW64\SecUPDUtilSvc.exe
O23 - Service R2: Windows 10 Update Facilitation Service - (osrss) - C:\WINDOWS\system32\svchost.exe -k osrss; "ServiceDll" = C:\WINDOWS\system32\osrss.dll
O23 - Service R2: Windows Mobile-basierte Geräteverbindungen - (RapiMgr) - C:\WINDOWS\system32\svchost.exe -k WindowsMobile; "ServiceDll" = C:\WINDOWS\WindowsMobile\rapimgr.dll
O23 - Service R2: Windows Remediation Service - (sedsvc) - C:\Program Files\rempl\sedsvc.exe
O23 - Service R2: chip 1-click download service - (chip1click) - C:\Program Files (x86)\Chip Digital GmbH\chip1click\chip 1-click installer.exe
O23 - Service R2: devolo Network Service - (DevoloNetworkService) - C:\Program Files (x86)\devolo\dlan\devolonetsvc.exe
O23 - Service S2: Local Helper Service - (LHelperSvc) - C:\WINDOWS\SysWow64\svchost.exe -k LocalHelperService; "ServiceDll" = c:\program files (x86)\ostotosoft\conquerorlive\LHelperSvc.dll (file missing)
O23 - Service S2: Windows Mobile 2003-basierte Gerätekonnektivität - (WcesComm) - C:\WINDOWS\system32\svchost.exe -k WindowsMobile; "ServiceDll" = C:\WINDOWS\WindowsMobile\wcescomm.dll
O23 - Service S3: Mozilla Maintenance Service - (MozillaMaintenance) - C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service S3: Panda VPN Service - C:\Program Files (x86)\Panda Security\Panda Security Protection\Hydra.Sdk.Windows.Service.exe
O23 - Service S3: Windows Defender Advanced Threat Protection-Dienst - (Sense) - C:\Program Files\Windows Defender Advanced Threat Protection\MsSense.exe
O23 - Service S3: Windows Defender Antivirus Service - (WinDefend) - C:\ProgramData\Microsoft\Windows Defender\platform\4.18.1806.18062-0\MsMpEng.exe
O23 - Service S3: Windows Defender Antivirus-Netzwerkinspektionsdienst - (WdNisSvc) - C:\ProgramData\Microsoft\Windows Defender\platform\4.18.1806.18062-0\NisSrv.exe




--
End of file 


>


AdwCleaner
<# AdwCleaner v4.200 - Bericht erstellt 12/12/2018 um 19:28:26
# Aktualisiert 29/03/2015 von Xplode
# Datenbank : 2015-03-29.1 [Lokal]
# Betriebssystem : Windows 10 Enterprise  (x64)
# Benutzername : admin - DELL
# Gestarted von : D:\Downloads\Adaware\adwcleaner_4.200.exe
# Option : Suchlauf


***** [ Dienste ] *****




***** [ Dateien / Ordner ] *****




***** [ Geplante Tasks ] *****




***** [ Verknüpfungen ] *****




***** [ Registrierungsdatenbank ] *****


Schlüssel Gefunden : HKCU\Software\OCS
Schlüssel Gefunden : [x64] HKCU\Software\OCS


***** [ Internetbrowser ] *****


-\\ Internet Explorer v11.0.17134.1




-\\ Mozilla Firefox v




-\\ Opera v0.0.0.0




*************************


AdwCleaner[R0].txt - [985 Bytes] - [09/12/2018 21:34:35]
AdwCleaner[R1].txt - [780 Bytes] - [12/12/2018 19:28:26]


########## EOF - C:\AdwCleaner\AdwCleaner[R1].txt - [838 Bytes] ##########
>

Alles anzeigen

Edit 2002Andreas
Text in Klammercode gesetzt.

markus.klingenberg

PS

Danke für weitere Hilfe!

Fox2Fox

Hijackthis kannst du vergessen, denn es taugt nicht mehr für Windows 10

Der erste Scanbericht von AdwCleaner wäre interessanter, aber du hast den 2ten Bericht geliefert. Und vorher wurde wohl schon einiges gelöscht.

Zum Thema Downloads bei chip.de

Warnung vor Downloads von chip.de

Dann die Infos von Beitrag #2 nachliefern.

macko

Zitat von markus.klingenberg

Code

AdwCleaner
<# AdwCleaner v4.200 - Bericht erstellt 12/12/2018 um 19:28:26
# Aktualisiert 29/03/2015 von Xplode
# Datenbank : 2015-03-29.1 [Lokal]
# Betriebssystem : Windows 10 Enterprise  (x64)
# Benutzername : admin - DELL
# Gestarted von : D:\Downloads\Adaware\adwcleaner_4.200.exe

Auch interessant zu wissen wäre, wieso du dich nicht an die verlinkte Anleitung von AngelofDarkness gehalten hast (Beitrag #6), und stattdessen eine über 3 1/2 Jahre alte AdwCleaner Version (Version 4.200) zum Scannen verwendet hast. Bei einer solch veralteten Version bringt dir natürlich ein Malwarescan herzlich wenig. Daher noch einmal die neueste AdwCleaner Version (7.2.5.0) runterladen, und ein Suchvorgang starten mit den genau gleichen Einstellungen, wie es im Link unter Beitrag #6 beschrieben steht, und das Ergebnis hier nochmal reinposten.

Als nächsten Schritt empfehle ich dann auch gerade einen Suchverlauf mit dem aktuellsten Malwarebytes durchzuführen, und auch hier das Suchergebnis in deinen Beitrag zu kopieren.

markus.klingenberg

Hallo!

Hier "Schnellschuss" mit Cleaner aus dem Link.

In eckige Klammern gesetzt, falls dies so richtig ist.

Code

<# -------------------------------
# Malwarebytes AdwCleaner 7.2.5.0
# -------------------------------
# Build:    11-26-2018
# Database: 2018-12-07.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start:    12-12-2018
# Duration: 00:00:19
# OS:       Windows 10 Pro
# Scanned:  32299
# Detected: 12




***** [ Services ] *****


PUP.Optional.Chip               chip1click


***** [ Folders ] *****


Adware.ITranslator              C:\ProgramData\itranslator
PUP.Optional.Chip               C:\Windows\Installer\{503CA94E-0834-4CEE-AD92-BA17AF4E809A}
PUP.Optional.Chip               C:\Program Files (x86)\Chip Digital GmbH
PUP.Optional.DownloadSponsor    C:\Users\admin\AppData\Local\Temp\DMR


***** [ Files ] *****


No malicious files found.


***** [ DLL ] *****


No malicious DLLs found.


***** [ WMI ] *****


No malicious WMI found.


***** [ Shortcuts ] *****


No malicious shortcuts found.


***** [ Tasks ] *****


No malicious tasks found.


***** [ Registry ] *****


PUP.Optional.Chip               HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{503CA94E-0834-4CEE-AD92-BA17AF4E809A}
PUP.Optional.Chip               HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\E49AC3054380EEC4DA29AB71FAE408A9
PUP.Optional.Chip               HKLM\Software\Classes\Installer\Products\E49AC3054380EEC4DA29AB71FAE408A9
PUP.Optional.Chip               HKLM\Software\Classes\Installer\Features\E49AC3054380EEC4DA29AB71FAE408A9
PUP.Optional.Chip               HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\04A063A0BBEACF54EAEF493C49D9E3F6
PUP.Optional.Chip               HKLM\Software\Classes\Installer\UpgradeCodes\04A063A0BBEACF54EAEF493C49D9E3F6
PUP.Optional.Chip               HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\chip 1-click download service


***** [ Chromium (and derivatives) ] *****


No malicious Chromium entries found.


***** [ Chromium URLs ] *****


No malicious Chromium URLs found.


***** [ Firefox (and derivatives) ] *****


No malicious Firefox entries found.


***** [ Firefox URLs ] *****


No malicious Firefox URLs found.




AdwCleaner[S00].txt - [3442 octets] - [08/12/2018 23:38:21]
AdwCleaner[S01].txt - [3503 octets] - [08/12/2018 23:39:25]
AdwCleaner[C01].txt - [3103 octets] - [08/12/2018 23:39:42]
AdwCleaner[S02].txt - [1463 octets] - [09/12/2018 14:14:43]
AdwCleaner[C02].txt - [1629 octets] - [09/12/2018 14:15:17]


########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S03].txt ##########


>

Alles anzeigen

Edit 2002Andreas
Text in Klammercode gesetzt.

macko

Entferne alle von AdwCleaner gefundenen Einträge (wenn nicht schon geschehen), und mache im Nachgang noch einen Suchlauf mit dem verlinkten Malwarebytes aus Beitrag #10, und poste auch hier das Ergebnis des Scanvorgangs.

markus.klingenberg

Code

<Malwarebytes
www.malwarebytes.com


-Protokolldetails-
Scan-Datum: 12.12.18
Scan-Zeit: 21:53
Protokolldatei: eb84d89c-fe4f-11e8-9101-0025647ea823.json


-Softwaredaten-
Version: 3.6.1.2711
Komponentenversion: 1.0.508
Version des Aktualisierungspakets: 1.0.8283
Lizenz: Testversion


-Systemdaten-
Betriebssystem: Windows 10 (Build 17134.471)
CPU: x64
Dateisystem: NTFS
Benutzer: DELL\admin


-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Scan gestartet von: Manuell
Ergebnis: Abgeschlossen
Gescannte Objekte: 297273
Erkannte Bedrohungen: 63
In die Quarantäne verschobene Bedrohungen: 0
Abgelaufene Zeit: 4 Min., 31 Sek.


-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung


-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)


Modul: 5
Rogue.PCCleaner, C:\Program Files (x86)\PCCleaner\AutoUpdate\AutoUpdateUtil.dll, Keine Aktion durch Benutzer, [1317], [171114],1.0.8283
Rogue.PCCleaner, C:\Program Files (x86)\PCCleaner\PCCleanerConfig.dll, Keine Aktion durch Benutzer, [1317], [171114],1.0.8283
Rogue.PCCleaner, C:\Program Files (x86)\PCCleaner\PCCleanerSvc.dll, Keine Aktion durch Benutzer, [1317], [171114],1.0.8283
Rogue.PCCleaner, C:\Program Files (x86)\PCCleaner\PlugCore.dll, Keine Aktion durch Benutzer, [1317], [171114],1.0.8283
Rogue.PCCleaner, C:\Program Files (x86)\PCCleaner\Report.dll, Keine Aktion durch Benutzer, [1317], [171114],1.0.8283


Registrierungsschlüssel: 6
Rogue.PCCleaner, HKU\S-1-5-21-1948384408-553668163-268504756-1001\SOFTWARE\PCCleaner, Keine Aktion durch Benutzer, [1317], [210436],1.0.8283
Rogue.PCCleaner, HKLM\SOFTWARE\WOW6432NODE\PCCleaner, Keine Aktion durch Benutzer, [1317], [212782],1.0.8283
Rogue.PCCleaner, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\LCleanerSvc, Keine Aktion durch Benutzer, [1317], [604291],1.0.8283
Adware.Injector, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\NETFILTERSVC, Keine Aktion durch Benutzer, [3995], [607649],1.0.8283
PUP.Optional.PCVARK, HKLM\SOFTWARE\QWR2YW5jZSAtU3lzdGVtIENhcmU=, Keine Aktion durch Benutzer, [429], [547455],1.0.8283
PUP.Optional.GreatDealz, HKLM\SOFTWARE\WOW6432NODE\GOOGLE\CHROME\EXTENSIONS\lobonlhedgiilkfmbbbfhkaoefacipgj, Keine Aktion durch Benutzer, [1954], [466866],1.0.8283


Registrierungswert: 1
Adware.Injector, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\NETFILTERSVC|IMAGEPATH, Keine Aktion durch Benutzer, [3995], [607649],1.0.8283


Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)


Daten-Stream: 0
(keine bösartigen Elemente erkannt)


Ordner: 7
Rogue.PCCleaner, C:\Program Files (x86)\PCCleaner\Plugs\14C543A105C1B089879D5EB7A8AC45F1, Keine Aktion durch Benutzer, [1317], [171114],1.0.8283
Rogue.PCCleaner, C:\Program Files (x86)\PCCleaner\Plugs\5b92144e864f9a4f2ed0fc4de65303be, Keine Aktion durch Benutzer, [1317], [171114],1.0.8283
Rogue.PCCleaner, C:\Program Files (x86)\PCCleaner\AutoUpdate, Keine Aktion durch Benutzer, [1317], [171114],1.0.8283
Rogue.PCCleaner, C:\Program Files (x86)\PCCleaner\Plugs, Keine Aktion durch Benutzer, [1317], [171114],1.0.8283
Rogue.PCCleaner, C:\PROGRAM FILES (X86)\PCCleaner, Keine Aktion durch Benutzer, [1317], [171114],1.0.8283
Adware.Injector, C:\WINDOWS\NSS, Keine Aktion durch Benutzer, [3995], [607893],1.0.8283
Adware.Injector, C:\WINDOWS\SSL, Keine Aktion durch Benutzer, [3995], [607892],1.0.8283


Datei: 44
Rogue.PCCleaner, C:\Program Files (x86)\PCCleaner\AutoUpdate\AutoUpdate.exe, Keine Aktion durch Benutzer, [1317], [171114],1.0.8283
Rogue.PCCleaner, C:\Program Files (x86)\PCCleaner\AutoUpdate\AutoUpdateUtil.dll, Keine Aktion durch Benutzer, [1317], [171114],1.0.8283
Rogue.PCCleaner, C:\Program Files (x86)\PCCleaner\Plugs\14C543A105C1B089879D5EB7A8AC45F1\config.ini, Keine Aktion durch Benutzer, [1317], [171114],1.0.8283
Rogue.PCCleaner, C:\Program Files (x86)\PCCleaner\Plugs\14C543A105C1B089879D5EB7A8AC45F1\ServicePlug.dll, Keine Aktion durch Benutzer, [1317], [171114],1.0.8283
Rogue.PCCleaner, C:\Program Files (x86)\PCCleaner\Plugs\5b92144e864f9a4f2ed0fc4de65303be\config.ini, Keine Aktion durch Benutzer, [1317], [171114],1.0.8283
Rogue.PCCleaner, C:\Program Files (x86)\PCCleaner\Plugs\5b92144e864f9a4f2ed0fc4de65303be\SearchPlug.dll, Keine Aktion durch Benutzer, [1317], [171114],1.0.8283
Rogue.PCCleaner, C:\Program Files (x86)\PCCleaner\DuiLib.dll, Keine Aktion durch Benutzer, [1317], [171114],1.0.8283
Rogue.PCCleaner, C:\Program Files (x86)\PCCleaner\Everything.exe, Keine Aktion durch Benutzer, [1317], [171114],1.0.8283
Rogue.PCCleaner, C:\Program Files (x86)\PCCleaner\Everything.ini, Keine Aktion durch Benutzer, [1317], [171114],1.0.8283
Rogue.PCCleaner, C:\Program Files (x86)\PCCleaner\Everything.lng, Keine Aktion durch Benutzer, [1317], [171114],1.0.8283
Rogue.PCCleaner, C:\Program Files (x86)\PCCleaner\Everything32.dll, Keine Aktion durch Benutzer, [1317], [171114],1.0.8283
Rogue.PCCleaner, C:\Program Files (x86)\PCCleaner\HttpDownloader.dll, Keine Aktion durch Benutzer, [1317], [171114],1.0.8283
Rogue.PCCleaner, C:\Program Files (x86)\PCCleaner\InstallOperating.exe, Keine Aktion durch Benutzer, [1317], [171114],1.0.8283
Rogue.PCCleaner, C:\Program Files (x86)\PCCleaner\ISTask.dll, Keine Aktion durch Benutzer, [1317], [171114],1.0.8283
Rogue.PCCleaner, C:\Program Files (x86)\PCCleaner\iZip.dll, Keine Aktion durch Benutzer, [1317], [171114],1.0.8283
Rogue.PCCleaner, C:\Program Files (x86)\PCCleaner\libcurl.dll, Keine Aktion durch Benutzer, [1317], [171114],1.0.8283
Rogue.PCCleaner, C:\Program Files (x86)\PCCleaner\PCCleaner.exe, Keine Aktion durch Benutzer, [1317], [171114],1.0.8283
Rogue.PCCleaner, C:\Program Files (x86)\PCCleaner\PCCleanerConfig.dll, Keine Aktion durch Benutzer, [1317], [171114],1.0.8283
Rogue.PCCleaner, C:\Program Files (x86)\PCCleaner\PCCleanerSvc.dll, Keine Aktion durch Benutzer, [1317], [171114],1.0.8283
Rogue.PCCleaner, C:\Program Files (x86)\PCCleaner\PlugCore.dll, Keine Aktion durch Benutzer, [1317], [171114],1.0.8283
Rogue.PCCleaner, C:\Program Files (x86)\PCCleaner\Report.dll, Keine Aktion durch Benutzer, [1317], [171114],1.0.8283
Rogue.PCCleaner, C:\Program Files (x86)\PCCleaner\unins000.dat, Keine Aktion durch Benutzer, [1317], [171114],1.0.8283
Rogue.PCCleaner, C:\Program Files (x86)\PCCleaner\unins000.exe, Keine Aktion durch Benutzer, [1317], [171114],1.0.8283
Adware.Injector, C:\WINDOWS\NSS\SQLITE3.DLL, Keine Aktion durch Benutzer, [3995], [607893],1.0.8283
Adware.Injector, C:\Windows\nss\certutil.exe, Keine Aktion durch Benutzer, [3995], [607893],1.0.8283
Adware.Injector, C:\Windows\nss\freebl3.dll, Keine Aktion durch Benutzer, [3995], [607893],1.0.8283
Adware.Injector, C:\Windows\nss\libnspr4.dll, Keine Aktion durch Benutzer, [3995], [607893],1.0.8283
Adware.Injector, C:\Windows\nss\libplc4.dll, Keine Aktion durch Benutzer, [3995], [607893],1.0.8283
Adware.Injector, C:\Windows\nss\libplds4.dll, Keine Aktion durch Benutzer, [3995], [607893],1.0.8283
Adware.Injector, C:\Windows\nss\nss3.dll, Keine Aktion durch Benutzer, [3995], [607893],1.0.8283
Adware.Injector, C:\Windows\nss\nssckbi.dll, Keine Aktion durch Benutzer, [3995], [607893],1.0.8283
Adware.Injector, C:\Windows\nss\nssdbm3.dll, Keine Aktion durch Benutzer, [3995], [607893],1.0.8283
Adware.Injector, C:\Windows\nss\nssutil3.dll, Keine Aktion durch Benutzer, [3995], [607893],1.0.8283
Adware.Injector, C:\Windows\nss\smime3.dll, Keine Aktion durch Benutzer, [3995], [607893],1.0.8283
Adware.Injector, C:\Windows\nss\softokn3.dll, Keine Aktion durch Benutzer, [3995], [607893],1.0.8283
Adware.Injector, C:\WINDOWS\SSL\SAMPLE CA 2.CER, Keine Aktion durch Benutzer, [3995], [607892],1.0.8283
Adware.Injector, C:\Windows\SSL\cert.db, Keine Aktion durch Benutzer, [3995], [607892],1.0.8283
Adware.Injector, C:\Windows\SSL\x.db, Keine Aktion durch Benutzer, [3995], [607892],1.0.8283
Adware.Injector, C:\Windows\SSL\xtls.db, Keine Aktion durch Benutzer, [3995], [607892],1.0.8283
Adware.Injector, C:\WINDOWS\INETFILTERSVC, Keine Aktion durch Benutzer, [3995], [607649],1.0.8283
PUP.Optional.ChipDe, C:\USERS\ADMIN\DOWNLOADS\HIJACKTHIS - CHIP-INSTALLER.EXE, Keine Aktion durch Benutzer, [479], [562568],1.0.8283
PUP.Optional.ChipDe, C:\WINDOWS\INSTALLER\16F23CF.MSI, Keine Aktion durch Benutzer, [479], [557991],1.0.8283
PUP.Optional.ChipDe, C:\USERS\ADMIN\APPDATA\LOCAL\DOWNLOADED INSTALLATIONS\{3BD9A53F-F9BC-44DF-B0FA-6DD88C79F92A}\CHIP INSTALLER.MSI, Keine Aktion durch Benutzer, [479], [557991],1.0.8283
PUP.Optional.ChipDe, C:\USERS\ADMIN\APPDATA\LOCAL\DOWNLOADED INSTALLATIONS\{31AD8258-894C-48D5-8149-C47506092754}\CHIP INSTALLER.MSI, Keine Aktion durch Benutzer, [479], [594115],1.0.8283


Physischer Sektor: 0
(keine bösartigen Elemente erkannt)


WMI: 0
(keine bösartigen Elemente erkannt)




(end)>

Alles anzeigen

Edit 2002Andreas
Text in Klammercode gesetzt.

macko

Puh, du hast ja einiges an Malware auf deinem Gerät eingefangen. Fürs nächste Mal empfehle ich wirklich gut zu überlegen, was man sich für Software aufs Gerät installiert, um einen zukünftige Schadsoftware-/Malwarebefall zu vermeiden. Auch solltest du jeweils nur seriöse und bekannte Software/Programme verwenden, zu welchen beispielsweise der Rogue PCCleaner nicht dazu gehört.

Bitte jetzt alle mit Malwarebytes gefundenen Einträge restlos löschen, und danach den PC neu starten, und erneut einen Malwarescan mit Malwarebytes starten, und dabei möglicherweise erneut aufgefundene Funde wieder löschen lassen.

AngelOfDarkness

Also mit Rogueware wie dem PCcleaner ist wohl nicht unbedingt zu spaßen. Sollte eine nochmalige Bereinigung mit dem AdwCleaner sowie Malwarebytes noch immer etwas finden, dann sollte der PC Wohl oder Übel komplett neu aufgesetzt werden.
Was genau Rogueware ist, kannst du hier erlesen: https://www.heise.de/download/blog/…ngs-ABC-3356219

markus.klingenberg

Hallo!

Bin selbst auch erschrocken. Habe als Antivirus den kostenfreien Panda Antivirus und Windows-Firewall. Dachte mit Downloads von Chip ist man auch sicher.
An dieser Stelle nochmals vielen Dank für die Hilfe!
Lasse jetzt nochmals alles prüfen. Gestern nach der ersten Bereinigung war Firefox i.O. Sah nur, dass Malwarebyte immer noch Blockierungen macht. Alles gefundene liegt in Quarantäne.
Sollte noch was sein, poste ich nochmal.