Lukas King 5 0 Report post Posted July 11, 2014 Hallo liebes Emsisoft Team, mein PC ist infiziert. Ich hatte ConstaSurf draufbekommen und deinstalliert. Vermutlich auch noch andere Viren. Denn es ist auf jeden Fall noch was da. Jetzt habe ich nach euren Anweisungen hier Scans durchgeführt, die ich angehängt habe. Verrückterweise hat meine Emsisoft Malware etwas anderes gefunden als das Emergency Kit. Naja es wäre jedenfalls genial wenn ihr euch das mal anschaut, habe alle vier Dateien (Kit, OTL, OTL, Malware - Berichte) angehängt. DANKE!!! Liebe Grüße Lukas Share this post Link to post Share on other sites
schrauber 30 Report post Posted July 12, 2014 Hi und Herzlich Willkommen beim Emsisoft Support Forum! Systemscan mit FRST Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit (Wenn du nicht sicher bist: Start > Computer (Rechtsklick) > Eigenschaften) Starte jetzt FRST. Ändere ungefragt keine der Checkboxen und klicke auf Scan. Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop. Bitte beide Logfiles in der nächsten Antwort anhängen. Share this post Link to post Share on other sites
Lukas King 5 0 Report post Posted July 14, 2014 Lieber Schrauber, vielen Dank für deine Antwort :-) Im Anhang die Logfiles. Share this post Link to post Share on other sites
schrauber 30 Report post Posted July 14, 2014 Hi, FRST sollte eine Addition.txt erstellt haben, die fehlt noch Share this post Link to post Share on other sites
Lukas King 5 0 Report post Posted July 15, 2014 Oh ja sorry, hatte die falsche Datei erwischt. Liebe Grüße Lukas Share this post Link to post Share on other sites
schrauber 30 Report post Posted July 15, 2014 Bitte folgende Software deinstallieren: LPT System Updater Service Shopping Helper Smartbar VO Package Downloade Dir bitte AdwCleaner auf deinen Desktop. Starte die adwcleaner.exe mit einem Doppelklick. Klicke auf Suche, dann Löschen. Nach Ende des Suchlaufs öffnet sich eine Textdatei. Poste mir den Inhalt mit deiner nächsten Antwort. Die Logdatei findest du auch unter C:\AdwCleaner[s1].txt. Share this post Link to post Share on other sites
Lukas King 5 0 Report post Posted July 15, 2014 Hey, also über Systemsteuerung deinstallieren gibt es folgende Probleme: 1. LPT System Updater Service kann ich nicht deinstallieren, weil es nicht angeklickt/deinstalliert werden kann, 2. Shopping Helper Smartbar lässt sich zwar deinstallieren, ist aber beim nächsten Neustart wieder da, 3. VO Package gibt es unter Programme gar nicht... Hab jetzt aber den Cleaner trotzdem ausgeführt, im Anhang die Logdatei. Share this post Link to post Share on other sites
schrauber 30 Report post Posted July 16, 2014 Supi, bitte einen frischen Scan mit Emsisoft AntiMalware und FRST machen und beide Logfiles anhängen. Bestehen noch Probleme? Share this post Link to post Share on other sites
Lukas King 5 0 Report post Posted July 17, 2014 Hey, habe im Anhang die Scans von Malware + Emergency Kit (weil die beide unterschiedliche Viren gefunden haben...) und vom FRST (Der hat von alleine keine Addition erstellt, sondern nur die eine Logdatei - reicht das?). Bestehende Probleme sind im Prinzip noch dieselben: LPT System Updater Service und Shopping Helper Smartbar sind immer noch da, wenn man auf Systemsteuerung geht + der PC läuft sehr langsam. Liebe Grüße Lukas Share this post Link to post Share on other sites
schrauber 30 Report post Posted July 17, 2014 LPT System Updater Service und Shopping Helper Smartbar sind immer noch da, wenn man auf Systemsteuerung geht Nur in der Systemsteuerung, also der Liste der installierten Programme? Bitte mal FRST öffnen, Haken setzen bei Additional und scanne, jetzt nur bitte die Addition.txt anhängen. Das sind dann nur Reste in der Registry. Share this post Link to post Share on other sites
Lukas King 5 0 Report post Posted July 18, 2014 Hmm, also FRST zeigt die Smartbar auch immer noch an. Und die Viren, die Kit und Malware gefunden haben, sind ja immer noch dieselben wie am Anfang. Wie kriege ich das alles denn nun weg? (Kann man die Viren per Malwareprogramm eigentlich einfach löschen? - aber davor wurde ja in dem EIngangsthread hier gewarnt...) Ist es eigentlich ein erhöhtes Risiko mit diesem PC jetzt zu arbeiten während er befallen ist? Hab damit nämlich fürs erste aufgehört, aber langsam muss ich mal wieder Liebe Grüße und danke für deine Hilfe - ist ja echt kein einfacher Fall mein PC Lukas Share this post Link to post Share on other sites
schrauber 30 Report post Posted July 19, 2014 Hi, erstmal sorry für die späte Antwort. Gestern morgen kam mein Sohn zur Welt, seitdem leidet mein Zeitmanagment etwas Du kannst mit dem Rechner ohne weiteres arbeiten, das sind wie ich schon dachte nur Registry-Einträge und Treiber-Reste. Fix mit FRST Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument R1 {0782648b-1717-4fef-ac58-8cb3ce03adb3}Gt; C:\Windows\System32\drivers\{0782648b-1717-4fef-ac58-8cb3ce03adb3}Gt.sys [55232 2014-04-24] (StdLib) R1 {bbb14e79-8bca-4abd-b124-4d30f9a4e2ad}Gt; C:\Windows\System32\drivers\{bbb14e79-8bca-4abd-b124-4d30f9a4e2ad}Gt.sys [55232 2014-07-08] (StdLib) C:\Windows\System32\drivers\{0782648b-1717-4fef-ac58-8cb3ce03adb3}Gt.sys C:\Windows\System32\drivers\{bbb14e79-8bca-4abd-b124-4d30f9a4e2ad}Gt.sys Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).Starte nun FRST erneut und klicke den Fix Button. Das Tool erstellt eine Fixlog.txt. Poste mir deren Inhalt. Scan mit SystemLookLade SystemLook von jpshortstuff vom folgenden Spiegel herunter und speichere das Tool auf dem Desktop: SystemLook (32 bit) Doppelklicke auf die SystemLook.exe, um das Tool zu starten. Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools: :regfind Shopping Helper Smartbar LPT System Klicke nun auf den Button Look, um den Scan zu starten. Der Suchlauf kann einige Zeit dauern. Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, poste diese in deinen Thread. Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert. Share this post Link to post Share on other sites
Lukas King 5 0 Report post Posted July 20, 2014 Hey Schrauber das ist ja der Oberhammer herzlichen Glückwunsch, das ist so schön, ich freue mich sehr für dich und deine Frau!!! Krass Freitag war einer der schönsten Tage in deinem Leben und du hilfst mir schon einen Tag später hier wieder, das ist echt richtig nett von dir! Ok ich hänge die beiden Files an. Liebe Grüße und einen wunderschönen Sonntag mit deiner Familie! Share this post Link to post Share on other sites
schrauber 30 Report post Posted July 20, 2014 Danke Kopiere den Text in der Codebox in deinen Editor (z.B. Notepad) und speichere es unter dem Namen regfix.reg (bei Dateityp bitte "alle Dateien" wählen) Windows Registry Editor Version 5.00 [-HKEY_CURRENT_USER\Software\Microsoft\Installer\Products\7E203A2B4AF85854BAF7214CEDCBD023] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-21-2939957480-2594509775-3031902116-1003\Products\7E203A2B4AF85854BAF7214CEDCBD023\InstallProperties] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{B2A302E7-8FA4-4585-AB7F-12C4DEBC0D32}] [-HKEY_USERS\S-1-5-21-2939957480-2594509775-3031902116-1003\Software\Microsoft\Installer\Products\7E203A2B4AF85854BAF7214CEDCBD023] [-HKEY_CURRENT_USER\Software\Microsoft\Installer\Products\363FB0CBBA367FF4E81FEAD0F717B142] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-21-2939957480-2594509775-3031902116-1003\Products\363FB0CBBA367FF4E81FEAD0F717B142\InstallProperties] [-HKEY_USERS\S-1-5-21-2939957480-2594509775-3031902116-1003\Software\Microsoft\Installer\Products\363FB0CBBA367FF4E81FEAD0F717B142] Starte die regfix.reg duch Doppelklick. Share this post Link to post Share on other sites
Lukas King 5 0 Report post Posted July 21, 2014 Ok done. Shopping Helper Smartbar und LPT sind dadurch jetzt auch raus unter Systemsteuerung Fehlen nur noch die zwei Sachen, die das Kit und EmsiMalware gefunden haben. Liebe Grüße Share this post Link to post Share on other sites
schrauber 30 Report post Posted July 22, 2014 Hi, die sollten eigentlich auch weg sein. Bitte nochmal einen frischen Scan damit machen und das logfile anhängen. Wenn dann dort noch was sein sollte entfernen wir das noch kurz Share this post Link to post Share on other sites
Lukas King 5 0 Report post Posted July 23, 2014 Die sind leider hartnäckig... Hab dir die aktuellen Scans angehängt. Share this post Link to post Share on other sites
schrauber 30 Report post Posted July 23, 2014 Passt schon, die beiden Funde von EEK sind schon in Quarantäne bei FRST Fix mit FRST Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument C:\Users\Matthes\AppData\Local\Google\Chrome\Application\35.0.1916.153\chrome_elf.dll Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).Starte nun FRST erneut und klicke den Fix Button. Das Tool erstellt eine Fixlog.txt. Poste mir deren Inhalt. Jetzt bitte AdwCleaner öffnen und den Button Deinstallieren drücken. Dann FRST samt Logfiles löschen, ebenso bitte den Ordner C:\FRST.Dann bitte wieder mit EEK scannen Share this post Link to post Share on other sites
Lukas King 5 0 Report post Posted July 23, 2014 Hey Schrauber, super, der Scan ist noch nicht ´ganz durch, aber bisher wurde nichts gefunden Habe fixlog angehängt. Allerdings hat das ganze Reparieren anscheinend meinen Browser Google Chrome zerschossen. Wenn ich ihn öffnen will kommt seit heute nach dem Fixen eine Fehlermeldung mit: "Die Anwendung konnte nicht richtig initialisiert werden." und er öffnet sich nicht - Weißt du, was da schief gelaufen ist und wie ich den wieder zum Laufen bringe? Liebe Grüße Lukas Share this post Link to post Share on other sites
Lukas King 5 0 Report post Posted July 23, 2014 Hey Schrauber, super, der Scan ist noch nicht ´ganz durch, aber bisher wurde nichts gefunden Habe fixlog angehängt. Allerdings hat das ganze Reparieren anscheinend meinen Browser Google Chrome zerschossen. Wenn ich ihn öffnen will kommt seit heute nach dem Fixen eine Fehlermeldung mit: "Die Anwendung konnte nicht richtig initialisiert werden." und er öffnet sich nicht - Weißt du, was da schief gelaufen ist und wie ich den wieder zum Laufen bringe? Liebe Grüße Lukas Und jetzt auch mit Logfile sorry Share this post Link to post Share on other sites
schrauber 30 Report post Posted July 24, 2014 Ja das kommt weil Malware aus dem Browser entfernt wurde http://filepony.de/download-revo_uninstaller/ damit Chrome deinstallieren, keine Daten behalten, Reste entfernen lassen, neu installieren. Dann: https://support.google.com/chrome/answer/3296214?hl=de Share this post Link to post Share on other sites
Lukas King 5 0 Report post Posted July 24, 2014 Schrauber du bist der Beste :-) Vielen Dank für deine Hilfe, das war echt richtig super. Damit ich dir das nächste Mal nicht so viel von deiner wertvollen Familienzeit klauen muss noch eine Frage : Wenn mein Emsi wieder irgendwas findet, kann ich das, wenn es geht, immer löschen lassen und wenn nicht zu löschen mit irgendeinem anderen Programm (Blitz Blank?) kaputt machen? Oder ist das Malware-Programm echt nur zum Aufspüren da und die Bekämpfung muss immer zusammen mit einem Experten wie dir erfolgen, sodass ich eigentlich selbst nicht viel machen kann? Ganz liebe Grüße Lukas Share this post Link to post Share on other sites
schrauber 30 Report post Posted July 25, 2014 Wenn was gefunden wird einfach in Quarantäne stecken lassen. Wenn das aus irgend einem Grund nicht klappt dann bitte direkt melden . Share this post Link to post Share on other sites
Lukas King 5 0 Report post Posted July 27, 2014 Ok, danke Share this post Link to post Share on other sites
Lukas King 5 0 Report post Posted July 27, 2014 Hey Schrauber, ich habe noch eine Sache. Nach dem ich Chrome neu installiert hatte und mit Emsi Malware gescannt habe, hatte das wieder einen Fund genau dieselbe Application nur n bischen anderer Name, weil ja Chrome neu installiert war. Die habe ich in Quarantäne geschoben und dann funktioniert der Browser natürlich wieder nicht mehr. Habe wieder alles deinstalliert und neu installiert und direkt (ohne im Internet gewesen zu sein) wieder nen Malwaredurchlauf gemacht und das hat wieder dieselbe Application nur mit bischen anderen Zahlen gefunden. Wenn ich die jetzt in Quarantäne schiebe, wird der Browser wieder nicht mehr funktionieren, das ist ja ziemlich voraussehbar. Was mache ich also? Hab dir den Scanbericht angehängt, vielleicht siehst du ja, was das Problem ist oder du weißt, wie es kommt, dass die Malware immer gleich mitinstalliert/programmiert/was auch immer wird? DANKE Share this post Link to post Share on other sites
schrauber 30 Report post Posted July 28, 2014 Hi, kannst Du die Datei bitte mal bei www.virustotal.com scannen lassen und den Link zum Ergebnis hier posten? Share this post Link to post Share on other sites
Lukas King 5 0 Report post Posted July 29, 2014 Hey, scheint falscher Alarm zu sein. Das erklärt auch, warum das Kit die Datei nie angezeigt hat... https://www.virustotal.com/de/file/6cbb7ba1ea5757210d72ecd4564053ef702860e83f06f5f5024573ee9570ba8e/analysis/ Share this post Link to post Share on other sites
schrauber 30 Report post Posted July 29, 2014 Hi, leite ich direkt weiter. Sobald ich eine Info habe gebe ich Bescheid Share this post Link to post Share on other sites
schrauber 30 Report post Posted July 30, 2014 Hi, bitte mal ein Update machen. Und in den Einstellungen kontrollieren ob die Community-basierten Erkennungen aktiviert sind. Share this post Link to post Share on other sites
Lukas King 5 0 Report post Posted August 4, 2014 Hey Schrauber, meine Anti-Malware Lizenz ist vorn paar Monaten abgelaufen, deswegen kann ich keine Updates mehr machen, weil das jetzt erstmal als Freeware weiterläuft...Hält also mein nicht-upgedatetes Programm Apllications fälschlicherweise für Viren? Wie kann das sein? Liebe Grüße Lukas Share this post Link to post Share on other sites
schrauber 30 Report post Posted August 4, 2014 Hi, Updates sind schon wichtig, und der Echtzeitschutz ist auch wichtig . Share this post Link to post Share on other sites
Lukas King 5 0 Report post Posted August 5, 2014 Ok das heißt die Freeware ist ohne Updates dann ja echt ziemlich nutzlos oder? Muss ich mir wohl doch wieder ne Lizenz gönnen, damit das nicht nochmal passiert Aber an sich ist dann ja jetzt alles wieder gut mit meinem PC, wenn das Fehlalarm war Share this post Link to post Share on other sites
schrauber 30 Report post Posted August 5, 2014 Sobald du Updates ziehst und die Community-Erkennung aktivierst ist die Meldung weg Share this post Link to post Share on other sites