DNS Unlocker - bleibt resistent

[justme69 0]

Hallo,

 

ich bin aktuell Opfer vom DNS-Unlocker Virus.

 

Den Uninstaller habe ich ausgeführt, mit EMISOFT gescannt, aber er bleibt bestehen.

Dateien nach dem Text 'Unlocker' durchsucht, alles Passende gelöscht, neu gebootet. Keine Änderung.

Im Firefox habe ich die Ads sichtbar.

IE habe ich nicht gestartet.

 

Ich brauche Hillfe!

 

Vielen Dank

Extras.Txt

OTL.Txt

scan_150830-185801.txt

[schrauber 30]

Hi und Herzlich Willkommen beim Emsisoft Support Forum!

Systemscan mit FRST

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit

(Wenn du nicht sicher bist: Start > Computer (Rechtsklick) > Eigenschaften)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Scan.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Bitte beide Logfiles in der nächsten Antwort anhängen.

[justme69 0]

Hallo Schrauber,

 

anbei die beiden logfiles.

Addition.txt

FRST.txt

[schrauber 30]

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Suche, dann Löschen..
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[C1].txt.

[justme69 0]

Hallo Schrauber,

 

anbei die Infos.

 

Allerdings istr das das Ergebnis vom 2ten Lauf. Nach dem ersten Lauf bekamm ich vom AdwCleaner eine Absurzmeldung, d.h. Windows meldete das AdwCleaner Probleme hätte und beendet wurde.

 

Ich konnte in den einzelnen Tabs nach dem Scan allerdings EInträge erkennen.

Nach dem Klick auf Löschen kam dann die Absturzmeldung.

 

Habe beide Texte [C1] und [C2] beigefügt:

 

Bisheriger Stand: DNS-Unlocker ist noch aktiv.

 

# AdwCleaner v5.005 - Bericht erstellt am 02/09/2015 um 22:35:53
# Aktualisiert am 31/08/2015 von Xplode
# Datenbank : 2015-08-31.2 [server]
# Betriebssystem : Windows 7 Ultimate Service Pack 1 (x64)
# Benutzername : Sesh-Stefan - SESH-STEFAN-PC
# Gestartet von : C:\Users\Sesh-Stefan\Downloads\adwcleaner_5.005.exe
# Option : Löschen
# Unterstützung : http://toolslib.net/forum

***** [ Dienste ] *****


***** [ Ordner ] *****

[-] Ordner Gelöscht : C:\ProgramData\6396827546839018594
[-] Ordner Gelöscht : C:\Users\Sesh-Stefan\Desktop\Online

***** [ Dateien ] *****

[-] Datei Gelöscht : C:\END
[-] Datei Gelöscht : C:\Windows\Sysnative\roboot64.exe

***** [ Verknüpfungen ] *****


***** [ Geplante Tasks ] *****


***** [ Registrierungsdatenbank ] *****

[-] Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{4D076AB4-7562-427A-B5D2-BD96E19DEE56}
[-] Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{35B8892D-C3FB-4D88-990D-31DB2EBD72BD}
[-] Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{2932897E-3036-43D9-8A64-B06447992065}
[-] Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{3A8E103F-B2B7-3BEF-B3B0-88E29B2420E4}
[-] Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{3F607E46-0D3C-4442-B1DE-DE7FA4768F5C}
[-] Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{478CE5D3-D38E-3FFE-8DBE-8C4A0F1C4D8D}
[-] Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{A62DDBE0-8D2A-339A-B089-8CBCC5CD322A}
[-] Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{EFA1BDB2-BB3D-3D9A-8EB5-D0D22E0F64F4}
[-] Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{FC32005D-E27C-32E0-ADFA-152F598B75E7}
[-] Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{FE0273D1-99DF-4AC0-87D5-1371C6271785}
[-] Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{11549FE4-7C5A-4C17-9FC3-56FC5162A994}
[-] Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{2BF2028E-3F3C-4C05-AB45-B2F1DCFE0759}
[-] Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{93E3D79C-0786-48FF-9329-93BC9F6DC2B3}
[-] Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{10921475-03CE-4E04-90CE-E2E7EF20C814}
[-] Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
[-] Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext\CLSID [{58124A0B-DC32-4180-9BFF-E0E21AE34026}]
[-] Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext\CLSID [{977AE9CC-AF83-45E8-9E03-E2798216E2D5}]
[-] Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext\CLSID [{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}]
[-] Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\CLSID\{10921475-03CE-4E04-90CE-E2E7EF20C814}
[-] Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{2932897E-3036-43D9-8A64-B06447992065}
[-] Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{3A8E103F-B2B7-3BEF-B3B0-88E29B2420E4}
[-] Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{3F607E46-0D3C-4442-B1DE-DE7FA4768F5C}
[-] Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{478CE5D3-D38E-3FFE-8DBE-8C4A0F1C4D8D}
[-] Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
[-] Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8FFE}
[-] Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{A62DDBE0-8D2A-339A-B089-8CBCC5CD322A}
[-] Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{EFA1BDB2-BB3D-3D9A-8EB5-D0D22E0F64F4}
[-] Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{FC32005D-E27C-32E0-ADFA-152F598B75E7}
[-] Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{FE0273D1-99DF-4AC0-87D5-1371C6271785}
[-] Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{10921475-03CE-4E04-90CE-E2E7EF20C814}
[-] Schlüssel Gelöscht : HKCU\Software\APN PIP
[-] Schlüssel Gelöscht : HKCU\Software\Myfree Codec
[-] Schlüssel Gelöscht : HKLM\SOFTWARE\Myfree Codec
[-] Schlüssel Gelöscht : HKLM\SOFTWARE\PIP
[-] Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\MyFreeCodec
[!] Schlüssel Nicht Gelöscht : [x64] HKCU\Software\APN PIP
[!] Schlüssel Nicht Gelöscht : [x64] HKCU\Software\Myfree Codec
[-] Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0238BBE24EA3A70408B81E4BB89C15E5
[-] Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\29799DE249E7DBC459FC6C8F07EB8375
[-] Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{A3AFF533-847B-4F69-BBB8-87E15A560EAC}
[!] Schlüssel Nicht Gelöscht : [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{A3AFF533-847B-4F69-BBB8-87E15A560EAC}
[!] Schlüssel Nicht Gelöscht : HKU\S-1-5-21-530264528-3140532975-3795137876-1000\Software\Microsoft\Internet Explorer\SearchScopes\{A3AFF533-847B-4F69-BBB8-87E15A560EAC}

***** [ Internetbrowser ] *****


*************************

:: Winsock Einstellungen zurückgesetzt

########## EOF - C:\AdwCleaner\AdwCleaner[C1].txt - [5131 Bytes] ##########

 

 

 

# AdwCleaner v5.005 - Bericht erstellt am 02/09/2015 um 22:38:27
# Aktualisiert am 31/08/2015 von Xplode
# Datenbank : 2015-08-31.2 [server]
# Betriebssystem : Windows 7 Ultimate Service Pack 1 (x64)
# Benutzername : Sesh-Stefan - SESH-STEFAN-PC
# Gestartet von : C:\Users\Sesh-Stefan\Downloads\adwcleaner_5.005.exe
# Option : Löschen
# Unterstützung : http://toolslib.net/forum

***** [ Dienste ] *****


***** [ Ordner ] *****


***** [ Dateien ] *****


***** [ Verknüpfungen ] *****


***** [ Geplante Tasks ] *****


***** [ Registrierungsdatenbank ] *****


***** [ Internetbrowser ] *****


*************************

:: Winsock Einstellungen zurückgesetzt

########## EOF - C:\AdwCleaner\AdwCleaner[C2].txt - [697 Bytes] ##########

[justme69 0]

Zudem kriege ich nach dem Neustart von Firefox mitgeteilt, das ein Plugin nicht richtig funktioniert, ich stoppe das plugin.

Nach einer Weile poppt ein Fenster auf mit folgender Nachricht:

 

"

Ein Skript auf dieser Seite ist eventuell beschäftigt oder es antwortet nicht mehr. Sie können das Skript jetzt stoppen, im Debugger öffnen oder weiter ausführen.
Skript: http://cdncache-a.akamaihd.net…xt=DNSUnlocker&zoneid=70734383:72

"

 

Ich drücke auf Skript anhalten.

 

Im Prozess-Explorer sehe ich 6 Prozesse Flashplayer-plugin die ich alle beende.

 

Hilft das evftl. bei der Suche ?

[schrauber 30]

Hi,

Bitte noch einen frischen Scan mit FRST durchführen und das Log anhängen.

Dann entfernen wir den Rest auf einmal

[justme69 0]

Hallo,

 

Anbei das File

 

 

FRST_03-09-2015_22-53-08.txt

[schrauber 30]

Fix mit FRST

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Tcpip\..\Interfaces\{2E43AB77-9110-40F0-AB52-F52AA45F95FE}: [NameServer] 199.203.131.145,82.163.143.167
Tcpip\..\Interfaces\{930B128E-4253-4F87-A4B7-5163621CF746}: [NameServer] 199.203.131.145,82.163.143.167
Tcpip\..\Interfaces\{D814E939-C23F-4C75-A000-A2AF69D7AC58}: [NameServer] 199.203.131.145,82.163.143.167
Emptytemp: 

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Fix Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Frischen Scan mit FRST bitte

[justme69 0]

Hallo Schrauber,

 

Anbei die fixlog und das neue Scan-Ergebnis....

Fixlog_04-09-2015_21-07-48.txt

FRST_04-09-2015_21-20-29.txt

[schrauber 30]

Bestehen noch Probleme mit dem System?

[justme69 0]

Hallo Schrauber,

 

bis jetzt konnte ich keine mehr feststellen.

Habe im Firefox Addons und Flashplayer wieder installiert/aktiviert.

 

Die Wiederhestelluingspunkte von Windows sind wieder da...

 

--> Problem gefixt.

 

Falls noch was kommt - mach ich nen neuen Thread.

 

Vielen Dank für deine Mühen.

:-)

[schrauber 30]

Supi

AdwCleaner öffnen und auf Deinstallieren klicken. FRST samt Logfiles, sowie den Ordner C:\FRST, einfach löschen