Virus PUA/Systweak.Gen4

[Sandra78]

Ein erneuter Scan würde sicherlich keine Funde mehr anzeigen, da JRT ja gleich löscht.

Wo hast du denn das Log hingespeichert? Welchen Ort hast du ausgesucht?

[NoG]

Aehm... warum wollt ihr fuer JRT die Firewall deaktivieren?

[uweli1967]

Aehm... warum wollt ihr fuer JRT die Firewall deaktivieren?

Es geht um sog. Drittanbieter Firewalls wie Comodo, Online Armor usw. Wenn du diese nicht beendest, rödelt JRT ewig rum an Prozesse überprüfen, der ganze Scanvorgang dauert erheblich länger und letztendlich beendet JRT doch den Prozess zur Firewall. Hab das selbst schon erlebt mit Oline Armor Free. Die Firewall kann auch erst dann wieder gestartet werden, nachdem das System neu gestartet wurde. Wie sich JRT bei der Windows Firewall verhält, weiß ich nicht.

Den JRT.txt Bericht hatte ich auf dem Desktop und gespeichert, zum posten finde ich ihn nicht mehr wieder.

Wenn du den nicht gelöscht hast, ist der noch da auf dem Desktop, schau doch auch mal in Papierkorb rein

[NoG]

Ok, dann sollten wir das aber noch um den Hinweis ergaenzen, vorher die Internetverbindung physikalisch zu kappen. Ein Scan nach Malware mit offenem Internet finde ich nicht gerade wuenschenswert.

[Sandra78]

Wobei ich ja denke das die meisten "Anfänger" die so Anleitungen brauchen ganz selten ne Firewall von nem Drittanbieter haben. Das sollte man wenn dann wirklich nur als Hinweis für die geben die das haben, also auch deutlich machen das das nicht für alle gilt. Von wegen Abschreckung und so.

[johan32]

[/quote]
Wenn du den nicht gelöscht hast, ist der noch da auf dem Desktop, schau doch auch mal in Papierkorb rein [/quote]

nein, die Datei habe ich nicht gelöscht und ist auch nicht im Papierkorb.

[

Wenn JRT fertig ist erstellt er auf dem Desktop das Logfile des gerade durchgeführten Scans und nun kann man JRT beenden, das Logfile anschauen und danach muss das System rebootet werden. Nach dem Systemstart kann man das Logfile zum Beispiel im Forum posten damit andere User sehen ob und was JRT bereinigt hat. [/quote]

Sehr wahrscheinlich habe ich die Anleitung falsch verstanden. Ich habe mir das Logfile angeschaut und den Namen geändert, rebootet habe ich als "Herrunterfahren mit Neustart" verstanden, dann kam die Melddung Windows kann nicht geschlossen werden die JRT.txt Datei muss erst gespeichert werden, das habe ich bestätigt.

[Carlus]

hmm...

nochmal kurz gesagt, falls es überlesen wurde:

JRT beendet ALLE anwendungen, die geöffnet sind automatisch und gnadenlos ohne rückfrage!
zumindest die, die JRT für "störend" hält.

das log (bericht) heißt JRT.txt und wird automatisch auf dem desktop gespeichert, da kannste nichts einstellen. direkt nachdem der scann fertig ist, öffnet sich diese JRT.txt automatisch und wird im editor (notepad) angezeigt.

hast du, johann, denn wirklich das jrt runtergeladen und richtig ausgeführt? wenn ja, ist auch der bericht vorhanden, ansonsten war wieder etwas verkehrt.

PS
sehe gerade dein posting

warum um alles in der welt ändert man den namen und speichert sonstwo?
wenn man sowas macht, weiß man doch aber wo das log gespeichert ist.... oder

edit:

namen ändern bezieht sich evtl auch auf den namen innerhalb des berichts?
das wäre ja ok bevor man den postet, aber vorhanden sein sollte der bericht trotzdem.
die aufforderung zum speichern kommt natürlich wenn du den text änderst, das ist normal bei win, wäre traurig wenn nicht.

[Sandra78]

Namen kann man aber auch hier im Beitrag ändern, wieso denn direkt im Log selbst?

[Carlus]

genauso würde ich es auch machen sandra, aber da ich nicht genau weiß was johan damit meinte, hab ich eben auch diese möglichkeit in betracht gezogen...
man weiß ja nie was den leuten so einfällt.

evtl sehen wir den bericht ja auch noch mal irgendwann, vorhanden sein muß er ja, sofern er nicht gelöscht und anschließend der papierkorb geleert wurde.

[johan32]

die Namensänderung bezog sich auf dem Bericht.

Das man die Namen aauchhier im Forum ändern kann wußte ich nicht. In meinem Bericht 17713 stand zuerst mein voller Namen drin. Als ich das bemekrt habe konnte ich das nicht mehr änder. Ich glaube NoG hat dankeswerter Weise das geändert darum möchte ich die Änderung lieber vorher machen.

[Carlus]

also hab ich richtig vermutet.
ist ja auch ok, aber man kann den bericht doch trotzdem posten und zur not nochmal hier vor dem absenden auf namen überprüfen. ich weiß nicht, wo das problem liegt.

aber wenn du ihn gespeichert hast, der muß doch irgendwo auf deinem pc sein und wäre schon nett, wenn du ihn uns mal zeigst.
neuer scann bringt nichts, da jrt ja bestimmt einiges gelöscht hat und das somit nicht mehr auftaucht.

zu früh abgeschickt deswegen ein edit:

Das man die Namen aauchhier im Forum ändern kann wußte ich nicht.

du kopiertst doch hier nur den text rein, ist genauso wie schreiben und da kannste doch jederzeit die buchstaben oder worte ändern, und zwar vor dem absenden
zur not einfach auf vorschau klicken, dann siehste genau was später im posting steht und kannst es oben noch ändern

[Sandra78]

Man kann die Beiträge immer ändern solange die noch nicht abgeschickt sind, kannst dir ja auch ne Vorschau anzeigen lassen.

Und wenn es abgeschickt ist kannst du selbst dann den Beitrag noch ändern und zwar 15 Minuten lang.

Erst danach kann es nur noch ein Moderator die Zeit war damals wohl schon abgelaufen bei dir. Aber damals wusstest du auch nicht das sowas passieren kann, jetzt schaust du ja drüber da reichen die 15 Minuten völlig.

[johan32]

Es tut mir Leid, dass ich den ersten Bericht so verpatzt habe. Ich finde ihn einfach nicht mehr, den Papierkorb habe ich auch noch nicht geleert.

Hier ist ein neuer Bericht steht aber wie schon vermutet nichts drin

Junkware Removal Tool (JRT) by Thisisu
Version: 6.7.6 (05.21.2015:1)
OS: Windows 7 Home Premium x64
Ran by XXXX XXXXX on 22.05.2015 at 23:40:59,23
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Tasks



~~~ Registry Values



~~~ Registry Keys



~~~ Files



~~~ Folders



~~~ FireFox

Emptied folder: C:\Users\XXXX XXXXX\AppData\Roaming\mozilla\firefox\profiles\iv5342vk.default-1424964629786\minidumps [52 files]





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 22.05.2015 at 23:43:45,54
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

[uweli1967]

Da kann man jetzt nichts mehr machen johan32, ist auch nicht tragisch ich würde vorschlagen, überprüfe noch abschliessend dein System mit Eset Online Scanner und poste auch das Logfile. Eine Anleitung dazu findest du hier:
*
http://www.pc-notfallklinik.de/viewtopic.php?f=7&t=692
*Eset -Link korrigiert -rajo

Ist dein System dann bereinigt und du bekommst hier grünes Licht und du hast eine USB Festplatte(?)dann lade dir Paragon Backup & Recovery Free runter: https://www.paragon-software.de/de/home/br-free/" onclick="window.open(this.href);return false; und installiere dessen 64 Bit Version, registrier dich dann kostenlos, erstelle mit Hilfe des Paragon Assistenten das wichtige Paragon Boot Medium das man braucht um damit erstellte Backups einspielen zu können und mach dann mit Paragon Backup & Recovery Free ein Backup der Systempartition C oder wenn du mehrere Partionen auf der Festplatte hast ein Backup der gesamten Festplatte und gewöhne dir dann an in regelmäßigen Abständen solche Backups zu machen. Die USB Festplatte nimmst du bitte als Datenträger für die Backups und die USB Festplatte muss angeschlossen sein bevor du Paragon startest damit Paragon diese erkennt. Denn der Vorteil liegt auf der Hand: du hast in kürzester Zeit wieder ein sauberes Windows eingespielt inkl. aller installierter Software usw und musst nicht stundenlang mit Scannern hantieren oder gar Windows neu aufsetzen.

[uweli1967]

Edit: ich hab noch etwas vergessen das Malwarebytes und AdwCleaner betrifft. Die Infektionen die von Malwarebytes und AdwCleaner gefunden und bereinigt wurden, befinden sich noch in den jeweiligen Quarantäne Verzeichnissen und sind somit genau genommen nicht endgültig gelöscht, könnten theoretisch wieder hergestellt werden, Also starte Malwarebytes gehe da zu Verlauf, dann auf Quarantäne, vergewissere dich das alle Infizierungen markiert sind und lass diese löschen. Schliesse dann Malwarebytes wieder. Gehe nun zur Partition C, suche dort den Ordner AdwCleaner, lösche den in den Papierkorb und leere dann den Papierkorb dann sind auch alle Infizierungen endgültig gelöscht die von AdwCleaner in dessen Quarantäne gelöscht/bereinigt wurden, Erst danach und(idealerweise)nach der Überprüfung mit Eset Online Scanner fange mit den Backups an falls du eine USB Festplatte hast.

[Sandra78]

Wozu haben wir eigentlich eigene Anleitungen?

Eset online Anleitung hier:

http://www.pc-notfallklinik.de/viewtopic.php?f=7&t=692

Ich fänds cool wenn wir hier im Forum auch mal ne Anleitung mit Bildern und Schritt für Schritt Erklärung hätten wie man so ein Backup anlegt, mit welchem free Programm auch immer. Ich hätte mich da z.b nur mit so einem Downloadlink nie rangetraut als Anfänger. Vll. hat ja ma jemand Zeit.

[uweli1967]

Wozu haben wir eigentlich eigene Anleitungen?

Eset online Anleitung hier:

http://www.pc-notfallklinik.de/viewtopic.php?f=7&t=692" onclick="window.open(this.href);return false;

Sorry, ich hab die Anleitung hier im Forum nicht gesehen und warum hast du die dann nicht schon eher gepostet und gewartet bis ich etwas zu Eset Online Scanner geschrieben habe?

[Sandra78]

Weil ich auch mal nicht online bin und wir noch bei JRT waren und kein Log hatten. Schritt für Schritt, alles nacheinander.

Dann schaut man halt bei Tipps und Tricks nach ob es da etwas gibt

[johan32]

Hier der ESET Bericht

C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\AskToolbarInstaller-AVIRA-V7[10].7z Variante von Win32/Bundled.Toolbar.Ask.M potenziell unsichere Anwendung
C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\AskToolbarInstaller-AVIRA-V7[1].7z Variante von Win32/Bundled.Toolbar.Ask.F potenziell unsichere Anwendung
C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\AskToolbarInstaller-AVIRA-V7[2].7z Variante von Win32/Bundled.Toolbar.Ask.M potenziell unsichere Anwendung
C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\AskToolbarInstaller-AVIRA-V7[3].7z Variante von Win32/Bundled.Toolbar.Ask.M potenziell unsichere Anwendung
C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\AskToolbarInstaller-AVIRA-V7[4].7z Variante von Win32/Bundled.Toolbar.Ask.M potenziell unsichere Anwendung
C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\AskToolbarInstaller-AVIRA-V7[5].7z Variante von Win32/Bundled.Toolbar.Ask.M potenziell unsichere Anwendung
C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\AskToolbarInstaller-AVIRA-V7[6].7z Variante von Win32/Bundled.Toolbar.Ask.M potenziell unsichere Anwendung
C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\AskToolbarInstaller-AVIRA-V7[7].7z Variante von Win32/Bundled.Toolbar.Ask.M potenziell unsichere Anwendung
C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\AskToolbarInstaller-AVIRA-V7[8].7z Variante von Win32/Bundled.Toolbar.Ask.M potenziell unsichere Anwendung
C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\AskToolbarInstaller-AVIRA-V7[9].7z Variante von Win32/Bundled.Toolbar.Ask.M potenziell unsichere Anwendung
C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\B5P4T58J\ApnIC[1].0 Variante von Win32/Bundled.Toolbar.Ask potenziell unsichere Anwendung
C:\Users\Hans Haase\Downloads\avira_free_antivirus_de_642.exe Variante von Win32/Bundled.Toolbar.Ask.D potenziell unsichere Anwendung gelöscht - in Quarantäne kopiert
C:\Users\Hans Haase\Downloads\ccsetup504.exe Win32/Bundled.Toolbar.Google.D potenziell unsichere Anwendung gelöscht - in Quarantäne kopiert
C:\Users\Hans Haase\Downloads\ccsetup505.exe Win32/Bundled.Toolbar.Google.D potenziell unsichere Anwendung gelöscht - in Quarantäne kopiert
C:\Users\Hans Haase\Downloads\PDFCreator-1_6_2_setup.exe Win32/OpenCandy potenziell unsichere Anwendung gelöscht - in Quarantäne kopiert
C:\Windows\Installer\MSI3CF5.tmp Variante von Win32/Bundled.Toolbar.Ask.M potenziell unsichere Anwendung gelöscht - in Quarantäne kopiert
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\AskToolbarInstaller-AVIRA-V7[10].7z Variante von Win32/Bundled.Toolbar.Ask.M potenziell unsichere Anwendung gelöscht - in Quarantäne kopiert
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\AskToolbarInstaller-AVIRA-V7[1].7z Variante von Win32/Bundled.Toolbar.Ask.F potenziell unsichere Anwendung gelöscht - in Quarantäne kopiert
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\AskToolbarInstaller-AVIRA-V7[2].7z Variante von Win32/Bundled.Toolbar.Ask.M potenziell unsichere Anwendung gelöscht - in Quarantäne kopiert
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\AskToolbarInstaller-AVIRA-V7[3].7z Variante von Win32/Bundled.Toolbar.Ask.M potenziell unsichere Anwendung gelöscht - in Quarantäne kopiert
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\AskToolbarInstaller-AVIRA-V7[4].7z Variante von Win32/Bundled.Toolbar.Ask.M potenziell unsichere Anwendung gelöscht - in Quarantäne kopiert
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\AskToolbarInstaller-AVIRA-V7[5].7z Variante von Win32/Bundled.Toolbar.Ask.M potenziell unsichere Anwendung gelöscht - in Quarantäne kopiert
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\AskToolbarInstaller-AVIRA-V7[6].7z Variante von Win32/Bundled.Toolbar.Ask.M potenziell unsichere Anwendung gelöscht - in Quarantäne kopiert
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\AskToolbarInstaller-AVIRA-V7[7].7z Variante von Win32/Bundled.Toolbar.Ask.M potenziell unsichere Anwendung gelöscht - in Quarantäne kopiert
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\AskToolbarInstaller-AVIRA-V7[8].7z Variante von Win32/Bundled.Toolbar.Ask.M potenziell unsichere Anwendung gelöscht - in Quarantäne kopiert
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\AskToolbarInstaller-AVIRA-V7[9].7z Variante von Win32/Bundled.Toolbar.Ask.M potenziell unsichere Anwendung gelöscht - in Quarantäne kopiert
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\B5P4T58J\ApnIC[1].0 Variante von Win32/Bundled.Toolbar.Ask potenziell unsichere Anwendung gelöscht - in Quarantäne kopiert
D:\HANSHAASE-PC\Backup Set 2015-05-18 122819\Backup Files 2015-05-18 122819\Backup files 1.zip Win32/Bundled.Toolbar.Google.D potenziell unsichere Anwendung gelöscht - in Quarantäne kopiert
D:\HANSHAASE-PC\Backup Set 2015-05-18 122819\Backup Files 2015-05-18 122819\Backup files 16.zip Variante von Win32/Bundled.Toolbar.Ask.D potenziell unsichere Anwendung gelöscht - in Quarantäne kopiert

[uweli1967]

Mann oh Mann du hast aber wirklich jeden Mist an Adware und PUP mitinstallieren lassen weil du blindlings die Standardinstallationen bei den Freeware Installern ausgeführt hast und es dich wohl nicht interessiert hat was da alles für ein Mist(PUP und Adware)mitinstalliert wird. Wäre man jetzt konsequent würde ich dir sagen: such dir einen Bekannten der konfirm ist was PC's angeht,sich also gut damit auskennt lass ihm in deinem Beisein dein Windows mit allem drumherum komplett neu sauber aufspielen und fang dann vom sauberen System mit Backups an. Stichwort Backups: ich hab eine Anleitung für Paragon backup & Recovery 2014 Free erstellt: http://www.pc-notfallklinik.de/viewtopi ... 855#p17855" onclick="window.open(this.href);return false;
Die Eset Funde kannst bzw solltest du übrigens allesamt im Eset Quarantäne Verzeichnis komplett löschen so wie schon geschrieben die von Malwarebytes und AdwCleaner auch. ich weiß nicht ob ich dir jetzt ruhigen Gewissens sagen kann dein System ist jetzt sauber und vertrauenswürdig oder ob du mit nochmal einen anderen Scanner das System überprüfen solltest. Am Besten(und dir wahrscheinlich die unangenehmste Option)wäre wirklich das System komplett neu und sauber ohne Adware und PUP aufzuspielen.