Hallo,

beim Öffnen diverser Websites, die ich sonst regelmäßg besuche, öffnet sich folgender Link:

hxxp://ad.adserverplus.com/st?ad_type=iframe&ad_size=800x440&section=2971503&pub_url=${PUB_URL}

Was soll ich nun machen?

Bitte um Hilfe!

Danke im Vorraus

Hallo AlexTurner,

bitte beachten: => Die 8 goldenen Regeln im Trojaner-Board

Bitte die folgenden Punkte in der vorgegebenen Reihenfolge abarbeiten:


===== Punkt 1 =====

Bereinigung mit Malwarebytes' Anti-Malware (Vollständiger Suchlauf)

Lade Malwarebytes Anti-Malware (ca. 8 MB) von einem dieser Downloadspiegel herunter:

FilePony.de - MajorGeeks.com - BestTechie

• Anwendbar auf Windows 2000, XP, Vista und Windows 7.
• Installiere das Programm in den vorgegebenen Pfad.
• Denke daran, bei Vista und Windows 7 das Programm als Admin zu starten, ansonsten per Doppelklick starten.
• Lasse es online updaten (Reiter Updates), sofern sich das Programm bereits auf dem Rechner befand.
• Aktiviere "Vollständigen Suchlauf durchführen" => Scan.
• Wähle alle verfügbaren Laufwerke aus und starte den Scan.
• Wenn der Scan beendet ist, klicke auf "Zeige Resultate".
• Bei Funden in C:\System Volume Information den Haken entfernen.
  Ansonsten wird dieser Systemwiederherstellungspunkt nicht mehr funktionieren.
  Er könnte jedoch trotz Malware noch gebraucht werden.
  
• Versichere Dich, dass ansonsten alle Funde markiert sind und drücke "Löschen".
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Logdateien" finden.
• Berichte, wie der Rechner nun läuft.

Hier findest Du eine ausführliche und bebilderte Anleitung.


===== Punkt 2 =====

Systemscan mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop.

• Doppelklick auf die OTL.exe
• Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Standard-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
  Mache hier zusätzlich einen Haken bei "Scanne alle Benutzer".
• User mit 64Bit-Systemen machen auch einen Haken bei "Include 64Bit-Scan".
• Klicke nun auf Scan links oben.
  
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
• Sofern Dein realer Nachname Bestandteil des Benutzernamens ist:
  anonymisiere diesen durch 5 Sternchen *****, am besten im Editor durch "Suchen und Ersetzen".
  Vornamen oder sonstige Usernamen brauchen nicht anonymisiert werden.
  Beispiel: Lieschen Müller - hier Müller durch ***** ersetzen.
  Ist der Benutzername nur Lieschen kann er so bleiben, wie er ist.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Füge die beiden Logfiles OTL.txt und Extras.txt als Anhang ein, indem Du unterhalb des Textfeldes auf Erweitert klickst und die Logdateien einzeln über Anhänge verwalten hochlädst.

Tut mir Leid, ich werde die beiden Dinge dann jetzt machen!

Kein Problem, ich warte dann auf die Logfiles aus den Punkten 1 und 2 :-)

Hallo Alex,

gibt es Probleme beim Abarbeiten?

Nein, keine Probleme, ich hatte nur viel zu tun in letzter Zeit und entschuldige mich für das Wartenlassen.
Hier den Bericht vom Malwarebytes-Scan:

Da der Malwarebyte-Scan keine erhoffte Hilfe brachte, sind hier die beiden Logfiles vom OTL-Durchlauf...
Ich hoffe Ihr könnt mir helfen!

Hallo AlexTurner,

===== Punkt 1 =====

Programme deinstallieren

Da einige Programme und Anti-Spy-Programme uns u. U. bei der Bereinigung behindern (z. B. durch ständig laufende Hintergrundwächter), unnötig (z. B. Toolbars) oder schädlich sind oder einfach nicht mehr gebraucht werden, bitte ich darum, die folgenden Programme über Systemsteuerung => Software komplett zu deinstallieren. Toolbars bitte auch in den Firefox-Addons unter Erweiterungen entfernen.

Code: Alles auswählenAufklappen

ATTFilter

BrowserCompanion
         

Berichte mir, falls sich ein Programm nicht deinstallieren lässt. Nach Beendigung der Bereinigung können wir schauen, welche davon Du wieder installieren kannst/sollest.


===== Punkt 2 =====

Fixen mit OTL

Hiermit fixen wir unnötige oder schädliche Einträge.

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

• Starte die OTL.exe.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
IE - HKLM\..\SearchScopes,DefaultScope = {77409DB1-BC1B-4652-8DC9-83C158577578}
IE - HKLM\..\SearchScopes\{77409DB1-BC1B-4652-8DC9-83C158577578}: "URL" = http://www.bing.com/search?q={searchTerms}&form=CMNTDF&pc=CMNTDF&src=IE-SearchBox
IE - HKU\S-1-5-21-3578900895-4210864822-1359269985-1002\..\URLSearchHook:  - No CLSID value found
IE - HKU\S-1-5-21-3578900895-4210864822-1359269985-1002\..\SearchScopes,DefaultScope = {6552C7DD-90A4-4387-B795-F8F96747DE19}
IE - HKU\S-1-5-21-3578900895-4210864822-1359269985-1002\..\SearchScopes\{05965FEB-F1A4-488E-9C9D-3FCBF4614E9A}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=AVR-IDW&o=APN10023&src=crm&q={searchTerms}&locale=&apn_ptnrs=LL&apn_dtid=YYYYYYYYDE&apn_uid=4c627b44-f208-47ca-8bfd-896f9f3ef03e&apn_sauid=7EA755FC-6C57-4F71-957F-6F1FCA5FA536
IE - HKU\S-1-5-21-3578900895-4210864822-1359269985-1002\..\SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19}: "URL" = http://www.icq.com/search/results.php?q={searchTerms}&ch_id=osd
IE - HKU\S-1-5-21-3578900895-4210864822-1359269985-1002\..\SearchScopes\{77409DB1-BC1B-4652-8DC9-83C158577578}: "URL" = http://www.bing.com/search?q={searchTerms}&form=CMNTDF&pc=CMNTDF&src=IE-SearchBox
IE - HKU\S-1-5-21-3578900895-4210864822-1359269985-1002\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..browser.search.defaulturl: "http://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.2.9&q="
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.search.selectedEngine: "ICQ Search"
FF - prefs.js..extensions.enabledItems: {800b5000-a755-47e1-992b-48a1c1357f07}:1.1.9
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
FF - prefs.js..extensions.enabledItems: {635abd67-4fe9-1b23-4f01-e679fa7484c1}:2.1.8.20100713041928
FF - prefs.js..keyword.URL: "http://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.4.7&q="
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
[2012/05/18 12:22:37 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Users\Lukas\AppData\Roaming\mozilla\Firefox\Profiles\i3v1h26d.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
[2012/03/29 17:39:03 | 000,000,000 | ---D | M] ("ICQ Toolbar") -- C:\Users\Lukas\AppData\Roaming\mozilla\Firefox\Profiles\i3v1h26d.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
[2012/03/07 21:46:41 | 000,002,410 | ---- | M] () -- C:\Users\Lukas\AppData\Roaming\Mozilla\Firefox\Profiles\i3v1h26d.default\searchplugins\askcom.xml
[2012/06/28 23:27:39 | 000,000,950 | ---- | M] () -- C:\Users\Lukas\AppData\Roaming\Mozilla\Firefox\Profiles\i3v1h26d.default\searchplugins\icqplugin-1.xml
[2011/06/22 12:01:50 | 000,000,950 | ---- | M] () -- C:\Users\Lukas\AppData\Roaming\Mozilla\Firefox\Profiles\i3v1h26d.default\searchplugins\icqplugin-10.xml
[2011/06/30 12:40:21 | 000,000,950 | ---- | M] () -- C:\Users\Lukas\AppData\Roaming\Mozilla\Firefox\Profiles\i3v1h26d.default\searchplugins\icqplugin-11.xml
[2011/08/17 15:26:23 | 000,000,950 | ---- | M] () -- C:\Users\Lukas\AppData\Roaming\Mozilla\Firefox\Profiles\i3v1h26d.default\searchplugins\icqplugin-12.xml
[2011/08/21 10:34:36 | 000,000,950 | ---- | M] () -- C:\Users\Lukas\AppData\Roaming\Mozilla\Firefox\Profiles\i3v1h26d.default\searchplugins\icqplugin-13.xml
[2011/08/23 15:20:59 | 000,000,950 | ---- | M] () -- C:\Users\Lukas\AppData\Roaming\Mozilla\Firefox\Profiles\i3v1h26d.default\searchplugins\icqplugin-14.xml
[2011/09/06 21:59:45 | 000,000,950 | ---- | M] () -- C:\Users\Lukas\AppData\Roaming\Mozilla\Firefox\Profiles\i3v1h26d.default\searchplugins\icqplugin-15.xml
[2011/09/14 15:25:32 | 000,000,950 | ---- | M] () -- C:\Users\Lukas\AppData\Roaming\Mozilla\Firefox\Profiles\i3v1h26d.default\searchplugins\icqplugin-16.xml
[2011/09/28 18:24:51 | 000,000,950 | ---- | M] () -- C:\Users\Lukas\AppData\Roaming\Mozilla\Firefox\Profiles\i3v1h26d.default\searchplugins\icqplugin-17.xml
[2011/10/02 10:11:56 | 000,000,950 | ---- | M] () -- C:\Users\Lukas\AppData\Roaming\Mozilla\Firefox\Profiles\i3v1h26d.default\searchplugins\icqplugin-18.xml
[2011/10/03 12:48:51 | 000,000,950 | ---- | M] () -- C:\Users\Lukas\AppData\Roaming\Mozilla\Firefox\Profiles\i3v1h26d.default\searchplugins\icqplugin-19.xml
[2010/10/21 14:06:07 | 000,000,950 | ---- | M] () -- C:\Users\Lukas\AppData\Roaming\Mozilla\Firefox\Profiles\i3v1h26d.default\searchplugins\icqplugin-2.xml
[2011/11/09 16:18:26 | 000,000,950 | ---- | M] () -- C:\Users\Lukas\AppData\Roaming\Mozilla\Firefox\Profiles\i3v1h26d.default\searchplugins\icqplugin-20.xml
[2011/11/11 16:36:02 | 000,000,950 | ---- | M] () -- C:\Users\Lukas\AppData\Roaming\Mozilla\Firefox\Profiles\i3v1h26d.default\searchplugins\icqplugin-21.xml
[2011/11/29 18:31:09 | 000,000,950 | ---- | M] () -- C:\Users\Lukas\AppData\Roaming\Mozilla\Firefox\Profiles\i3v1h26d.default\searchplugins\icqplugin-22.xml
[2011/12/20 15:05:02 | 000,000,950 | ---- | M] () -- C:\Users\Lukas\AppData\Roaming\Mozilla\Firefox\Profiles\i3v1h26d.default\searchplugins\icqplugin-23.xml
[2012/01/08 16:34:53 | 000,000,950 | ---- | M] () -- C:\Users\Lukas\AppData\Roaming\Mozilla\Firefox\Profiles\i3v1h26d.default\searchplugins\icqplugin-24.xml
[2012/01/11 16:24:13 | 000,000,950 | ---- | M] () -- C:\Users\Lukas\AppData\Roaming\Mozilla\Firefox\Profiles\i3v1h26d.default\searchplugins\icqplugin-25.xml
[2012/02/06 18:54:40 | 000,000,950 | ---- | M] () -- C:\Users\Lukas\AppData\Roaming\Mozilla\Firefox\Profiles\i3v1h26d.default\searchplugins\icqplugin-26.xml
[2012/02/13 14:44:07 | 000,000,950 | ---- | M] () -- C:\Users\Lukas\AppData\Roaming\Mozilla\Firefox\Profiles\i3v1h26d.default\searchplugins\icqplugin-27.xml
[2012/02/20 19:00:58 | 000,000,950 | ---- | M] () -- C:\Users\Lukas\AppData\Roaming\Mozilla\Firefox\Profiles\i3v1h26d.default\searchplugins\icqplugin-28.xml
[2012/04/26 18:36:25 | 000,000,950 | ---- | M] () -- C:\Users\Lukas\AppData\Roaming\Mozilla\Firefox\Profiles\i3v1h26d.default\searchplugins\icqplugin-29.xml
[2010/10/31 11:46:57 | 000,000,950 | ---- | M] () -- C:\Users\Lukas\AppData\Roaming\Mozilla\Firefox\Profiles\i3v1h26d.default\searchplugins\icqplugin-3.xml
[2012/06/10 00:50:56 | 000,000,950 | ---- | M] () -- C:\Users\Lukas\AppData\Roaming\Mozilla\Firefox\Profiles\i3v1h26d.default\searchplugins\icqplugin-30.xml
[2012/06/16 15:32:39 | 000,000,950 | ---- | M] () -- C:\Users\Lukas\AppData\Roaming\Mozilla\Firefox\Profiles\i3v1h26d.default\searchplugins\icqplugin-31.xml
[2012/06/25 18:49:55 | 000,000,950 | ---- | M] () -- C:\Users\Lukas\AppData\Roaming\Mozilla\Firefox\Profiles\i3v1h26d.default\searchplugins\icqplugin-32.xml
[2010/12/10 23:20:25 | 000,000,950 | ---- | M] () -- C:\Users\Lukas\AppData\Roaming\Mozilla\Firefox\Profiles\i3v1h26d.default\searchplugins\icqplugin-4.xml
[2011/03/03 18:06:54 | 000,000,950 | ---- | M] () -- C:\Users\Lukas\AppData\Roaming\Mozilla\Firefox\Profiles\i3v1h26d.default\searchplugins\icqplugin-5.xml
[2011/03/05 13:35:57 | 000,000,950 | ---- | M] () -- C:\Users\Lukas\AppData\Roaming\Mozilla\Firefox\Profiles\i3v1h26d.default\searchplugins\icqplugin-6.xml
[2011/03/25 15:07:40 | 000,000,950 | ---- | M] () -- C:\Users\Lukas\AppData\Roaming\Mozilla\Firefox\Profiles\i3v1h26d.default\searchplugins\icqplugin-7.xml
[2011/04/30 12:27:16 | 000,000,950 | ---- | M] () -- C:\Users\Lukas\AppData\Roaming\Mozilla\Firefox\Profiles\i3v1h26d.default\searchplugins\icqplugin-8.xml
[2011/05/08 11:45:51 | 000,000,950 | ---- | M] () -- C:\Users\Lukas\AppData\Roaming\Mozilla\Firefox\Profiles\i3v1h26d.default\searchplugins\icqplugin-9.xml
[2010/09/13 16:17:59 | 000,000,944 | ---- | M] () -- C:\Users\Lukas\AppData\Roaming\Mozilla\Firefox\Profiles\i3v1h26d.default\searchplugins\icqplugin.xml
CHR - Extension: Browser Companion Helper = C:\Users\Lukas\AppData\Local\Google\Chrome\User Data\Default\Extensions\kolgnaidildmdbfgdnoapjdianbpajne\1.0.5_0\
O2 - BHO: (Browser Companion Helper) - {00cbb66b-1d3b-46d3-9577-323a336acb50} - C:\Program Files\BrowserCompanion\jsloader.dll ( )
O2 - BHO: (Browser Companion Helper Verifier) - {963B125B-8B21-49A2-A3A8-E37092276531} - C:\Program Files\BrowserCompanion\updatebhoWin32.dll ( )
O3 - HKLM\..\Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - No CLSID value found.
O3 - HKU\S-1-5-21-3578900895-4210864822-1359269985-1002\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKU\S-1-5-21-3578900895-4210864822-1359269985-1002\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKLM..\Run: [Browser companion helper] C:\Program Files\BrowserCompanion\BCHelper.exe (Blabbers Communications LTD)
O4 - HKU\S-1-5-21-3578900895-4210864822-1359269985-1002..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)


:Services

:Reg

:Files
ipconfig /flushdns /c

:Commands
[purity]
[emptytemp]
         

• Schließe alle Programme ink. z. B. Verhaltensüberwachung von Antivirus-Programmen.
• Klicke auf den Fix Button.
• Wenn OTL einen Neustart verlangt, bitte zulassen.
• Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!


===== Punkt 3 =====

Welche Java-Version ist installiert?

Kontrolliere über Systemsteuerung => Programme, welche Java-Version installiert ist.
Falls es nicht Java Version 7 Update 5 ist:
Systemsteuerung => Java => Aktualisierung => Jetzt aktualisieren.

Unter Systemsteuerung => Java => Aktualisierung einstellen:
Benachrichtigung ausgeben => Vor der Installation
Haken bei Automatisch nach Aktualisierung suchen machen und unter Erweitert auf "Wöchentlich" einstellen.

Eventuell vorhandene ältere Versionen von Java über Systemsteuerung => Programme deinstallieren und ggfs. auch im Firefox unter Addons => Erweiterungen die alten Java-Versionen entfernen.

Die Offline-Version von Java Version 7 Update 5 von Oracle findest Du hier. Achte bei der Installation darauf, eventuell angebotene Toolbars nicht mitzuinstallieren, also während der Installation den Haken bei der Toolbar entfernen.

User mit 64Bit-System sollten die 32Bit-Version installieren. Es hat sich mehrfach gezeigt, dass die 64Bit-Version Probleme bereitet.


Java-Cache leeren

Start => Systemsteuerung => Java => Allgemein => Temporäre Internet-Dateien "Einstellungen" => Dateien löschen => Haken setzen wo möglich => OK