Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: protected search trojaner startseite - hijackthis geht nicht

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 24.11.2012, 11:51   #1
trojan77
 
protected search trojaner startseite - hijackthis geht nicht - Standard

protected search trojaner startseite - hijackthis geht nicht



Hallo,

ich hoffe hier einen guten rat zu bekommen:

Wenn ich firefox starte, kommt beim öffnen eines zweiten fensters als startseite immer "protected search" als startseite. das erste fenster ist wie in firefox hinterlegt die google seite.

das beschriebene problem habe ich im netz bisher auch erst 2 mal gelesen, aber ohne eine lösung zu finden.

ich habe bisher:

(1) hijackthis scan durchgeführt > kann die protected seach einträge nicht löschen, die unten angegebenen einträge sind die von HijackThis auch erkannten

die einträge:

Code:
ATTFilter

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.protectedsearch.com?si=41570&home=true&tid=3026&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://search.protectedsearch.com?si=41570&home=true&tid=3026&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.protectedsearch.com?si=41570&home=true&tid=3026&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://search.protectedsearch.com?si=41570&home=true&tid=3026&q=
         
(2) malvare bytes > hat auch nicht gefunden
(3) Sytemwiederherstellung früherer Zeitpunkt > geht nicht
(4) in der registry die "protected search" einträge gelöscht > passiert nichts.
(5) ccleaner > durchlaufen lassen inkl. registry cleaner > passiert nichts

info: problem ist nur bei firefox, chrome und ie haben das problem nicht.
OS: ms vista inkl. updates

hat jemand eine idee, wie ich das ändern kann.

besten dank fuer eure tips.

gruss

Geändert von trojan77 (24.11.2012 um 11:57 Uhr)

Alt 25.11.2012, 08:17   #2
t'john
/// Helfer-Team
 
protected search trojaner startseite - hijackthis geht nicht - Standard

protected search trojaner startseite - hijackthis geht nicht






Systemscan mit OTL (bebilderte Anleitung)

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)- Doppelklick auf die OTL.exe

  • Vista und Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Wähle Scanne Alle Benuzer
  • Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimale Ausgabe
  • Unter Extra Registrierung, wähle bitte Benutze SafeList
  • Klicke nun auf Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.
__________________

__________________

Alt 25.11.2012, 13:08   #3
trojan77
 
protected search trojaner startseite - hijackthis geht nicht - Standard

protected search trojaner startseite - hijackthis geht nicht



anbei die files wie gewünscht.

__________________
Angehängte Dateien
Dateityp: 7z Desktop.7z (17,1 KB, 156x aufgerufen)

Alt 26.11.2012, 03:10   #4
t'john
/// Helfer-Team
 
protected search trojaner startseite - hijackthis geht nicht - Standard

protected search trojaner startseite - hijackthis geht nicht



Die Bereinigung besteht aus mehreren Schritten, die ausgefuehrt werden muessen.
Diese Nacheinander abarbeiten und die 3 Logs, die dabei erstellt werden bitte in deine naechste Antwort einfuegen.

Sollte der OTL-FIX nicht richig durchgelaufen sein. Fahre nicht fort, sondern melde dies bitte.

1. Schritt

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

  • Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
  • Starte die OTL.exe.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:
  • Der Fix fängt mit :OTL an. Vergewissere dich, dass du ihn richtig kopiert hast.

Ersetze die Platzhalter wieder in den Benutzernamen zurück!
Code:
ATTFilter
:OTL
PRC - C:\Users\f\AppData\Local\Temp\RtkBtMnt.exe (Realtek Semiconductor Corp.) 
O4 - HKLM..\Run: [] File not found 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0 

[2011.02.14 20:05:53 | 000,000,000 | -HSD | M] -- C:\Users\f\AppData\Roaming\.# 
:Files
C:\Users\f\AppData\Local\Temp\RtkBtMnt.exe
C:\ProgramData\*.exe
C:\ProgramData\*.dll
C:\ProgramData\*.tmp
C:\ProgramData\TEMP
C:\Users\f\*.tmp
C:\Users\f\AppData\Local\Temp\*.exe
C:\Users\f\AppData\LocalLow\Sun\Java\Deployment\cache
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
ipconfig /flushdns /c
:Commands
[emptytemp]
         
  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Wenn OTL einen Neustart verlangt, bitte zulassen.
  • Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
    Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!



2. Schritt
Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".
danach:

3. Schritt
Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).
__________________
Mfg, t'john
Das TB unterstützen

Alt 26.11.2012, 10:37   #5
trojan77
 
protected search trojaner startseite - hijackthis geht nicht - Standard

protected search trojaner startseite - hijackthis geht nicht



guten morgen:

der satz hab ich nicht verstanden:

Ersetze die Platzhalter wieder in den Benutzernamen zurück!

ich habe keine platzhalter angewendet.

gruss und danke.

scanner laufen, poste ich sobald ie durch sind.


Alt 26.11.2012, 22:29   #6
trojan77
 
protected search trojaner startseite - hijackthis geht nicht - Standard

protected search trojaner startseite - hijackthis geht nicht



hi,

alle schritte durchgeführt

im anhang die log files

gruss + danke


Alt 27.11.2012, 12:16   #7
t'john
/// Helfer-Team
 
protected search trojaner startseite - hijackthis geht nicht - Standard

protected search trojaner startseite - hijackthis geht nicht



Sehr gut!

Wie laeuft der Rechner?


Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html
__________________
Mfg, t'john
Das TB unterstützen

Alt 27.11.2012, 19:35   #8
trojan77
 
protected search trojaner startseite - hijackthis geht nicht - Standard

protected search trojaner startseite - hijackthis geht nicht



hi,

rechner läuft wie vor der behandlung - normal, d.h. keine probleme.

die "h**p://search.protectedsearch.com/?si=41570&home=true&tid=3026" ist aber nach wie vor die suchseite wie oben beschrieben.

lass emsisoft laufen und meld mich wieder.

gruss

Alt 28.11.2012, 16:43   #9
trojan77
 
protected search trojaner startseite - hijackthis geht nicht - Standard

protected search trojaner startseite - hijackthis geht nicht



so anbei mal das emsisoft scan - hat gedauert ,)
danke

Alt 29.11.2012, 05:14   #10
t'john
/// Helfer-Team
 
protected search trojaner startseite - hijackthis geht nicht - Standard

protected search trojaner startseite - hijackthis geht nicht



Datei-Überprüfung

Folgende Datei/en (siehe Codebox) bei VirusTotal online überprüfen lassen. Dafür musst Du jede Datei einzeln über den Button "Durchsuchen" und "Send file" nach VirusTotal hochladen und prüfen lassen. Sollte die Datei bereits einmal geprüft sein, bitte auf Reanalyze klicken.

Zitat:
C:\ACER\awc\AWC.exe
Solltest Du die Datei/en auf Deinem Computer nicht finden, überprüfe, ob folgende Einstellungen richtig gesetzt sind.

Beim Firefox mit installiertem NoScript bitte VirusTotal erlauben. Wenn VirusTotal die Datei empfangen hat, wird sie diese mit mehreren Anti-Virus-Scannern prüfen und die Ergebnisse anzeigen. Sollte VirusTotal melden, dass die Datei bereits überpüft wurde, lasse sie trotzdem über den Button "Reanalyse" erneut prüfen.

Wenn das Ergebnis vorliegt, kopiere mir den Ergebnis-Link (aus der Adresszeile des Browsers) hier in den Thread.

Auch wenn sich herausstellt, dass die Datei/en infiziert ist/sind, bitte nicht ohne Absprache löschen!



Systemscan mit OTL (bebilderte Anleitung)

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)- Doppelklick auf die OTL.exe

  • Vista und Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Wähle Scanne Alle Benuzer
  • Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimale Ausgabe
  • Unter Extra Registrierung, wähle bitte Benutze SafeList
  • Klicke nun auf Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.
__________________
Mfg, t'john
Das TB unterstützen

Alt 29.11.2012, 09:39   #11
trojan77
 
protected search trojaner startseite - hijackthis geht nicht - Standard

protected search trojaner startseite - hijackthis geht nicht



anbei virustotal link:

https://www.virustotal.com/file/bb807521881f70075dfc1285e53bdab5763f0279ad3d35daf31f8d8fa4d4896b/analysis/1354178182/


otl scan dauert.

danke.

Alt 29.11.2012, 11:27   #12
trojan77
 
protected search trojaner startseite - hijackthis geht nicht - Standard

protected search trojaner startseite - hijackthis geht nicht



anbei die otl scans

ich bin gespannt

danke.

Alt 02.12.2012, 16:16   #13
t'john
/// Helfer-Team
 
protected search trojaner startseite - hijackthis geht nicht - Standard

protected search trojaner startseite - hijackthis geht nicht



Zitat:
MD5: 5c4e25e833e57af607c6ba0b91bda708
SHA1: d02d3c30d1cd0b59b8e5e42ce5e3413d5cb88eb5
Detect: 5 / 44

TROJ_GEN.RCBH1JM (TrendMicro-HouseCall)
Trojan.Win32.Agent.tyqb (Kaspersky)
Trojan.Win32.Agent.tyqb.AMN (A) (Emsisoft)
Trojan.Agent.tyqb (VBA32)
Trojan.Win32.Agent (Ikarus)

Malware mit Combofix beseitigen

Lade Combofix von einem der folgenden Download-Spiegel herunter:

BleepingComputer.com - ForoSpyware.com

und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig!
Beachte die ausführliche Original-Anleitung.

Zurzeit ist Combofix auf folgenden Windows-Versionen lauffähig:
  • Windows XP (nur 32-bit)
  • Windows Vista (32-bit/64-bit)
  • Windows 7 (32-bit/64-bit)


Vorbereitung und wichtige Hinweise

  • Bitte während des Scans mit Combofix Antiviren- sowie Antispy-Programme, die Firewall und evtl. vorhandenes Skript-Blocking (Norton) deaktivieren.
  • Liste der zu deaktivierenden Programme.
    Bei Unklarheiten bitte fragen.


  • ComboFix wird Deine Einstellungen in Bezug auf den Bildschirmschoner zurücksetzen.
  • Diese Einstellungen kannst Du nach Beendigung unserer Bereinigung wieder ändern.
  • Mache nichts anderes, wenn es Dir nicht gelungen ist, Combofix laufen zu lassen.
  • Teile uns das mit und warte auf unsere Anweisungen.


  • Starte die Combofix.exe mit Rechtsklick => Als Administrator ausführen und folge den Anweisungen.
  • Während des Laufs von Combofix nichts anderes am Computer machen!
  • Akzeptiere die Bedingungen (Disclaimer) mit "Ja".


  • Sollte Combofix eine aktuellere Version anbieten, Downlaod erlauben.
  • Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.
  • Es erscheint eine blaue Eingabeaufforderung, Combofix wird für den Suchlauf vorbereitet.
  • Bitte nicht in dieses Combofix-Fenster klicken.
  • Das könnte Dein System einfrieren oder hängen bleiben lassen.
  • Es wird ein Backup Deiner Registry erstellt.
  • Nun werden die einzelnen Stufen des Programms abgearbeitet, das kann eine Weile dauern.


  • Wenn ComboFix fertig ist, wird es ein Log erstellen (bitte warten, das dauert einen Moment).
  • Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint.
  • Bitte poste die Log-Dateien C:\ComboFix.txt und C:\Qoobox\Add-Remove Programs.txt in Code-Tags hier in den Thread.


  • Hinweis: Combofix macht aus verschiedenen Gründen den Internet Explorer zum Standard-Browser und erstellt ein IE-Icon auf dem Desktop.
  • Das IE-Desktop-Icon kannst Du nach der Bereinigung wieder löschen und Deinen bevorzugten Browser wieder als Standard-Browser einstellen.



Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen!
__________________
Mfg, t'john
Das TB unterstützen

Alt 09.12.2012, 19:23   #14
trojan77
 
protected search trojaner startseite - hijackthis geht nicht - Standard

protected search trojaner startseite - hijackthis geht nicht



hi,

folgedes update:

ich war etwa sungeduldig und hab dann selber "hand angelegt", d.h. in der registry alle "protected search" einträge manuell gelöscht. mit dem resultat, dass protected nach wie vor da ist jedoch meien ms vista version als nicht authorisiert angzeigt wurde und ich dann system neu aufsetzen musste. das aufsetzen des systems hab ich eher durch zufall entdeckt.

vielen dank fuer deine tips - da ich bisher einige deine tools/software nicht kannte, hat sich das theater doch gelohnt. verzeih, dass ich mich nicht an die "regeln" gehalten habe und selbtändig was ausprobiert habe.

schoenen abend.

Antwort

Themen zu protected search trojaner startseite - hijackthis geht nicht
bytes, ccleaner, explorer, firefox, gelöscht, google, guten, hijack, hijackthis, home, internet, internet explorer, löschen, lösung, malvare, microsoft, nicht löschen, problem, protected search trojaner startseite, registry, registry cleaner, scan, seite, software, startseite, trojaner, vista, ändern, öffnen




Ähnliche Themen: protected search trojaner startseite - hijackthis geht nicht


  1. Google Chrome Startseite geht nicht weg
    Alles rund um Windows - 06.08.2013 (16)
  2. DJ Mixi Search, unerwünsche toolbar, Startseite nicht mehr änderbar
    Log-Analyse und Auswertung - 25.04.2013 (13)
  3. Protected search !
    Log-Analyse und Auswertung - 10.12.2012 (8)
  4. Claro-search kann als Startseite nicht gelöscht werden
    Plagegeister aller Art und deren Bekämpfung - 03.12.2012 (17)
  5. search.babylon.com als Startseite lässt sich nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 24.10.2012 (21)
  6. internet explorer, startseite google geht oft nicht
    Log-Analyse und Auswertung - 05.04.2011 (1)
  7. Es geht immer eine Fenster auf mit der Meldung - This assembley is protected by an unregisted versio
    Plagegeister aller Art und deren Bekämpfung - 23.02.2011 (2)
  8. inet Seite als Startseite geht nicht weg
    Log-Analyse und Auswertung - 21.06.2005 (1)
  9. Startseite Search for... AdAware laufen lassen --> logs; nicht zu löschen?
    Log-Analyse und Auswertung - 06.02.2005 (11)
  10. Richtchfind.com Startseite geht nicht weg
    Log-Analyse und Auswertung - 18.01.2005 (3)
  11. Richtchfind.com Startseite geht nicht weg
    Plagegeister aller Art und deren Bekämpfung - 18.01.2005 (1)
  12. Search-system.com Startseite geht nicht weg
    Log-Analyse und Auswertung - 03.12.2004 (8)
  13. Tool geht nicht weg und Startseite ist immer about : blank
    Log-Analyse und Auswertung - 19.11.2004 (1)
  14. "search for...-startseite"-nix geht mehr
    Log-Analyse und Auswertung - 01.08.2004 (2)
  15. HILFE! Kann meine Startseite ( Home Search ) nicht mehr verändern!
    Plagegeister aller Art und deren Bekämpfung - 23.04.2004 (1)
  16. startseite ändern geht nicht!
    Plagegeister aller Art und deren Bekämpfung - 01.03.2004 (3)
  17. Trojaner - u.a. www.your-search.cc als Startseite
    Plagegeister aller Art und deren Bekämpfung - 18.02.2004 (2)

Zum Thema protected search trojaner startseite - hijackthis geht nicht - Hallo, ich hoffe hier einen guten rat zu bekommen: Wenn ich firefox starte, kommt beim öffnen eines zweiten fensters als startseite immer "protected search" als startseite. das erste fenster ist - protected search trojaner startseite - hijackthis geht nicht...
Archiv
Du betrachtest: protected search trojaner startseite - hijackthis geht nicht auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.