Zitat:

Zitat von coyogini

ok. soll ich nun combofix starten?

Ja, aber denk dran:

Alle offenen Programme und Virenscanner vorher beenden, gar nichts am Rechner machen!

hatte ich vorher nicht alle gestoppt?
hab avira, firewall, defender geschlossen. hab ich was vergessen?

Zitat:

Zitat von coyogini

hatte ich vorher nicht alle gestoppt?
hab avira, firewall, defender geschlossen. hab ich was vergessen?

Mit Programmen meine ich auch Internet Browser, etc. schließen.
So sollte es funktionieren.

Sollte ComboFix trotzdem meckern, einfach mit der Bereinigung fortfahren.


Meld dich wieder, wenn du die Logdatei von ComboFix hast.

hier kommt gmer. FYI: hatte alles ausgeschaltet, da hat sich Avira wieder selber eingeschaltet und GMER mich aufgefordert es zu schliessen. hab ich gemacht. es hörte nicht auf zu piepsen.

he, nochmals danke, Matthias...

Servus,



ok, so geht es weiter:




Schritt 1
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf ? > Optionen.
• Setze einen Haken bei Disable Ask Detection und bestätige mit Ok.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet, je nach Schwere der Infektion auch mehrmals - das ist normal. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt. (x = fortlaufende Nummer)

Schritt 2

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Schritt 3
Starte bitte OTL.exe.
Wähle unter
Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.
Poste die OTL.txt und die Extras.txt hier in deinen Thread.





Bitte poste mit deiner nächsten Antwort

• die Logdatei von AdwCleaner,
• die Logdatei von JRT,
• die beiden Logdateien von OTL.

Guten Morgen Matthias

die nächsten Logfiles:
AdwCleaner,
JRT,
OTL (und Extras)

Zwischenfrage: nach AdwCleaner- sollten diese lästigen Popups/adds nicht verschwunden sein? habe noch immer diese Werbung von appround.net

Dankbare Grüsse

C.

Servus,

Zitat:

Zitat von coyogini

Zwischenfrage: nach AdwCleaner- sollten diese lästigen Popups/adds nicht verschwunden sein? habe noch immer diese Werbung von appround.net

Kein Tool erkennt 100%.
Wo bzw. in welchem Browser kommt diese Werbung von appround.net?




Schritt 1
Bitte lasse die Datei aus der Code-Box bei Virustotal überprüfen.

• Klicke auf Wählen Sie eine
• Kopiere nun folgendes in die Suchleiste
  
  Code: Alles auswählenAufklappen

  ATTFilter

  C:\Programme\XingHaoLyrics\lrcspal.dll
           

• und klicke auf Öffnen.
• Klicke auf Scannen!.
• Warte bitte bis die Datei vollständig hochgeladen wurde. Solltest Du folgende Meldung bekommen
  
  Zitat:

  Diese Datei wurde bereits von VirusTotal analysiert...

  klicke auf Neu analysieren.
• Warte bis dir das Analysedatum angezeigt wird und der Scan abgeschlossen ist.
• Kopiere den Link aus deiner Adresszeile und poste ihn hier.

Schritt 2
Lade SystemLook von jpshortstuff vom folgenden Spiegel herunter und speichere das Tool auf dem Desktop:
SystemLook (32 bit)

• Doppelklicke auf die SystemLook.exe, um das Tool zu starten.
• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  :filefind
  *babylon*
  *crawler*
  *imeshweb*
  *Search_Results*
  *Search Results*
  *conduit*
  *babylon*
  *delta*
  
  :folderfind
  Conduit*
  searchqu*
  Babylon*
  DataMngr*
  delta*
  ilivid*
  Softonic*
  crawler*
  imesh*
  fbphotozoom*
  TornTV*
  PackageAware*
  
  :regfind
  Conduit
  searchqu
  Babylon
  DataMngr
  delta LTD
  ilivid
  Softonic
  crawler
  imesh
  fbphotozoom
  TornTV
  PackageAware
           

• Klicke nun auf den Button Look, um den Scan zu starten.
• Der Suchlauf kann einige Zeit dauern.
• Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, poste diese in deinen Thread.
• Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

Bitte poste mit deiner nächsten Antwort

• die Beantwortung der gestellten Frage,
• den Link zu VirusTotal,
• die Logdatei von SystemLook.

Hoi Matthias

zu deiner Frage:Wo bzw. in welchem Browser kommt diese Werbung von appround.net?

Ich benutze immer Mozilla Firefox. Ist das deine Frage? Die popups kommen auf google, Tageszeitungen, youtube,facebook, bevor ich in mein gmail-Konto will. Es sind diverse (appround.net, yieldmanager.com, redirect.gamespipe.com und solche die ich nicht identifizieren kann, bzw. keine Quellenangaben haben, oder so komisch ihre URL mutieren oder verschlüsseln, Bsp. yielmanager, diese Biester). WEnn ich dich richtig verstehe, sollte ich diese durch Virustotal scannen lassen. Habe ich gemacht, aber keine wirklichen Resultate bzw. ich kann nicht deuten. Meine Antwort fällt auch deswegen länger aus, weil ich nicht sicher war, ob ich deine Frage richtig verstehe und erläutere, weil ich nicht weiss, ob all diese popups zum Problem beisteuern oder nur Symptome sind. Also

Schritt 1
Virustotal-Scan von popups/URL's:

1)https://ad.yieldmanager.com

https://ad.yieldmanager.com/rw?title=New%20offer%21&qs=iframe3%3FvxgAAB6%2EPgBWNAgBAAAAAOc%2ESQAAAAAAAgAQAAAAAAAAAP8AAAACE8onWgAAAAAAD8QZAAAAAAAPUF8AAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAD8UxcAAAAAAAICAwAAgD8AAAAAAAAAAEAAAAAAAAAAQAAAAAAAAAAAAACgw9buB0AAAAAAAAAAAAAAoMPW7gdAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAABmLb7U4mqZDUvltvWFKa9Pzl%2E9ya%2D2p%2DSreZBVAAAAAA%3D%3D%2C%2Chttps%253A%252F%252Fwww%2Egoogle%2Ech%252F%2CB%253D10%2526I%253D1060%25252d1035%2 526S%253D0%25255ffirefox%2526Z%253D0x0%2526%5Fsalt%253D239256145%2526e%253D751166%2526r%253D1%2526y%253D28%2Cb4aff260%2D956f%2D11e2%2Dbe1f%2D1b7f35458 0a9%2C1364231777987
Antwort : Der Inhalt der URL-Antwort konnte nicht empfangen werden oder es ist ein Text-Format (HTML, XML, CSV, TXT, etc.), daher wurde es nicht in die Warteschlange für den Antivirus-Scan eingereiht.

2) redirect.gamespipe.com:
Normalisierte URL: hxxp://redirect.gamespipe.com/r2.php?url=hxxp://lp.empire.goodgamestudios.com?country=de&pid=759&camp=1&gid=12&cid=3273868&tid=159
Datei-Scan: Der Inhalt der URL-Antwort konnte nicht empfangen werden oder es ist ein Text-Format (HTML, XML, CSV, TXT, etc.), daher wurde es nicht in die Warteschlange für den Antivirus-Scan eingereiht.

3) appround.net:
Normalisierte URL: https://appround.net/
Erkennungsrate: 0 / 36
Analyse-Datum: 2013-03-25 17:37:10 UTC ( vor 0 Minuten )
Datei-Scan: Der Inhalt der URL-Antwort konnte nicht empfangen werden oder es ist ein Text-Format (HTML, XML, CSV, TXT, etc.), daher wurde es nicht in die Warteschlange für den Antivirus-Scan eingereiht

4) popup auf facebook- ist ne ad über amerika-green-card und eine mit so schiessenden Monstern ...finde aber keine quellenangaben, aber habe das resultat mal copy-paste gespeichert. brauchst du das? falls ja, kopier ic beim nächsten beitrag rein?


Schritt 2
Scan mit SystemLook anbei als .zip


...komm mir mit meinen inputs langsam selber vor wie hartnäckiger virus...will mir gar nicht vorstellen, wieviel Zeit & Energie du für mich und andere investierst..an Wochen- wie auch Feiertagen und Freizeit...DANKE DANKE DANKE!!! and that's not enough thanks..

Servus,


du solltest bei VirusTotal nicht die Internetseiten kontrollieren, sondern die Datei

Zitat:

C:\Programme\XingHaoLyrics\lrcspal.dll

Bitte genau lesen, was ich schreibe.

Lies dir bitte meine letzte Antwort nochmal genau durch und lass die o. g. Datei bei VirusTotal überprüfen. Davon möchte ich einen Link haben, sonst nichts!



Zum anderen hast du die Logdatei von SystemLook nicht angehängt. Bitte nacholen.

seruvs

hab dich richtig gelesen, aber falsch 1 und 2 kombiniert..schlafmankokarmakomatös..sorry..

hier der link(falls es das ist was du meinst? https://www.virustotal.com/de/file/ac7a374693bacde63685a8cb8cf124e34d4d0bd4683214b34aece3c82c42c1c4/analysis/1364311260/

ups, und noch systemlook (yep, hochladen war wohl nicht mehr drin)..

lg
c.

Servus,


hast du diese Browser-Erweiterung bewusst selber installiert?

C:\Programme\XingHaoLyrics\lrcspal.dll

nope- sicher nicht bewusst. Ich weiss nicht mal genau, was ne browsererweiterung ist, auch wenn ich jetzt gerne drüber rätsle..was ist dieses xingyiaoping?

Servus,

Zitat:

Zitat von coyogini

nope- sicher nicht bewusst. Ich weiss nicht mal genau, was ne browsererweiterung ist, auch wenn ich jetzt gerne drüber rätsle..was ist dieses xingyiaoping?

alles klar. Dann wird das auch mit entfernt.

Browsererweiterungen oder Add-ons sind kleine Programme, die die Funktionen deines Internetbrowsers erweitern können. Es gibt natürlich auch schädliche Erweiterungen und solche, die sich unbewusst auf deinem Rechner installieren.


Wir entfernen jetzt erstmal weiter:





Schritt 1

• Folge folgendem Pfad: Start -> Systemsteuerung -> Software / Programme deinstallieren
• Suche in der Liste Software mit dem folgenden Namen
  • LyricsPal
  und deinstalliere das Programm.
• Solltest du am Ende der Deinstallation zu einem Neustart aufgefordert werden, so führe diesen durch.
• Sollte es Probleme mit der Deinstallation geben, so lass es mich bitte wissen.

Schritt 2

Fixen mit OTL

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
FF - prefs.js..browser.search.defaultthis.engineName: "Search"
FF - prefs.js..extensions.enabledItems: {e9911ec6-1bcc-40b0-9993-e0eea7f6953f}:2.5.8.6
FF - prefs.js..extensions.enabledItems: {872b5b88-9db5-4310-bdd0-ac189557e5f5}:2.7.0.14
FF - prefs.js..extensions.enabledItems: {4B3803EA-5230-4DC3-A7FC-33638F3D3542}:1.3
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\fbphotozoom@installdaddy.com: C:\Program Files\fbphotozoom\fbphotozoom14.xpi
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\lrcspal@xinghao.net: C:\Program Files\XingHaoLyrics\FF\ [2013.03.21 09:15:49 | 000,000,000 | ---D | M]
[2013.03.21 09:15:49 | 000,000,000 | ---D | M] ("LyricsPal") -- C:\PROGRAM FILES\XINGHAOLYRICS\FF
O2 - BHO: (LyricsPal) - {A3DAEB01-4C15-4AC6-A689-6406FD954EE0} - C:\Programme\XingHaoLyrics\lrcspal.dll (XingHao Software)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No CLSID value found.
[2013.03.21 09:15:49 | 000,000,000 | ---D | C] -- C:\Program Files\XingHaoLyrics
[2010.03.20 17:33:44 | 002,131,336 | ---- | C] (Ask.com                                                      ) -- C:\Program Files\Common Files\AskToolbarInstaller.exe
@Alternate Data Stream - 140 bytes -> C:\ProgramData\TEMP:30FD0CBD
@Alternate Data Stream - 121 bytes -> C:\ProgramData\TEMP:DFC5A2B2
@Alternate Data Stream - 115 bytes -> C:\ProgramData\TEMP:1CA73D29
@Alternate Data Stream - 102 bytes -> C:\ProgramData\TEMP:430C6D84

:files
c:\program files\windows ilivid toolbar
C:\program files\1clickdownload
C:\Users\Corinne\AppData\Roaming\Mozilla\Firefox\Profiles\yqbzbd9p.default\CT1460988
C:\Users\Corinne\AppData\Roaming\Mozilla\Firefox\Profiles\yqbzbd9p.default\CT2269050

:reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{74F125E6-4387-4FC6-B856-F4B9DCF6EB58}"=-
"{8B048806-099B-4378-BB35-CE164B3EC3CA}"=-
"TCP Query User{8F7AA438-1A33-4C7A-8DC2-9641255365FD}C:\program files\1clickdownload\1clickdownload.exe"=-
"UDP Query User{E93B03AA-3564-4145-82E5-E2432DF2888B}C:\program files\1clickdownload\1clickdownload.exe"=-

[-HKEY_CURRENT_USER\Software\BI]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C430996F-4AA8-4AA8-81DE-F54432CD5786}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{AD79BAD6-9504-4F09-ACEC-7B319584A4C1}]
[-HKEY_USERS\S-1-5-21-1681480420-307595169-1651927566-1000\Software\BI]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{BA319B03-2FC5-4576-B645-75B6A4332F97}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome\Extensions\mpieaakhacmfleokhjcjnpcnmnmpfkid]
[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions]
"fbphotozoom@installdaddy.com"=-

:Commands
[emptytemp]
         

• Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Schritt 2
Starte bitte OTL.exe und drücke den Quick Scan Button.
Poste die OTL.txt hier in deinen Thread.





Wie läuft dein Rechner momentan? Gibt es noch Probleme? Wenn ja, welche?





Bitte poste mit deiner nächsten Antwort

• die Logdatei des OTL-Fix,
• die Logdatei des neuen OTL-Scans,
• die Beantwortung der gestellten Fragen.

Hallo Matthias

wow...ein Quantensprung im Vergleich zu vor dem fix!

PC hängt nicht mehr, Internet läuft wieder normal ohne diese popups und lästigen Umleitungen auf delta, ask, erc. Alles scheint "cleaner/befreiter"..als er ob der PC wieder richtig atmen könnte!!! DANKE!

also noch anbei die :

Logdatei des OTL-Fix
die Logdatei des neuen OTL-Scans (OTL2)

Sonnige Grüsse
c.

Servus,



das hört sich gut an.


Wir kontrollieren nochmal alles:






Schritt 1

Fixen mit OTL

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:Commands
[emptytemp]
         

• Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Schritt 2

• Starte Malwarebytes' Anti-Malware, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 3

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 4
Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.





Bitte poste mit deiner nächsten Antwort

• die Logdatei von OTL,
• die Logdatei von MBAM,
• die Logdatei von ESET,
• die Logdatei von SecurityCheck.