| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Farbig unterstrichene Wörter im WebbrowserWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
25.08.2013, 18:42
| #1 |
| |  Farbig unterstrichene Wörter im Webbrowser Hallo. Ich habe mir gestern einen no dvd crack für ein Spiel runtergeladen. Da es dann doch irgendwie nicht das Richtige war, habe ich es wieder gelöscht und die Datei die ich installieren musste deinstalliert. Wenn ich jetz Mozilla Firefox starte sind auf jeder Website manche Wörter farbig unterstrichen und wenn ich mit der Maus rüberfahre (Ich habe nicht draufgeklickt!) öffnet sich ein Bild was angeblich nach dem Wort irgendwo suchen soll, oder es kommt eine Shopping Seite... Ich habe natürlich sofort an einen Virus gedacht und habe mit Malwarebytes Anti-Malware und Avira Anti-Virus einen Suchlauf starten lassen. Hier die Ergebnisse von Malware: Malwarebytes Anti-Malware 1.75.0.1300 www.malwarebytes.org Datenbank Version: v2013.08.24.05 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 kevin :: BIE [Administrator] 24.08.2013 22:12:28 mbam-log-2013-08-24 (22-12-28).txt Art des Suchlaufs: Vollständiger Suchlauf (H:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 406791 Laufzeit: 2 Stunde(n), 26 Minute(n), 24 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 8 HKCU\Software\DataMngr (PUP.Optional.DataMngr) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{7E55BF0D-1B6D-4EF8-8E93-5CE5FC9E9D08} (PUP.Optional.LyricsAd) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7E55BF0D-1B6D-4EF8-8E93-5CE5FC9E9D08} (PUP.Optional.LyricsAd) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\TypeLib\{DC845AC2-56E0-4563-8F12-A0FB15B7391D} (PUP.Optional.LyricsAd) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\CLSID\{7E55BF0D-1B6D-4EF8-8E93-5CE5FC9E9D08} (PUP.Optional.LyricsAd) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\lyrics@bobylyrics.co (PUP.Optional.LyricsAd) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E55BF0D-1B6D-4EF8-8E93-5CE5FC9E9D08} (PUP.Optional.LyricsAd) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\Interface\{629BAA7B-17A5-4456-A651-9AB9AA538FB8} (PUP.Optional.LyricsAd) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Registrierungswerte: 1 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|DATAMNGR (PUP.Optional.Datamngr) -> Daten: H:\PROGRA~1\IMESHA~1\MediaBar\Datamngr\DATAMN~1.EXE -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 4 HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|StartMenuLogoff (PUM.Hijack.StartMenu) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. Infizierte Verzeichnisse: 5 H:\Dokumente und Einstellungen\kevin\Anwendungsdaten\OpenCandy\EA7B981C867246729F8EEDAC51B38D54 (PUP.Optional.OpenCandy) -> Erfolgreich gelöscht und in Quarantäne gestellt. H:\Dokumente und Einstellungen\kevin\Anwendungsdaten\OpenCandy\226771C08C694DDAA511A73082A720CE (PUP.Optional.OpenCandy) -> Erfolgreich gelöscht und in Quarantäne gestellt. H:\Dokumente und Einstellungen\kevin\Anwendungsdaten\OpenCandy\677F4134206840D6911946FD6547A5CE (PUP.Optional.OpenCandy) -> Erfolgreich gelöscht und in Quarantäne gestellt. H:\Dokumente und Einstellungen\kevin\Anwendungsdaten\OpenCandy\OpenCandy_677F4134206840D6911946FD6547A5CE (PUP.Optional.OpenCandy) -> Erfolgreich gelöscht und in Quarantäne gestellt. H:\Dokumente und Einstellungen\kevin\Anwendungsdaten\OpenCandy (PUP.Optional.OpenCandy) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateien: 21 H:\Programme\ClearProg\eBay\eBayShortcuts.exe (Adware.ADON) -> Erfolgreich gelöscht und in Quarantäne gestellt. H:\Dokumente und Einstellungen\kevin\Eigene Dateien\JDownloader\SoftonicDownloader_fuer_jdownloader.exe (PUP.OfferBundler.ST) -> Erfolgreich gelöscht und in Quarantäne gestellt. H:\Dokumente und Einstellungen\kevin\Eigene Dateien\Stimmenverzerrer\SoftonicDownloader_fuer_morphvox.exe (PUP.OfferBundler.ST) -> Erfolgreich gelöscht und in Quarantäne gestellt. H:\RECYCLER\S-1-5-21-823518204-1563985344-682003330-1003\Dh1.exe (PUP.Optional.4Squared) -> Erfolgreich gelöscht und in Quarantäne gestellt. H:\Dokumente und Einstellungen\kevin\Anwendungsdaten\OpenCandy\EA7B981C867246729F8EEDAC51B38D54\mconduitinstaller.exe (PUP.Optional.Conduit.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. H:\Programme\iMesh Applications\MediaBar\Datamngr\datamngrUI.exe (PUP.Optional.Datamngr) -> Löschen bei Neustart. H:\Programme\BobyLyrics\130.dll (PUP.Optional.LyricsAd) -> Erfolgreich gelöscht und in Quarantäne gestellt. H:\Programme\BobyLyrics\Uninstall.exe (PUP.Optional.LyricsAd) -> Erfolgreich gelöscht und in Quarantäne gestellt. H:\Dokumente und Einstellungen\kevin\Lokale Einstellungen\Temp\BobyLyrics_1060-1090_v122.exe (PUP.Optional.LyricsAd) -> Erfolgreich gelöscht und in Quarantäne gestellt. H:\Dokumente und Einstellungen\kevin\Anwendungsdaten\OpenCandy\677F4134206840D6911946FD6547A5CE\EBB77268-338F-4C6A-8590-AD88FED26F4A (PUP.Optional.OpenCandy) -> Erfolgreich gelöscht und in Quarantäne gestellt. H:\Dokumente und Einstellungen\kevin\Anwendungsdaten\OpenCandy\677F4134206840D6911946FD6547A5CE\OCBrowserHelper_1.0.3.85.dll (PUP.Optional.OpenCandy) -> Erfolgreich gelöscht und in Quarantäne gestellt. H:\RECYCLER\S-1-5-21-823518204-1563985344-682003330-1003\Dh6.exe (PUP.Optional.OpenCandy) -> Erfolgreich gelöscht und in Quarantäne gestellt. H:\Dokumente und Einstellungen\kevin\Anwendungsdaten\OpenCandy\677F4134206840D6911946FD6547A5CE\2877.ico (PUP.Optional.OpenCandy) -> Erfolgreich gelöscht und in Quarantäne gestellt. H:\Dokumente und Einstellungen\kevin\Anwendungsdaten\OpenCandy\677F4134206840D6911946FD6547A5CE\AVGToolbarv923.exe (PUP.Optional.OpenCandy) -> Erfolgreich gelöscht und in Quarantäne gestellt. H:\Dokumente und Einstellungen\kevin\Anwendungsdaten\OpenCandy\677F4134206840D6911946FD6547A5CE\AVG923_p1v2.exe (PUP.Optional.OpenCandy) -> Erfolgreich gelöscht und in Quarantäne gestellt. H:\System Volume Information\_restore{084A0C5B-1ABD-4706-AB81-A30C4E47CD9B}\RP565\A0203397.exe (PUP.Optional.OpenCandy.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. H:\Dokumente und Einstellungen\kevin\Anwendungsdaten\OpenCandy\226771C08C694DDAA511A73082A720CE\LatestDLMgr.exe (PUP.Optional.OpenCandy.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. H:\Dokumente und Einstellungen\kevin\Anwendungsdaten\SearchProtect\Res\SPSetup.exe (PUP.Optional.SearchProtect.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. H:\Dokumente und Einstellungen\kevin\Anwendungsdaten\Mozilla\Extensions\{1FD91A9C-410C-4090-BBCC-55D3450EF433} (PUP.Optional.Searchqu.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. H:\System Volume Information\_restore{084A0C5B-1ABD-4706-AB81-A30C4E47CD9B}\RP565\A0204002.exe (PUP.Optional.Softonic) -> Erfolgreich gelöscht und in Quarantäne gestellt. H:\Dokumente und Einstellungen\kevin\Desktop\keymaker.exe (Riskware.Crk) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) und der Fund von Avira: Exportierte Ereignisse: 25.08.2013 01:03 [System-Scanner] Malware gefunden Die Datei 'H:\Dokumente und Einstellungen\kevin\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\11\77083e8b-19491f12 ' enthielt einen Virus oder unerwünschtes Programm 'EXP/CVE-2013-1493.A.Gen' [exploit]. Durchgeführte Aktion(en): Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '57619870.qua' verschoben! Nachdem dann die Suchläufe beide fertig waren habe ich natürlich alles gelöscht/in Quarantäne verschoben. Die unterstrichenen Wörter sind aber immernoch nicht weg. Ein Kumpel meinte ich soll mein Problem am besten auf diesem Forum hier schildern und ich habe mein besten gegeben das auch zu tun und bin natürlich über jede Hilfe dankbar. |
Baum-Darstellung