Hallo liebe Community,
bevor ich mein Problem schildere möchte ich einmal meinen Respekt ausschenken für die Arbeit, die ihr leistet! Habe mich etwas im Forum umgesehen und bin echt erstaunt.
Nun zu meinem Problem: Seit heute morgen werde ich sowohl von Chrome als auch von Mozilla Firefox ständig automatisch auf andere Seiten umgeleitet, die vor allem Werbung für unseriöse Seiten enthalten.
Seitdem habe ich folgende Schritte unternommen:
1. Meine gesamten Chroniken, Caches etc. gelöscht
2. Meine Add-Ons gecheckt, nichts gefunden.
3. Avira Free Antivirus Scandurchlauf gestartet, der hat ebenfalls nichts entdeckt.
4. Popupblocker installiert. Auch wenn es eigentlich keine Popups sind, sondern die besuchte Website einfach umgeleitet wird, dachte ich es wäre einen versuch wert, da die Seiten stark an Popups erinnern. Seitdem wird meistens nach der Umleitung ein Fehler angezeigt. Ich vermute mal, dass der Popupblocker die Seite einfach sperrt, was mir jedoch nicht besonders weiterhilft...
5. PandaCloud Antivir heruntergeladen und PC gescannt. Der hat sogar zwei Trojaner gefunden und entfernt, hier der Bericht (ich habe die Cookiebenachrichtigungen mal rausgenommen):
Zitat:
Ereignis Datum/Zeit Status Weitere Details
Scan 02.12.2013 15:33 Beendet Scanvorgang läuft: Gesamten Arbeitsplatz
Synchronisierung 02.12.2013 15:22 Synchronisiert Ihr Schutz wurde über die Cloud synchronisiert, um Sie vor den neuesten Bedrohungen zu schützen.
Adware erkannt Adware/WebCake 02.12.2013 15:17 Gelöscht Speicherort: C:\ProgramData\Tarma Installer\{361E80BE-388B-4270-BF54-A10C2B756504}\Setup.exe
Trojaner erkannt Trj/Deldir.A 02.12.2013 15:05 Gelöscht Speicherort: C:\Windows\system32\OEM\CLEANUP_MLP.CMD
Trojaner erkannt Trj/Deldir.A 02.12.2013 15:05 Gelöscht Speicherort: C:\Windows\system32\OEM\CLEANUP.CMD
Scan 02.12.2013 15:04 Gestartet Scanvorgang läuft: Gesamten Arbeitsplatz
|
Jedoch blieb das Problem weiterhin bestehen...
6. Spybot Search & Destroy heruntergeladen, Scan gestartet. Der hat folgendes ausgespuckt (womit ich leider nichts anfangen konnte :/):
Zitat:
Search results from Spybot - Search & Destroy
02.12.2013 16:18:36
Scan took 00:22:07.
36 items found.
WebCake.BHO: [SBI $3F53FBE0] Class ID (Registry Key, nothing done)
HKEY_CLASSES_ROOT\CLSID\{FB684D26-01F4-4D9D-87CB-F486BEBA56DC}
WebCake.BHO: [SBI $5B966508] Settings (Registry Key, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\WebCakeUpdaterService
WebCake.BHO: [SBI $5B966508] Settings (Registry Key, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\WebCakeUpdaterService
WebCake.BHO: [SBI $B5928459] Settings (Registry Key, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Eventlog\Application\WebCakeUpdaterService
WebCake.BHO: [SBI $B5928459] Settings (Registry Key, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Eventlog\Application\WebCakeUpdaterService
WebCake.BHO: [SBI $2698E3E6] Program directory (Directory, nothing done)
C:\ProgramData\Tarma Installer\{361E80BE-388B-4270-BF54-A10C2B756504}\
Directory.subfile=C:\ProgramData\Tarma Installer\{361E80BE-388B-4270-BF54-A10C2B756504}\Setup.dat
Directory.subfile.size=56364
Directory.subfile.md5=5BF46292168DD59F3CF1E661B4DDC7F9
Directory.subfile.filedate=1374000401
Directory.subfile.filedatetext=2013-07-16 19:46:41
Directory.subfile=C:\ProgramData\Tarma Installer\{361E80BE-388B-4270-BF54-A10C2B756504}\Setup.ico
Directory.subfile.size=4846
Directory.subfile.md5=60E3EF9326E8C3F574A2C7B5A31FD895
Directory.subfile.filedate=1258611124
Directory.subfile.filedatetext=2009-11-19 07:12:03
Directory.subfile=C:\ProgramData\Tarma Installer\{361E80BE-388B-4270-BF54-A10C2B756504}\_Setup.dll
Directory.subfile.size=531968
Directory.subfile.md5=E1416C9C40FD81557795D4195FB48E8D
Directory.subfile.filedate=1368563125
Directory.subfile.filedatetext=2013-05-14 21:25:25
Directory.subfile=C:\ProgramData\Tarma Installer\{361E80BE-388B-4270-BF54-A10C2B756504}\_Setupx.dll
Directory.subfile.size=273408
Directory.subfile.md5=4C05D85B6C1E2E9AEF5784F0A43B5C3A
Directory.subfile.filedate=1368563125
Directory.subfile.filedatetext=2013-05-14 21:25:24
WebCake.BHO: [SBI $885FF297] Library (File, nothing done)
C:\ProgramData\Tarma Installer\{361E80BE-388B-4270-BF54-A10C2B756504}\_Setup.dll
Properties.size=531968
Properties.md5=E1416C9C40FD81557795D4195FB48E8D
Properties.filedate=1368563125
Properties.filedatetext=2013-05-14 21:25:25
WebCake.BHO: [SBI $0A5B161A] Library (File, nothing done)
C:\ProgramData\Tarma Installer\{361E80BE-388B-4270-BF54-A10C2B756504}\_Setupx.dll
Properties.size=273408
Properties.md5=4C05D85B6C1E2E9AEF5784F0A43B5C3A
Properties.filedate=1368563125
Properties.filedatetext=2013-05-14 21:25:24
WebCake.BHO: [SBI $1107F102] Data (File, nothing done)
C:\ProgramData\Tarma Installer\{361E80BE-388B-4270-BF54-A10C2B756504}\Setup.dat
Properties.size=56364
Properties.md5=5BF46292168DD59F3CF1E661B4DDC7F9
Properties.filedate=1374000401
Properties.filedatetext=2013-07-16 19:46:41
WebCake.BHO: [SBI $370B837B] Picture (File, nothing done)
C:\ProgramData\Tarma Installer\{361E80BE-388B-4270-BF54-A10C2B756504}\Setup.ico
Properties.size=4846
Properties.md5=60E3EF9326E8C3F574A2C7B5A31FD895
Properties.filedate=1258611124
Properties.filedatetext=2009-11-19 07:12:03
iCrossRider: [SBI $5AF10FA5] Settings (Registry Key, nothing done)
HKEY_USERS\S-1-5-21-3199510047-1611388233-1899664583-1001\Software\AppDataLow\Software\Crossrider
Macromedia.FlashPlayer.Cookies: [SBI $5555F3D7] Text file (File, nothing done)
C:\Users\Turkelton\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\828QGZYE\cdn1.static.pornhub.phncdn.com\flash\player2013.swf\ph_opts.sol
Properties.size=0
Properties.md5=D41D8CD98F00B204E9800998ECF8427E
Internet Explorer: [SBI $1E8157BE] Typed URL list (Registry Key, nothing done)
HKEY_USERS\S-1-5-21-3199510047-1611388233-1899664583-1001\Software\Microsoft\Internet Explorer\TypedURLs
Internet Explorer: [SBI $0BC7B918] User agent (Registry Change, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent
Internet Explorer: [SBI $0BC7B918] User agent (Registry Change, nothing done)
HKEY_USERS\S-1-5-21-3199510047-1611388233-1899664583-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent
Internet Explorer: [SBI $0BC7B918] User agent (Registry Change, nothing done)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent
MS Management Console: [SBI $ECD50EAD] Recent command list (Registry Key, nothing done)
HKEY_USERS\S-1-5-21-3199510047-1611388233-1899664583-1001\Software\Microsoft\Microsoft Management Console\Recent File List
MS Media Player: [SBI $5C51E349] Client ID (Registry Change, nothing done)
HKEY_USERS\S-1-5-21-3199510047-1611388233-1899664583-1001\Software\Microsoft\MediaPlayer\Player\Settings\Client ID
MS Direct3D: [SBI $C2A44980] Most recent application (Registry Change, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Direct3D\MostRecentApplication\Name
MS Direct3D: [SBI $C2A44980] Most recent application (Registry Change, nothing done)
HKEY_USERS\S-1-5-21-3199510047-1611388233-1899664583-1001\Software\Microsoft\Direct3D\MostRecentApplication\Name
MS Direct3D: [SBI $C2A44980] Most recent application (Registry Change, nothing done)
HKEY_USERS\S-1-5-18\Software\Microsoft\Direct3D\MostRecentApplication\Name
MS DirectDraw: [SBI $EB49D5AF] Most recent application (Registry Change, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication\Name
MS DirectInput: [SBI $9A063C91] Most recent application (Registry Change, nothing done)
HKEY_USERS\S-1-5-21-3199510047-1611388233-1899664583-1001\Software\Microsoft\DirectInput\MostRecentApplication\Name
MS DirectInput: [SBI $7B184199] Most recent application ID (Registry Change, nothing done)
HKEY_USERS\S-1-5-21-3199510047-1611388233-1899664583-1001\Software\Microsoft\DirectInput\MostRecentApplication\Id
Windows.OpenWith: [SBI $A1C94E79] Open with list - .BMP extension (Registry Key, nothing done)
HKEY_USERS\S-1-5-21-3199510047-1611388233-1899664583-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.BMP\OpenWithList
Windows.OpenWith: [SBI $F1129B32] Open with list - .CPL extension (Registry Key, nothing done)
HKEY_USERS\S-1-5-21-3199510047-1611388233-1899664583-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.CPL\OpenWithList
Windows Explorer: [SBI $7308A845] Run history (Registry Key, nothing done)
HKEY_USERS\S-1-5-21-3199510047-1611388233-1899664583-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
Windows Explorer: [SBI $AA0766B5] Stream history (Registry Key, nothing done)
HKEY_USERS\S-1-5-21-3199510047-1611388233-1899664583-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\StreamMRU
Windows Explorer: [SBI $D20DA0AD] Recent file global history (Registry Key, nothing done)
HKEY_USERS\S-1-5-21-3199510047-1611388233-1899664583-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
Windows Media SDK: [SBI $37AAEDE6] Computer name (Registry Change, nothing done)
HKEY_USERS\S-1-5-21-3199510047-1611388233-1899664583-1001\Software\Microsoft\Windows Media\WMSDK\General\ComputerName
Windows Media SDK: [SBI $CAA58B6E] Unique ID (Registry Change, nothing done)
HKEY_USERS\S-1-5-21-3199510047-1611388233-1899664583-1001\Software\Microsoft\Windows Media\WMSDK\General\UniqueID
Windows Media SDK: [SBI $BACCD0DA] Volume serial number (Registry Value, nothing done)
HKEY_USERS\S-1-5-21-3199510047-1611388233-1899664583-1001\Software\Microsoft\Windows Media\WMSDK\General\VolumeSerialNumber
|
7. Ich habe dieses Forum entdeckt und einen Beitrag über ein Ähnliches Problem gelesen. Da in den Forumshinweisen jedoch darauf hingewiesen wird, nichts auf eigene Faust zu unternehmen, habe ich die Schritte zunächst nicht unternommen, auf die dort verwiesen wurde...
8. Malwarebytes installiert und Scan gestartet. Folgender Bericht kam heraus:
Zitat:
Malwarebytes Anti-Malware (Test) 1.75.0.1300
www.malwarebytes.org
Datenbank Version: v2013.12.02.06
Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 11.0.9600.16428
Turkelton :: TURKSULTRAACER [Administrator]
Schutz: Aktiviert
02.12.2013 17:00:53
mbam-log-2013-12-02 (17-00-53).txt
Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 211078
Laufzeit: 2 Minute(n), 52 Sekunde(n)
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{AF6B0594-6008-4327-93E5-608AD710A6FA} (PUP.Optional.WebCake.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\CHROME.EXE (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt.
Infizierte Registrierungswerte: 1
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe|Debugger (Security.Hijack) -> Daten: "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe" -> Erfolgreich gelöscht und in Quarantäne gestellt.
Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateien: 2
C:\Users\Turkelton\Downloads\Setup (1).exe (PUP.Optional.DomaIQ) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Turkelton\Downloads\Setup.exe (PUP.Optional.DomaIQ) -> Erfolgreich gelöscht und in Quarantäne gestellt.
(Ende)
|
Ich hoffe mein Beitrag ist nicht zu lang... Falls das der Fall ist, tut es mir leid, bin ja schließlich neu hier und habe gelesen, dass ich alle Berichte reinschreiben soll, die ich habe.
Ich bedanke mich schon einmal ganz lieb für die Hilfe!
02.12.2013, 17:56
Baum-Darstellung