| |
| |||||||
Log-Analyse und Auswertung: websearch.toolksearch.info Virus vollständig vom Rechner entfernenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
23.01.2014, 11:59
| #1 |
| |  websearch.toolksearch.info Virus vollständig vom Rechner entfernen Hallo. Ich habe mir dummerweise  den websearch.toolksearch.info Virus beim Download einer freeware zugezogen. Daraufhin öffnete sich als neuer Tab im Firefox diese vermeintliche Suchmaschine. Mein Adblock, Ghostery und die Linkleiste sind komplett außer Kraft gesetzt. Werbung und krude Suchergebnisse sind die Folge. Ich benutze windows 8 und als Antiviren-Software avast premier. Nach der vollständigen Überprüfung und automatischer Reparatur blieben immernoch 21 befallende Dateien übrig. Beim Startzeit-Scan mußte ich 3 Dateien ignorieren, die nicht in das Archiv passten. Alles andere ist jetzt im Container. Würde ja gern die avast logfiles schicken. Kann Sie aber nicht finden. Nach dem Browser Cleanup funktionieren alle Browser wieder ganz normal. Vorher konnte ich Chrome nicht mal mehr starten. Trotzdem denke ich, dass der Spuk noch nicht vorbei ist. Was kann ich noch machen? defogger, frst und gmer - Ergebnisse unten. Nach defogger Scan gab es keine Ergebnisse. In den Logfiles von FRST ist in den Browsern immer noch websearch.toolksearch.info aufgelistet. Da diese aber über 500Zeilen lang sind, hier nur die betroffenen Zeilen, der Rest als .zip im Anhang. Code:
ATTFilter FireFox:
========
FF ProfilePath: C:\Users\Susanne\AppData\Roaming\Mozilla\Firefox\Profiles\n7q5ytvq.default
FF user.js: detected! => C:\Users\Susanne\AppData\Roaming\Mozilla\Firefox\Profiles\n7q5ytvq.default\user.js
FF SearchEngineOrder.1: WebSearch
FF SearchEngineOrder.user_pref("browser.search.order.1,S", "WebSearch");: user_pref("browser.search.order.1,S", "WebSearch");
FF Homepage: https://startpage.com/
FF Keyword.URL: hxxp://websearch.toolksearchbook.info/?pid=1574&r=2014/01/20&hid=17083675476069503747&lg=EN&cc=DE&unqvl=46&l=1&q=
FF NetworkProxy: "type", 0
Code:
ATTFilter Chrome:
=======
CHR RestoreOnStartup: "www.google.com"
CHR DefaultSearchKeyword: websearch
CHR DefaultSearchProvider: WebSearch
CHR DefaultSearchURL: hxxp://websearch.toolksearchbook.info/?l=1&q={searchTerms}&pid=1574&r=2014/01/20&hid=17083675476069503747&lg=EN&cc=DE&unqvl=46
CHR DefaultNewTabURL:
C:\Windows\system32\config\system: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. hier der zweite Teil des Scans - die ganze txt im Anhang: Code:
ATTFilter ---- Threads - GMER 2.1 ----
Thread C:\Windows\system32\csrss.exe [708:732] fffff960009635e8
Thread [4916:4956] 00000000770f50a7
---- Processes - GMER 2.1 ----
Library C:\Users\Susanne\AppData\Roaming\Dropbox\bin\DropboxExt64.22.dll (*** suspicious ***) @ C:\Windows\Explorer.EXE [2080] 000007f9f19f0000
Process C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16.4.4406.1205_x64__8wekyb3d8bbwe\LiveComm.exe (*** suspicious ***) @ C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16.4.4406.1205_x64__8wekyb3d8bbwe\LiveComm.exe [3136] (Commu(2013-01-31 22:26:40) 000007f76f210000
Library C:\Program Files\WindowsApps\Microsoft.VCLibs.110.00_11.0.51106.1_x64__8wekyb3d8bbwe\MSVCR110.dll (*** suspicious ***) @ C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16.4.4406.1205_x64__8wekyb3d8bbwe\LiveComm.exe [3136] (Microsoft® C Runtim(2013-01-31 19:26:47) 000007f9f0f60000
Library C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16.4.4406.1205_x64__8wekyb3d8bbwe\wllog.dll (*** suspicious ***) @ C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16.4.4406.1205_x64__8wekyb3d8bbwe\LiveComm.exe [3136] (Windows (2013-01-31 22:26:44) 000007f9f0e10000
Library C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16.4.4406.1205_x64__8wekyb3d8bbwe\Microsoft.WindowsLive.Platform.Service.dll (*** suspicious ***) @ C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16.4.4406.1205_x64__8wekyb3d8b(2013-01-31 22:26:40) 000007f9f0a90000
Library C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16.4.4406.1205_x64__8wekyb3d8bbwe\shared\bici.dll (*** suspicious ***) @ C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16.4.4406.1205_x64__8wekyb3d8bbwe\LiveComm.exe [3136] (Wi(2013-01-31 22:26:44) 000007f9f06b0000
Library C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16.4.4406.1205_x64__8wekyb3d8bbwe\Microsoft.WindowsLive.Platform.dll (*** suspicious ***) @ C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16.4.4406.1205_x64__8wekyb3d8bbwe\Live(2013-01-31 22:26:40) 000007f9f03b0000
Library C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16.4.4406.1205_x64__8wekyb3d8bbwe\ModernShared\ErrorReporting\ErrorReporting.dll (*** suspicious ***) @ C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16.4.4406.1205_x64__8wekyb(2013-01-31 22:26:43) 000007f9ef3b0000
Process C:\Users\Susanne\AppData\Local\Akamai\netsession_win.exe (*** suspicious ***) @ C:\Users\Susanne\AppData\Local\Akamai\netsession_win.exe [4792] 0000000000400000
Process C:\Users\Susanne\AppData\Local\Akamai\netsession_win.exe (*** suspicious ***) @ C:\Users\Susanne\AppData\Local\Akamai\netsession_win.exe [4804] 0000000000400000
Process C:\Users\Susanne\AppData\Roaming\Dropbox\bin\Dropbox.exe (*** suspicious ***) @ C:\Users\Susanne\AppData\Roaming\Dropbox\bin\Dropbox.exe [5052] 0000000000400000
Library C:\Users\Susanne\AppData\Roaming\Dropbox\bin\wxmsw28uh_vc.dll (*** suspicious ***) @ C:\Users\Susanne\AppData\Roaming\Dropbox\bin\Dropbox.exe [5052](2014-01-03 00:45:04) 0000000003ec0000
Library C:\Users\Susanne\AppData\Roaming\Dropbox\bin\libcef.dll (*** suspicious ***) @ C:\Users\Susanne\AppData\Roaming\Dropbox\bin\Dropbox.exe [5052](2013-10-18 23:55:02) 000000006c8d0000
Library C:\Users\Susanne\AppData\Roaming\Dropbox\bin\icudt.dll (*** suspicious ***) @ C:\Users\Susanne\AppData\Roaming\Dropbox\bin\Dropbox.exe [5052] 000000006b940000
Process C:\Users\Susanne\AppData\Local\Temp\Temp1_gmer_2.1.19355.zip\gmer.exe (*** suspicious ***) @ C:\Users\Susanne\AppData\Local\Temp\Temp1_gmer_2.1.19355.zip\gmer.exe [3364](2014-01-21 20:56:24) 0000000000400000
---- Disk sectors - GMER 2.1 ----
Disk \Device\Harddisk0\DR0 unknown MBR code
---- EOF - GMER 2.1 ----
 |
Baum-Darstellung