Hallo,

ich hatte mir vor ca. einem Monat etwas auf meinem Computer eingefangen, woraufhin ich nach längerer Internetrecherche mehrere Programme heruntergeladen hatte, die meinen Computer bereinigt haben - scheinbar. In letzter Zeit sind mir aber wieder ein paar merkwürdige Dinge aufgefallen, die mich verunsichert haben, ob die Schadprogramme wirklich weg sind.

Ich fasse den Ablauf des Ganzen an dieser Stelle kurz zusammen:
Es ging los damit, dass ich in einem unbedachten Moment der Installationsanweisung von awesomehp gefolgt bin, die plötzlich in meinem Browser erschien. Daraufhin ging der Ärger mit lästigen Popups, beängstigenden Virenmeldungen in Werbebannern usw. los, was ich wohl nicht genauer zu erläutern brauchte. Zum Glück war ich diesen Meldungen gleich misstrauisch gegenüber und habe auch keine angeklickt. Über das Internet bin ich dann u.a. auch auf dieses Forum gestoßen, wo mehrere Benutzer ziemlich ähnliche Probleme schilderten. Daraufhin bin ich den Links gefolgt, die diesen Benutzern gepostet wurden. Gleiches habe ich auch noch bei anderen Foren so gemacht, sodass ich am Ende Malwarebytes, Adwcleaner JRT, SUPERAntiSpyware und Avast Browser Cleanup drauf hatte. (Hoffe, ich habe keines vergessen.) Ich habe dann so gut wie alle Programme durchlaufen lassen und fast jedes Programm hat was gefunden, auch, wenn ein Programm zuvor schon meinte, alles gefunden zu haben. Nach dieser langwierigen Arbeit schien das Problem dann gelöst, die Popups und alles weitere waren weg.

Jetzt sind mir aber in letzter Zeit einige merkwürdige Dinge aufgefallen:
1. Die lästigen Popups hatten alle in ihrem Link etwas mit rzvr-a.akamaihd.net zu tun. Über die Recherche habe ich auch herausgefunden, dass das eine Hauptursache der Probleme ist. Komischerweise wird jetzt manchmal, wenn auch nur vereinzelt, beim Laden von neuen Seiten in dem gelben Kästchen links unten, wo die geladenen Dateien angezeigt werden, auch das angezeigt. Manchmal, meistens nur ein, zwei Sekunden, sehe ich dort auch "Übertrage Daten von rzvr-a.akamaihd.net". Ich frage mich: Was soll das? Ist da immer noch was auf meinem Computer? Auch wenn ich es nicht durch lästige Popups merke?
2. Gestern habe ich aus diesem Grund nochmal in diesem Forum herumgestöbert. Dabei stieß ich auf einen Tipp, wo man sich ein Programm herunterladen kann, das einen vor gefährlichen Websites warnt (WOT). Das wollte ich auch tun, doch dann meldete beim Download Avira (ich habe nur die Free-Version) Alarm. Mit böser Vorahnung öffnete ich meinen Browser neu und erneut fand ich jede Menge Fenster vor, die mir völlig fremd waren. Ich reagierte schnell und ließ wieder ein paar Anti-Malware Programme durchlaufen, die auch wieder was fanden. Inzwischen vermute ich, dass ich in eine Falle getappt bin, nämlich, dass die Werbebanner zum Download von Schadsoftware auf der entsprechenden Website direkt über den Programmen stehen, die man eigentlich downloaden will, sodass man das Falsche anklickt (was ich wohl getan habe). Das ist jetzt zwar oberflächlich wieder weg, aber sicher bin ich mir nach diesen Ereignissen gar nicht mehr, ob mein Computer nicht immer noch infiziert ist. V.a. wie konnte es zu einer erneuten Infektion kommen, obwohl ich dachte, ich hätte diese lästigen Banner beseitigt?

Vorher fiel mir unter anderem auf, dass wieder in manchen Werbebannern "Download"-Links auftauchen, die bestimmt eine Falle sind. Außerdem fand ich, als ich auf dieser Seite hier war, wieder manche Banner mit "Windows-Fehlerscan" und Download von Anti-Spyware-Software vor, die mich ziemlich an die erinnerten, die ich mir damals schon eingefangen hatte. Komischerweise passiert das fast nur auf dieser Seite. Eine mögliche Erklärung wäre, dass diese Seite gerade auf diese Themen zugeschnitten ist und deshalb viel (vielleicht auch ganz harmlose) Werbung dazu kommt. Auffällig ist allerdings, dass einige dieser Banner in fehlerhaftem Deutsch stehen, was ja nicht gereade auf Seriösität hinweist.
Und schließlich ist auch noch eines komisch: Wenn ich in Google irgendwelche beliebige Suchanfragen starte, kommt unter den Ergebnissen auch oft eines, das etwas mit "Spyware entfernen" zu tun hat, obwohl meine Suchanfrage damit nicht das Geringste zu tun hatte. Diese Ergebnisse sind übrigens auffälligerweise alle mit "windowstechies.dom" verlinkt. Habe natürlich nichts davon angeklickt. Eine Recherche ergab, dass diese Seite wohl auch gefährlich ist.

Ja, und jetzt weiß ich nicht genau, wie ich an das Problem rangehen soll. Noch einen Alleingang will ich nicht wagen, wovon ja auch in Tipps für Neueinsteiger auf dieser Seite abgeraten wird (hätte ich das mal früher gelesen ). Und ich will auch keine Links zum Download von Bereinugungsprogrammen mehr anklicken, ohne dass mir davor jemand ausdrücklich dazu rät. Wie soll ich jetzt also vorgehen?
Ich benutze übrigens Win 7 Professional und als Browser Firefox, falls das wichtig ist zu wissen.

Ach so, und ich bin was Computer, Programme und was den ganzen anderen technischen Kram angeht totaler Laie, deswegen entschuldigt bitte meine evtl. unbeholfenen Formulierungen.

Hallo anonym1,

mein Name ist Jonas und ich werde dir bei deiner Bereinigung helfen. Diese kann mit viel Arbeit für dich verbunden sein. Bevor wir anfangen können, lies bitte die Bereinigungsregeln und Hinweise:

Regeln zum Ablauf der Bereinigung

• Arbeite die Anleitungen und Schritte sorgfältig und nacheinander ab.
• Wenn du etwas nicht verstehst oder du dir unsicher bist, frage nach und schildere das Problem, so gut es geht. Handle nicht auf eigene Faust.
  • Die Ausführung diverser Bereinigungsprogramme (mit Scripts aus anderen Threads) können dein Betriebssystem zerschießen!
• Die Bereinigung eines Rechners in verschiedenen Foren zur selben Zeit ist verboten (Crossposting).

• Installiere oder deinstalliere keine zusätzlichen Programme, lösche keine Dateien und führe nicht selbstständig Systemupdates durch.

• Die Symptome können verschwunden sein, jedoch bedeutet das Verschwinden von äußeren Merkmalen einer Infektion nicht, dass du wieder clean bist.
  • Ich werde dir ein eindeutiges Clean geben, solange arbeite bitte mit.

Hinweise

• Ich kann dir nie eine Garantie geben, dass alles entfernt wurde. Die Formatierung der Festplatte und das Neuinstallieren deines Betriebssystems ist immer sicherer und meistens schneller.

• Die von uns benutzten Programme erstellen meist ein Ergebnisprotokoll (Logfile genannt). Bitte füge alle von mir in einem Schritt geforderten Logfiles in einer Antwort/einem Post ein.
  • http://www.trojaner-board.de/137229-...code-tags.html; Falls das Logfile zu groß für einen Post ist, teile es in zwei/mehrere Posts.

Wenn du alles gelesen hast, kann es losgehen. Bitte speichere alle Programme auf dem Desktop und führe sie von dort aus.

Zitat:

Ich reagierte schnell und ließ wieder ein paar Anti-Malware Programme durchlaufen, die auch wieder was fanden.

Poste mir bitte die Logfiles von den Programmen, falls noch vorhanden. Wenn der Post zu groß werden sollte, bitte auf zwei Posts aufteilen.



Schritt 1
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Poste folgende Logfiles in deiner nächsten Antwort:

• FRST-Scan

Also, hier der Logfile von JRT:

Code: Alles auswählenAufklappen

ATTFilter

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 6.1.2 (02.20.2014:1)
OS: Windows 7 Professional x86
Ran by ******** on 05.03.2014 at 23:29:01,48
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values

Successfully repaired: [Registry Value] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\\Start Page
Successfully repaired: [Registry Value] HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\\Start Page
Successfully repaired: [Registry Value] HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\\Start Page
Successfully repaired: [Registry Value] HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\Main\\Start Page
Successfully repaired: [Registry Value] HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\Main\\Start Page
Successfully repaired: [Registry Value] HKEY_USERS\S-1-5-21-2617934896-1555523252-518225047-1000\Software\Microsoft\Internet Explorer\Main\\Start Page
Successfully repaired: [Registry Value] HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\\Start Page
Successfully repaired: [Registry Value] HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\\DisplayName
Successfully repaired: [Registry Value] HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\\URL
Successfully repaired: [Registry Value] HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\AboutURLs\\Tabs



~~~ Registry Keys

Successfully deleted: [Registry Key] HKEY_CLASSES_ROOT\AppID\esrv.exe
Successfully deleted: [Registry Key] HKEY_CLASSES_ROOT\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3}
Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\dsiteproducts
Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\installcore
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\installcore
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Classes\esrv.mysearchdialesrvc
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Classes\esrv.mysearchdialesrvc.1



~~~ Files



~~~ Folders



~~~ FireFox

Successfully deleted: [File] C:\Users\********\AppData\Roaming\mozilla\firefox\profiles\1umbule3.default\user.js
Successfully deleted: [File] C:\Users\********\AppData\Roaming\mozilla\firefox\profiles\1umbule3.default\searchplugins\mysearchdial.xml
Successfully deleted the following from C:\Users\********\AppData\Roaming\mozilla\firefox\profiles\1umbule3.default\prefs.js

user_pref("extensions.mysearchdial.AL", 2);
user_pref("extensions.mysearchdial.aflt", "dsites");
user_pref("extensions.mysearchdial.appId", "{CA5CAA63-B27C-4963-9BEC-CB16A36D56F8}");
user_pref("extensions.mysearchdial.cd", "2XzuyEtN2Y1L1Qzu0CzztD0A0AzyyD0FtD0B0F0DtAtB0E0BtN0D0Tzu0SyBzyyDtN1L2XzutBtFtCyBtFtDtFtCtN1L1CzutDtBtCtC1V1StN1L1G1B1V1N2Y1L1Qzu2SyD0D
user_pref("extensions.mysearchdial.cr", "245495788");
user_pref("extensions.mysearchdial.dfltLng", "");
user_pref("extensions.mysearchdial.dfltSrch", true);
user_pref("extensions.mysearchdial.dnsErr", true);
user_pref("extensions.mysearchdial.excTlbr", false);
user_pref("extensions.mysearchdial.hmpg", true);
user_pref("extensions.mysearchdial.hmpgUrl", "hxxp://start.mysearchdial.com/?f=1&a=dsites&cd=2XzuyEtN2Y1L1Qzu0CzztD0A0AzyyD0FtD0B0F0DtAtB0E0BtN0D0Tzu0SyBzyyDtN1L2XzutBtFtCyBtF
user_pref("extensions.mysearchdial.id", "C80AA95F0BFD32EB");
user_pref("extensions.mysearchdial.instlDay", "16134");
user_pref("extensions.mysearchdial.instlRef", "0211_b");
user_pref("extensions.mysearchdial.newTabUrl", "hxxp://start.mysearchdial.com/?f=2&a=dsites&cd=2XzuyEtN2Y1L1Qzu0CzztD0A0AzyyD0FtD0B0F0DtAtB0E0BtN0D0Tzu0SyBzyyDtN1L2XzutBtFtCyB
user_pref("extensions.mysearchdial.prdct", "mysearchdial");
user_pref("extensions.mysearchdial.prtnrId", "mysearchdial");
user_pref("extensions.mysearchdial.srchPrvdr", "Mysearchdial");
user_pref("extensions.mysearchdial.tlbrId", "base");
user_pref("extensions.mysearchdial.tlbrSrchUrl", "hxxp://start.mysearchdial.com/?f=3&a=dsites&cd=2XzuyEtN2Y1L1Qzu0CzztD0A0AzyyD0FtD0B0F0DtAtB0E0BtN0D0Tzu0SyBzyyDtN1L2XzutBtFtC
user_pref("extensions.mysearchdial.vrsn", "1.8.29.0");
user_pref("extensions.mysearchdial.vrsni", "1.8.29.0");
user_pref("extensions.mysearchdial_i.hmpg", true);
user_pref("extensions.mysearchdial_i.newTab", false);
user_pref("extensions.mysearchdial_i.smplGrp", "none");
user_pref("extensions.mysearchdial_i.vrsnTs", "1.8.29.023:10:54");
Emptied folder: C:\Users\********\AppData\Roaming\mozilla\firefox\profiles\1umbule3.default\minidumps [19 files]



~~~ Event Viewer Logs were cleared





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 05.03.2014 at 23:33:54,04
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
         

Habe meinen Computer-Benutzernamen durch Sternchen ersetzt (möchte anonym bleiben), hoffe, das passt trotzdem so.

Ich habe dann noch einen Scan (Complete Scan) mit SUPERAntiSpyware durchlaufen lassen, da finde ich allerdings kein Logfile dazu. Ich weiß allerdings noch, dass im ersten Schritt bei der Suche nach schadhaften Programmen welche gefunden wurden, die ich gelöscht habe, und dann beim eigentlichen Scan nichts mehr gefunden wurde.

Bin gerade beim Installieren von Farbar's Recovery Scan Tool und werde vor Start der Installation noch gefragt:

To have an authorized and updated copy of the tool please make sure you download the tool from the following link:

hxxp://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/

Geht das in Ordnung? Diesen Link kann ich nämlich nirgends entdecken...

EDIT: Ich meine im Link eigentlich H T T P, aber irgendwie werden die t's immer zu x. Kein Plan, warum...

Zitat:

To have an authorized and updated copy of the tool please make sure you download the tool from the following link:

hxxp://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/

Geht das in Ordnung? Diesen Link kann ich nämlich nirgends entdecken...

Jop, du kannst das Tool auch von folgender Seite herunterladen: Farbar Recovery Scan Tool Download.

Zitat:

EDIT: Ich meine im Link eigentlich H T T P, aber irgendwie werden die t's immer zu x. Kein Plan, warum...

Das ist so gewollt, keine Sorge .

Frage zu FRST.txt und Addition.txt: Der Scan hat geklappt, die Texte habe ich, sind auch bereit zum Posten, aber an ganz vielen Stellen findet sich mein Name und auch Namen von persönlichen Dateien von mir. Das will ich eigentlich nicht öffentlich posten. Es ist so viel, dass ich Ewigkeiten brauchen würde, dies alles durch Sternchen zu ersetzen. Gibt's da eine schnellere Möglichkeit?

P.S.: Muss jetzt gleich weg, melde mich so bald wie möglich wieder (spätestens morgen).

Zitat:

Frage zu FRST.txt und Addition.txt: Der Scan hat geklappt, die Texte habe ich, sind auch bereit zum Posten, aber an ganz vielen Stellen findet sich mein Name und auch Namen von persönlichen Dateien von mir. Das will ich eigentlich nicht öffentlich posten. Es ist so viel, dass ich Ewigkeiten brauchen würde, dies alles durch Sternchen zu ersetzen. Gibt's da eine schnellere Möglichkeit?

Jop, gibt es. Öffne dafür nochmal die Logfiles und drücke dann Strg + H. Es sollte sich ein Fenster öffnen, wo du einen Suchbegriff und eine Zeichenkette zum ersetzen eingeben kannst. Gib bei "Suche nach" zum Beispiel deinen Namen ein und bei "Ersetzen durch": *****. Drücke danach auf "Alle Ersetzen". Nun werden automatisch alle Wörter, die gleich dem Suchwort sind, durch die Zeichenkette ***** ersetzt. Den Vorgang kannst du natürlich mit beliebig vielen Wörtern/Wortgruppen wiederholen .