Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.
Windows 7: websearch.de Virus? ständig poppen neue Seiten im Browser auf
Liebes Trojaner-Board-Team!
Ich habe das Notebook eines Freundes zum "Viren-Bereinigen" erhalten und bin als Laie leider mit meinem Latein am Ende. Ständig poppen neue Seiten im Browser auf. Vor allem eine über WIndows 7 Update, Toolkit-Download usw...
Als Startseite im IE hatte sich websearch.de eingenistet, was sich nicht mehr rausnehmen ließ. Diese Seite wurde noch dazu monatelang genutzt, da man sich dieser Schadsoftware nicht bewusst war.. Eine Fireall/Antiviren-Software hatte man nicht!
Nach Installation und Suchlauf von Comodo Firewall, Malwarebyte, Spybot, Adwcleaner konnten einen Haufen infizierte Objekte beseitigt werden. Mit dabei war auch eine Exe-Datei, den Namen weiß ich nicht mehr, Spybot hat es gefunden und gelöscht (?). (EIne Logdatei, um diese hier einzufügen, finde ich außer unter Malwarebytes nicht...)
IE ist inzwischen deaktiviert, Firefox installiert. Hier allerdings seit heute das gleiche.. neue Seiten poppen auf...
Hoffe, ihr könnt helfen, das Notebook wieder clean zu bekommen und eine komplette Neuinstallation zu vermeiden..
Es folgen nun die ganzen Log-Dateien. Im voraus vielen herzlich Dank.
Windows 7: websearch.de Virus? ständig poppen neue Seiten im Browser auf
Mein Name ist Sandra und ich werde Dir bei Deinem Problem behilflich sein.
Bitte arbeite alle Schritte der Reihe nach ab.
Lese die Anleitungen sorgfältig durch bevor Du beginnst. Wenn es Probleme gibt oder Du etwas nicht verstehst, dann stoppe mit Deiner Ausführung und beschreibe mir das Problem
Führe bitte nur Scans durch zu denen Du von mir aufgefordert wirst.
Bitte kein Crossposting ( posten in mehreren Foren).
Installiere oder deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert.
Poste die Logfiles direkt in deinen Thread in Code-Tags.
Bedenke, dass wir hier alle während unserer Freizeit tätig sind, wenn du innerhalb von 2 Tagen nichts von mir hörst, dann schreibe mir bitte eine PM.
Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der schnellere und bei einem Befall durch Malware immer der sicherste Weg. Adware lässt sich in den allermeisten Fällen problemlos entfernen.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis Dir jemand vom Team sagt, dass Du clean bist.
Posten in Code Tags
Bitte füge die Logs immer in Code-Tags ein. Wenn Du das nicht machst, erschwert es mir sehr das Auswerten. Danke.
Dazu:
Klicke über dem Antwortfenster auf die Raute #, dann steht dort in eckigen Klammern [] CODE /CODE.
Zwischen den beiden code-Bausteinen fügst Du dann deine Logfiles ein. Also CODE Logfile /CODE
Wenn die Logs zu lang sein sollten, dann teile sie bitte auf und poste sie dann hier in Deinem Thread, notfalls in mehreren Antworten.
Schritt 1
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit|FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
Starte jetzt FRST.
Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)
Dazu gehe auf:
den Windowsbutton in der Taskleiste --> Systemsteuerung --> Programme (Unterpunkt Programme deinstallieren) --> Programm auswählen --> entfernen
Falls du ein Programm nicht deinstallieren kannst, lade dir von hier den Revo-uninstaller herunter und deinstalliere es damit, wähle dabei den moderaten Modus.
Schritt 2
Downloade Dir bitte AdwCleaner auf deinen Desktop.
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).
Schritt 3 Scan mit Combofix
WARNUNG an die MITLESER: Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!
Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link
WICHTIG: Speichere Combofix auf deinem Desktop.
Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
Wenn Combofix fertig ist, wird es ein Logfile erstellen.
Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).
Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.
Schritt 4
Starte noch einmal FRST.
Setze den Haken bei addition.txt und drücke auf Scan.
Wenn der Scan abgeschlossen ist, werden zwei neue Logfiles FRST.txt und addition.txt erstellt und auf dem Desktop (oder in dem Verzeichnis in dem FRST liegt) gespeichert.
Poste den Inhalt dieser Logfiles bitte hier in deinen Thread.
nun habe ich ein Problem mit Combofix. Alle Programme geschlossen, auch die Firewall. Direkt beim Start kam Meldung:
Unable to create files:
c:\windows\erdnt\hiv-backup\erdnt.inf
Registry backup will continue, but no restore information bla bla bla.
habe auf ok geklickt, weiter... und stets kam bei allen Dateien eine Fehlermeldung. Habe dann den Run abgebrochen. WAr sicher ein Fehler? Wollte es nochmal neu versuchen, nun meldet das Programm, bei jeder Datei dass die Files nicht überschrieben/gelöscht (?) werden können...
Und nu? Hoffe, habe nun nichts am System zerstört...
Comodo findet nun auch 50 unbekannte Dateien... vermute die von Combofix umgeschriebenen? Hilfe...
Windows 7: websearch.de Virus? ständig poppen neue Seiten im Browser auf
Hallo Sandra
Comodo-Log ist nicht zu finden. Da gibt es zwar einen Link, um sich die Protokolle anzeigen zu lassen, aber der sich dann öffnende Pfad führt zu den eigenen Dokumenten. Da ist nix.. Und in der Datei von Comodo selbst finde ich diese Log-Datei nicht.
Bisher keine Popups mehr
Fixlist.txt:
Code:
ATTFilter
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 22-06-2014
Ran by Roland at 2014-06-26 17:45:12 Run:1
Running from C:\Users\Roland\Desktop
Boot Mode: Normal
==============================================
Content of fixlist:
*****************
SearchScopes: HKLM-x32 - DefaultScope value is missing.
R1 {b99c8534-7800-48fa-bd71-519a46cdc7e1}Gw64; C:\Windows\System32\drivers\{b99c8534-7800-48fa-bd71-519a46cdc7e1}Gw64.sys [61120 2014-04-24] (StdLib)
C:\Windows\System32\drivers\{b99c8534-7800-48fa-bd71-519a46cdc7e1}Gw64.sys
*****************
HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => Value was restored successfully.
{b99c8534-7800-48fa-bd71-519a46cdc7e1}Gw64 => Service stopped successfully.
{b99c8534-7800-48fa-bd71-519a46cdc7e1}Gw64 => Service deleted successfully.
C:\Windows\System32\drivers\{b99c8534-7800-48fa-bd71-519a46cdc7e1}Gw64.sys => Moved successfully.
==== End of Fixlog ====
So, nun zum Chrome-Browser:
Ich wusste gar nicht, dass dieser hier benutzt wird bzw. installiert ist. Es wurde stets mit dem Internet Explorer gearbeitet, den ich als erste Maßnahme, nachdem ich websearch nach einem Virenscan aus der Startseite und als Suchmaschine löschen konnte, deaktiviert habe.
Anschließend Firefox installiert. Lief 1 Tag gut, dann poppten auch hier die ganzen Fenster wieder auf und ich habe mich bei euch gemeldet Von websearch ist allerdings nichts zu sehen.
Jedenfalls habe ich Chrome nun gefunden, aber da scheint zumindest augenscheinlich alles i. O. zu sein. Startseite neuer Tab, Suchmaschinen Google, Bing und Yahoo... merkwürdig.
ähm, und noch was:
seit meinem Scheitern mit Combofix traue ich mich nicht mehr, das Notebook runterzufahren aus Sorge, er fährt nicht mehr hoch
Meinst du, ich könnte damit was an Windows zerstört haben?
Installiere das Programm in den vorgegebenen Pfad.
Starte Malwarebytes' Anti-Malware (MBAM).
Sollte die Benutzeroberfläche noch in Englisch sein, klicke auf Settings und wähle bei LanguageDeutsch aus.
Klicke im Anschluss auf Suchlauf, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf jetzt starten.
Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Aktionen anwenden.
Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
Wähle das neueste Suchlauf-Protokoll aus und klicke auf Ansicht. Wähle Exportieren auf Textdatei (.txt) und speichere die Datei als mbam.txt auf dem Desktop ab.
Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.
Schritt 3
Da der Scan mit Eset sehr gründlich ist, kann er unter Umständen mehrere Stunden dauern
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset
Schritt 4
Starte noch einmal FRST.
Setze den Haken bei addition.txt und drücke auf Scan.
Wenn der Scan abgeschlossen ist, werden zwei neue Logfiles FRST.txt und addition.txt erstellt und auf dem Desktop (oder in dem Verzeichnis in dem FRST liegt) gespeichert.
Poste den Inhalt dieser Logfiles bitte hier in deinen Thread.
Windows 7: websearch.de Virus? ständig poppen neue Seiten im Browser auf
Ok, Notebook neu gestartet, funktioniert sogar noch
Google chrome werde ich deinstallieren, wird ja nicht genutzt.
Comodo hat zwischenzeitlich 2 Viren erkannt, ließ ich säubern:
C:\ProgramData\Kodak\EasyShareSetup\QUICK\procheck.exe
C:\Users\Roland\AppData\LocalMicrosoft\Windows\Temporary Internet Files\Low\Content.IE5\18HQ01KF\Player Setup[1].exe
Befinden sich nun in Quarantäne.
Ansonsten habe ich noch nichts weiter unternommen. Deine Vorschläge arbeite ich Sonntag ab und melde mich dann wieder.
Schönes Wochenende,
Lolle
Wenn man es eilig hat...
In ProgramData steckt: Troj.Ware.Win32.TrojanDownloader.Swizzor.Gen@87251472
In Users: Application.Win32.DomalQ.URT@314491919
Windows 7: websearch.de Virus? ständig poppen neue Seiten im Browser auf
Hallo Lolle
Zitat:
Hallo Sandra,
hoffe hattest ein schönes Wochenende. Heute spielt schon wieder Deutschland
Ja, war sehr spannend, abgesehen von der ersten Halbzeit... und ich bin froh, dass wir Manuel Neuer haben
Schritt 1
Bitte deinstalliere folgende Programme (falls vorhanden) : Iminent
PrivDog
Dazu gehe auf:
den Windowsbutton in der Taskleiste --> Systemsteuerung --> Programme (Unterpunkt Programme deinstallieren) --> Programm auswählen --> entfernen
Falls du ein Programm nicht deinstallieren kannst, lade dir von hier den Revo-uninstaller herunter und deinstalliere es damit, wähle dabei den moderaten Modus.
Schritt 2
Lösche bitte den Inhalt deines Papierkorbs
Schritt 3
Datenträgerbereinigung
Gehe auf das Windowsstartsymbol
Gebe im Suchfeld Datenträgerrereinigung ein
Setze den Haken zusätzlich bei Temporäre Dateien
Bestätige mit OK
Bestätige dass du die Dateien unwiderruflich löschen möchtest
OK
So wie ich es sehe, haben wir damit alles Schadhafte entfernt. Deine Logs sind sauber.
Abschließend räumen wir noch etwas auf, führen Updates durch und dann bekommst du noch etwas Lesestoff von mir.
Schritt 1
Falls Du Malwarebytes-Antimalware und den ESET-Onlinescan nicht mehr benötigst, kannst Du beide Programme einfach über die Programmdeinstallation deinstallieren.
Ich empfehle Dir aber zumindest Malwarebytes zu behalten, und damit einmal die Woche einen Kontrollscan zu machen.
Schritt 2
Bitte vor der folgenden Aktion wieder temporärAntivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.
Windows-Taste + R drücke. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK.
Code:
ATTFilter
Combofix /Uninstall
Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden.
Nun die eben deaktivierten Programme wieder aktivieren.
Schritt 3
Downloade dir bitte delfix auf deinen Desktop.
Schließe alle offenen Programme.
Starte die delfix.exe mit einem Doppelklick.
Setze vor jede Funktion ein Häkchen.
Klicke auf Start.
DelFix entfernt u. a. alle verwendeten Programme und löscht sich abschließend selbst.
Falls nach Delfix noch Programme aus unserer Bereinigung vorhanden sein sollten, kannst du diese nun bedenkenlos löschen.
Updates / Programme aktualisieren
FlashPlayer
Dein FlashPlayer für den InternetExplorer (ActiveX) ist nicht mehr aktuell.
Falls sich dort etwas anderes als der FlashPlayer noch zusätzlich mitinstallieren möchte, entferne den Haken dort
Aktualisierung einstellen
Stelle sicher, dass dein FlashPlayer nach Updates sucht. Den FlashPlayer kann man direkt bei der Installation so konfigurieren, dass er nach Updates automatisch sucht, nachträglich kann man das über folgenden Link machen: Adobe - Flash Player: Einstellungsmanager - Globale Benachrichtigungseinstellungen
Adobe Reader
Dein Adobe Reader ist veraltet.
Deinstalliere Deinen Reader und lade Dir die neueste Version von hier herunter. Schaue, ob sich noch etwas mit installieren möchte und entferne den Haken gegebenenfalls.
Java
Dein Java ist nicht mehr aktuell.
Java ist eine große Sicherheitslücke auf deinem System, es werden immer wieder neue Schwachstellen entdeckt, die ausgenutzt werden um Rechner zu infizieren.
Sofern du Java nicht zwingend benötigst, solltest du es komplett deinstallieren.
Windows XP
Gehe auf:
Start --> Systemsteuerung --> Software --> Javaversionen auswählen --> entfernen Windows Vista
Gehe auf:
Start --> Systemsteuerung -- > Programme --> Programme deinstallieren --> Javaversionen suchen --> entfernen Windows 7
Dazu gehe auf:
den Windowsbutton in der Taskleiste --> Systemsteuerung --> Programme (Unterpunkt Programme deinstallieren) --> Javaversionen auswählen --> entfernen Windows 8
Dazu drücke auf:
Windowstaste und X
dann:
Programme und Funktionen -->Javaversionen auswählen --> entfernen
Falls du Java doch unbedingt benötigst, dann
Downloade dir bitte die neueste Java-Version von hier
Speichere die jxpiinstall.exe
Schließe alle laufenden Programme. Speziell deinen Browser.
Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 60 ) herunter laden.
Entferne den Haken bei "Installieren Sie die Ask-Toolbar ..." während der Installation.
Wenn die Installation beendet wurde
Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.
Nach dem Neustart
Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
Klicke auf Dateien löschen....
Gehe sicher das überall ein Haken gesetzt ist und klicke OK.
Klicke erneut OK.
und sorge dafür, dass Java automatisch updated.
Dazu:
öffne Java
klicke auf den Reiter Update
klicke auf: Benachrichtung ausgeben: Vor dem Download setze den Haken bei Automatisch nach Updates suchen
klicke auf Erweitert
ändere das Intervall mindestens auf wöchentlich
und schalte das Browser-Plugin aus. Hier findest du eine Anleitung dazu.
Nun zum Schluss noch ein paar Tipps zur Absicherung deines Systems.
Aktualität des Systems
Es ist extrem wichtig, dass sowohl dein System als auch die darauf installierte sicherheitsrelevante Software (Flash Player, PDF-Reader und besonders Java, sofern vorhanden) aktuell sind.
Bitte überprüfe, ob dein System Windows Updates automatisch herunter lädt
Windows Updates
Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
Gehe sicher das die automatischen Updates aktiviert sind.
Antivirensoftware
Gehe sicher immer eine Antiviren Software installiert zu haben und halte diese unbedingt aktuell.
Zusätzlicher Schutz
MalwareBytes Anti-Malware
Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On-Demand Scantool welches viele aktuelle Malware erkennt und auch entfernt.
Aktualisiere das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
Ein Tutorial zur Verwendung findest Du hier.
Alternative Browser
Andere Browser tendieren zu etwas mehr Sicherheit als der Internet Explorer, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.
Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
NoScript
Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
AdblockPlus
Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf einen Banner um diesen zu AdBlockPlus hinzuzufügen reicht und dieser wird nicht mehr geladen.
Es spart ausserdem Downloadkapazität.
Systemleistung
Lösche regelmäßig deine temporären Dateien. Ich empfehle hierzu die Datenträgerbereinigung von Windows. Windows Vista
Klicke unten links auf das Vistasymbol
Gehe auf Programme -> Zubehör -> Systemprogramme -> Datenträgerbereinigung
Wähle nun Dateien von allen Benutzern des Computers aus und bestätige mit OK
Setze den Haken bei den zu löschenden Dateien zusätzlich bei Temporäre Dateien
Bestätige mit OK
Bestätige dass du die Dateien unwiderruflich löschen möchtest
Windows 7
Gehe auf das Windowsstartsymbol
Gebe im Suchfeld Datenträgerrereinigung ein
Setze den Haken zusätzlich bei Temporäre Dateien
Bestätige mit OK
Windows 8
Rechtsklicke in die untere linke Ecke deines Bildschirms
Klicke auf Suchen
Klicke auf Einstellungen
Gebe im Suchfeld Datenträgerbereinigung ein
Klicke in den Einstellungen auf der linken Seite nun auf Speicherplatz durch Löschen nicht erforderlicher Dateien freigeben
Setze den Haken zusätzlich bei Temporäre Dateien
Bestätige mit OK
Bestätige dass du die Dateien unwiderruflich löschen möchtest
Halte dich fern von jeglichen Registry Cleanern.
Diese schaden deinem System mehr als dass sie es schneller machen.
Verhaltensregeln zum sichereren Surfen
Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe
Achte besonders bei der Installation von Programmen darauf, ob sich weitere Software mitinstallieren möchte, wähle wo immer es geht die benutzerdefinierte Installation und wähle alles ab, was nichts mit dem Programm zu tun hat, welches du dir installieren möchtest.
Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.
Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind.
Falls Du Lob oder Kritik abgeben möchtest, kannst Du das sehr gerne hier tun.
Wenn Du etwas für das Forum und unsere Arbeit spenden möchtest, so kannst Du das hier tun.
Zum Thema Windows 7: websearch.de Virus? ständig poppen neue Seiten im Browser auf - Liebes Trojaner-Board-Team!
Ich habe das Notebook eines Freundes zum "Viren-Bereinigen" erhalten und bin als Laie leider mit meinem Latein am Ende. Ständig poppen neue Seiten im Browser auf. Vor allem - Windows 7: websearch.de Virus? ständig poppen neue Seiten im Browser auf...
24.06.2014, 21:43
FRST 32-Bit | FRST 64-Bit
)
WARNUNG an die MITLESER: 
)
Linear-Darstellung
