Hallo zusammen,
heute habe ich ausversehen von vlc.de und nicht von der Herstellerseite den videolanclienten runtergeladen und installiert. Nachdem ich bemerkt hatte, daß er mir die Startseite (-> www.startfenster.de) und die Standardsuchmaschine (-> www.sm.de) im Firefox verbogen hat, habe ich den adwcleaner durchgeführt und anschließend einen Scan mit dem Bitdefender im "Rettungsmodus" (Scan in einer Linuxumgebung) durchgeführt. Der Bitdefender hat nichts feststellen können.

Und wie es nunmal so ist, kommt man erst anschließend auf die Idee, im Internet zu forschen, was man sich so eingefangen hat.

Meine Frage ist jetzt:
Habe ich nach derzeitigem Kenntnisstand mir bei diesem Vorgang irgendetwas Böses eingefangen oder hat mir die Aktion nur die beschriebenen Symptome

-Startseite: www.startfenster.de
-Standardsuchmaschine: www.sm.de

verpasst.

Viele Grüße
Ralf

Mein Name ist Jürgen und ich werde Dir bei Deinem Problem behilflich sein. Zusammen schaffen wir das...

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig durch bevor Du beginnst. Wenn es Probleme gibt oder Du etwas nicht verstehst, dann stoppe mit Deiner Ausführung und beschreibe mir das Problem.
• Führe bitte nur Scans durch, zu denen Du von mir aufgefordert wurdest.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software, außer Du wurdest dazu aufgefordert.
• Speichere alle unsere Tools auf dem Desktop ab.
• Poste die Logfiles direkt in Deinen Thread in Code-Tags.
• Bedenke, dass wir hier alle während unserer Freizeit tätig sind, wenn du innerhalb von 24 Stunden nichts von mir liest, dann schreibe mir bitte eine PM.

Hinweis:
Ich kann Dir niemals eine Garantie geben, dass wir alle schädlichen Dateien finden werden.
Eine Formatierung ist meist der schnellere und immer der sicherste Weg, aber auch nur bei wirklicher Malware empfehlenswert.
Adware & Co. können wir sehr gut entfernen.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis Du mein clean bekommst.

Los geht's:

Schritt 1


Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Lesestoff
Posten in CODE-Tags: So gehts...
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert uns massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu groß für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

• Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
• Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
• Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
• Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

Hallo, da die Log-Files zu lang sind, füge ich sie als rar-Dateien an. Leider habe ich frst von meinem Downloadverzeichnis ausgeführt und nicht vom Desktop. Ich hoffe, das ist kein Problem

Ein Hinweis noch, den Videolanclienten von VLC.de habe ich wieder deinstalliert.

Grüße
Ralf

Hi,
schon OK.

Schritt 1

Bitte deinstalliere folgende Programme:

Adobe Flash Player Packages


Versuche es bei Windows 7 zunächst über Systemsteuerung/Programme deinstallieren.

Sollte das nicht gehen, lade Dir bitte Revo Uninstallerhier herunter. Entpacke die zip-Datei auf den Desktop.

• Starte die Revouninstaller.exe
• Klicke auf Optionen und wähle als Sprache Deutsch.
• Suche im Uninstallerfeld nach den oben angegebenen Programmen und wähle sie einzeln aus.
  Klicke jedesmal auf Uninstall.
• Wähle anschließend den Modus "Moderat" aus.
  
• Reste löschen:
  Klicke auf dann auf und dann auf .

Solltest Du ein Programm nicht finden oder nicht deinstallieren können, mache bitte mit dem nächsten Schritt weiter:

Schritt 2
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 3
Scan mit Malwarebytes Antimalware
Unter Erkennung und Schutz setze bitte einen Haken bei "Suche nach Rootkits".
Klicke im Anschluss auf "Suchlauf", wähle den Bedrohungssuchlauf aus, aktualisiere die Datenbanken und klicke auf "Suchlauf jetzt starten".
Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. (geht so...)
Poste mir den Inhalt der Logdatei. Klicke dazu auf Verlauf und dann auf Anwendungsprotokolle.
Wähle das neueste Suchlauf-Protokoll aus und klicke auf Ansicht. Klicke auf "In Zwischenablage kopieren" poste mir den Inhalt in Code-Tags als Antwort in den Thread.

Schritt 4
Scan im ESET-Online-Scanner
Bitte einen Scan mit folgender Konfiguration:

Code: Alles auswählenAufklappen

ATTFilter

# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
         

Schritt 5



Bitte starte FRST erneut, markiere auch die checkbox und drücke auf Scan.
Bitte poste mir den Inhalt der beiden Logs die erstellt werden.

Moin Jürgen,

erst einmal vielen Dank für die schnelle Reaktion.

Das "Adobe Flash Player Packages" habe ich über die normale WIN7-Deinstallation deinstallieren können.

Die Antivirusfunktion meines Bitdefenders habe ich während der Scans zwar deaktiviert, aber ESET meldete das Program immer noch als aktiv.

Hier meine Logfiles:

ADWCleaner:

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v3.213 - Bericht erstellt am 28/06/2014 um 19:29:43
# Aktualisiert 23/06/2014 von Xplode
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits)
# Benutzername : Papa - PAPA-PC
# Gestartet von : C:\Users\Papa\Desktop\adwcleaner_3.213.exe
# Option : Löschen

***** [ Dienste ] *****


***** [ Dateien / Ordner ] *****


***** [ Verknüpfungen ] *****


***** [ Registrierungsdatenbank ] *****


***** [ Browser ] *****

-\\ Internet Explorer v11.0.9600.17126


-\\ Mozilla Firefox v30.0 (de)

[ Datei : C:\Users\Papa\AppData\Roaming\Mozilla\Firefox\Profiles\9f47f9rw.Bank\prefs.js ]


[ Datei : C:\Users\Papa\AppData\Roaming\Mozilla\Firefox\Profiles\v6s9xt2r.default\prefs.js ]


-\\ Google Chrome v35.0.1916.153

[ Datei : C:\Users\Papa\AppData\Local\Google\Chrome\User Data\Default\preferences ]


*************************

AdwCleaner[R0].txt - [3242 octets] - [09/06/2014 09:30:04]
AdwCleaner[R1].txt - [1633 octets] - [28/06/2014 16:32:05]
AdwCleaner[R2].txt - [1272 octets] - [28/06/2014 16:37:57]
AdwCleaner[R3].txt - [1387 octets] - [28/06/2014 19:29:26]
AdwCleaner[S0].txt - [2915 octets] - [09/06/2014 09:31:13]
AdwCleaner[S1].txt - [1628 octets] - [28/06/2014 16:35:48]
AdwCleaner[S2].txt - [1333 octets] - [28/06/2014 16:38:34]
AdwCleaner[S3].txt - [1308 octets] - [28/06/2014 19:29:43]

########## EOF - C:\AdwCleaner\AdwCleaner[S3].txt - [1368 octets] ##########
         

Wie gestern schon erwähnt, hatte ich den Scan schon einmal durchgeführt, bevor ich mich an Euch gewendet hatte.


Malewarebytes:

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware 
www.malwarebytes.org

Suchlauf Datum: 28.06.2014
Suchlauf-Zeit: 20:01:13
Logdatei: 
Administrator: Ja

Version: 2.00.2.1012
Malware Datenbank: v2014.06.28.04
Rootkit Datenbank: v2014.06.23.02
Lizenz: Kostenlos
Malware Schutz: Deaktiviert
Bösartiger Webseiten Schutz: Deaktiviert
Self-protection: Deaktiviert

Betriebssystem: Windows 7 Service Pack 1
CPU: x64
Dateisystem: NTFS
Benutzer: Papa

Suchlauf-Art: Bedrohungs-Suchlauf
Ergebnis: Abgeschlossen
Durchsuchte Objekte: 294350
Verstrichene Zeit: 2 Min, 54 Sek

Speicher: Aktiviert
Autostart: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Aktiviert
Heuristics: Aktiviert
PUP: Aktiviert
PUM: Aktiviert

Prozesse: 0
(No malicious items detected)

Module: 0
(No malicious items detected)

Registrierungsschlüssel: 2
PUP.Optional.MySearchDial.A, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472F-A0FF-E1416B8B2E3A}, In Quarantäne, [11d98cef186374c29ddc07a5cd359b65], 
PUP.Optional.MySearchDial.A, HKU\S-1-5-21-2670931316-1550114603-1781723430-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472F-A0FF-E1416B8B2E3A}, In Quarantäne, [9951c3b81e5dbe7862186f3dab57a759], 

Registrierungswerte: 2
PUP.Optional.MySearchDial.A, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472F-A0FF-E1416B8B2E3A}, Mysearchdial, In Quarantäne, [11d98cef186374c29ddc07a5cd359b65]
PUP.Optional.MySearchDial.A, HKU\S-1-5-21-2670931316-1550114603-1781723430-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472F-A0FF-E1416B8B2E3A}, Mysearchdial, In Quarantäne, [9951c3b81e5dbe7862186f3dab57a759]

Registrierungsdaten: 0
(No malicious items detected)

Ordner: 0
(No malicious items detected)

Dateien: 0
(No malicious items detected)

Physische Sektoren: 0
(No malicious items detected)


(end)
         

Das ESET-Protokoll

Code: Alles auswählenAufklappen

ATTFilter

C:\AdwCleaner\Quarantine\C\Program Files (x86)\BrowseMark\updater.exe.vir	Variante von Win32/BrowseFox.L evtl. unerwünschte Anwendung
C:\AdwCleaner\Quarantine\C\Users\Papa\AppData\Local\Temp\OCS\ocs_v71b.exe.vir	Variante von Win32/DownloadSponsor.A evtl. unerwünschte Anwendung
C:\AdwCleaner\Quarantine\C\Users\Papa\AppData\Roaming\1H1Q\Adobe Flash Player Packages\uninstaller.exe.vir	Win32/InstallCore.AZ evtl. unerwünschte Anwendung
C:\FSiPanel.com\SetupFSiPanel.exe	Variante von Win32/Packed.Themida evtl. unerwünschte Anwendung
D:\Program Files (x86)\BrowseMark\updater.exe	Variante von Win32/BrowseFox.L evtl. unerwünschte Anwendung
D:\Users\Papa\AppData\Local\Temp\is1597349865\664556_stp.EXE	Variante von Win32/DealPly.M evtl. unerwünschte Anwendung
D:\Users\Papa\AppData\Local\Temp\is1597349865\664769_stp\bm_setup02.exe	Variante von Win32/BrowseFox.L evtl. unerwünschte Anwendung
D:\Users\Papa\AppData\Local\Temp\is1597349865\664845_stp\OptimizerPro.exe	Win32/SpeedingUpMyPC.I Anwendung
D:\Users\Papa\AppData\Local\Temp\is1597349865\664886_stp\uninstaller.exe	Win32/InstallCore.AZ evtl. unerwünschte Anwendung
D:\Users\Papa\AppData\Roaming\1H1Q\Adobe Flash Player Packages\uninstaller.exe	Win32/InstallCore.AZ evtl. unerwünschte Anwendung
E:\$RECYCLE.BIN\S-1-5-21-1574516110-2509127543-3515839663-1000\$R7G6V70.exe	Variante von Win32/DownloadSponsor.A evtl. unerwünschte Anwendung
E:\$RECYCLE.BIN\S-1-5-21-2670931316-1550114603-1781723430-1000\$RDBVNYC.exe	NSIS/StartPage.CC Trojaner
E:\Eigene Sachen\Downloads\Kuendigung_talkline - CHIP-Installer(1).exe	Variante von Win32/DownloadSponsor.A evtl. unerwünschte Anwendung
E:\Eigene Sachen\Downloads\Kuendigung_talkline - CHIP-Installer.exe	Variante von Win32/DownloadSponsor.A evtl. unerwünschte Anwendung
E:\Eigene Sachen\Downloads\vlc-2.1.4-win64.exe	NSIS/StartPage.CC Trojaner
F:\Program Files (x86)\FSiPanel\FSiPanel\FSiPanelFSX.dll	Variante von Win32/Packed.Themida evtl. unerwünschte Anwendung
         

Die Logfiles von FRST füge ich wegen der Länge wieder als RAR-Files bei.

Viele Grüße
Ralf

Hallo Ralf,
gute Arbeit soweit. Zwei kleine Bitten an Dich:

1. Bitte poste das Log von ESET vollständig. Wo Du es findest zeigt Dir diese Anleitung.

2. Die FRST-Logs sind nicht aktuell. Bitte führe Schritt 5 erneut aus. Teile Die Logs auf mehrere Posts auf, wenn sie zu lange sind. Hänge sie aber bitte nicht mehr an.

Danke