|
123Rede.com und anderer Befall Hallo Helfer und Leser, ich habe mich heute hier registriert, weil ich nun nicht mehr alleine weiterkomme. Ich habe vor 2 - 3 Tagen Demontools heruntergeladen und installiert und mir dabei unerwünschten Anhang eingefangen. Die auftretenden Probleme sind, beim Öffnen des Chrome Browsers wird nun immer 123Rede.com als Startseite ausgefhrt, das habe ich Browser abgeändert, aber es ist beim nächsten Öffnen wieder da. Daraufhin habe ich mit mehreren Programmen unter anderem leider auch mit Spyhunter 4 versucht das Problem in Griff zu bekommen. Habe dann später hier im Forum gestöbert und einige Programme installiert, wie hier gesehen auf dem Desktop, hat aber auch keine Verbesserung gebracht, habe FRST64 installiert (Desktop) und Logs erstellt, aber noch kein Fix oder ähnliches gemacht, muss ich das noch tun? Bitte um Hilfe hier die Logs: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 11-03-2015und hier der Addition Code: Additional scan result of Farbar Recovery Scan Tool (x64) Version: 11-03-2015Stefan Jetzt ist es leider auch noch im falschen Unterforum gelandet, wenn es möglich ist bitte verschieben Stefan |
Hallo und :hallo: Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner, sind die mal fündig geworden? Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520 Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs in CODE-Tags posten! Relevant sind nur Logs der letzten 7 Tage bzw. seitdem das Problem besteht!  Lesestoff:Posten in CODE-Tags Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit. Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
|
Hallo Cosinus, erstmal danke für die schnelle Antwort, ja die Log´s habe ich rausgesucht und hänge ich nun mit rein Code: Malwarebytes Anti-MalwareCode: Malwarebytes Anti-MalwareCode: Emsisoft Emergency Kit - Version 9.0Bei diesem hier, habe ich den Tiefenscan gemacht, der hat aber ewig gedauert, also habe ich ihn in meiner Abwesenheit weiterlaufen lassen, als ich wieder an den Rechner kam, hatte ich einen schwarzen Bildschirm mit 2 Zeilen zum, denke booten zur Auswahl, es hat aber keine von beiden funtioniert und es blieb nur der Neustart, weiß nicht mehr ob mit Netzstecker ziehen und Batterie raus oder mit Tastenkombination, meine aber eher Netzstecker. Code: Emsisoft Emergency Kit - Version 9.0 |
Adware/Junkware/Toolbars entfernen Alte Versionen von adwCleaner und falls vorhanden JRT vorher löschen, danach neu runterladen auf den Desktop! Virenscanner jetzt vor dem Einsatz dieser Tools bitte komplett deaktivieren! 1. Schritt: adwCleaner Downloade Dir bitte  AdwCleaner auf deinen Desktop.
2. Schritt: JRT - Junkware Removal Tool Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
3. Schritt: Frisches Log mit FRST Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop:  FRST 32-Bit | FRST 64-Bit(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
|
Hallo Cosinus, hier die Berichte, weiß nicht ob es wichtig ist, aber nach Ausschalten des Virenscanners Emnisoft fand ich nichts zum ausschalten, konnte ich die Programme erst nicht ausführen, es kam die Meldung System geschützt von Smartscreen, habe dann auf Details geklickt und konnte die Programme dann ausführen. Beim Adcleaner kam nicht das Feld mit den Nutzerbedingungen akzeptieren, sondern es wurde gleich ausgeführt. Code: # AdwCleaner v4.200 - Bericht erstellt 30/03/2015 um 18:42:11Code: # AdwCleaner v4.200 - Bericht erstellt 30/03/2015 um 18:40:38Code: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~FRST Logfile: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 11-03-2015--- --- --- Code: Additional scan result of Farbar Recovery Scan Tool (x64) Version: 11-03-2015 |
FRST-Fix Virenscanner jetzt bitte komplett deaktivieren, damit sichergestellt ist, dass der Fix sauber durchläuft! Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code: ShellIconOverlayIdentifiers: [ExplorerEx] -> {E056AFDD-03E9-4D73-8D33-8FCCBCA73438} => No FileSpeichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
|
Code: Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 11-03-2015 |
Okay, dann Kontrollscans mit MBAM und ESET bitte: Downloade Dir bitte  Malwarebytes Anti-Malware
ESET Online Scanner
|
So beide sind durch die Logs Code: Malwarebytes Anti-MalwareCode: ESETSmartInstaller@High as downloader log: |
Nichts mehr von chip.de downloaden!!! => CHIP-Installer - was ist das? - Anleitungen FRST-Fix Virenscanner jetzt bitte komplett deaktivieren, damit sichergestellt ist, dass der Fix sauber durchläuft! Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code: C:\ProgramData\HRrcgJmMdmSpeichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
|
Die sind für mich gestorben, machen im Inet eigentlich einen sauberen Auftritt, aber scheinen Verbrecher zu sein!! Code: Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 11-03-2015 |
Du hast die Fixlist nicht richtig abkopiert, Doppelpunkt nach "EmptyTemp" unterschlagen. Daher nochmal: FRST-Fix Virenscanner jetzt bitte komplett deaktivieren, damit sichergestellt ist, dass der Fix sauber durchläuft! Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code: EmptyTemp:Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
|
Ja sorry hatte manuell markiert, hier die Fixlog Code: Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 11-03-2015 |
Sieht soweit ok aus :daumenhoc Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) empfehle ich die Erweiterung Ghostery, diese verhindert weitgehend Usertracking bzw. das Anzeigen von Werbebannern. Info: Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie ) Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird. Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme? |
Hallo Cosinus, erst mal danke für Deine Hilfe, habe immer noch wenn ich den Browser aufmache diesen 123rede.com als startseite, kann ich den jetzt manuell entfernen? Ist es auch in Ordnung wenn ich avast laufen habe, das der Windowsdefender ausgeschalten ist und sich auch nicht aktiviren läßt? Ich wechsle jetzt auf jeden Fall zu Firefox und logge mich nicht mehr als Admin ein. Stefan |
Erstell dir mal ein neues Profil und teste: Firefox => http://support.mozilla.com/de/kb/Profile%20verwalten Chrome => https://support.google.com/chrome/answer/3296214?hl=de |
Wenn du Avast hast kann der Defender deaktiviert bleiben. |
Hallo Cosinus, habe in Chrome die Einstellungen zurückgesetzt, es erscheint aber weiterhin 123rede.com als Startseite, scheint sich noch irgendwo festgebissen zu haben. Habe daraufhin Firefox installiert ohne die Daten vom Chrome zu übernehmen da scheint alles normal zu laufen. @Kronos60 danke für den Hinweis, was ich aber wissen wollte war ob ich den Defender normal aktivieren kann oder nicht, denn ich kann ihn im Moment nicht aktivieren und wollte wissen ob das von einem Virus oder sonstwas blockiert wird. Stefan |
Dann hau Google Chrome komplett weg. Ist leider nichts Ungewöhnliches, dass sich heutige Junkware tief in die Google Chrome Installation eingräbt. Da hilft dann nur komplettes Löschen und neu installieren von Google Chrome. Ich weiß nicht ob das Teil einfach nur schiete konzipiert ist oder ob sich die Junkwareautoren auf Google Chrome konzentrieren. Im Firefox reicht meistens nämlich einfach nur ein neues Profil, während man den Chrome sehr oft komplett neu installieren muss. Aber das ist nur mein Eindruck gerade. |
Ok mach ich Cosinus. Magst Du mir die Frage noch beantworten, ob es normal ist, dass ich den Windows Defender nicht aktivieren kann? Das ist mir beim Stillegen von Avast aufgefallen, denn wenn ich Avast wieder starten ließ sah ich auch Defender aktivieren, was aber nicht ging, Button grau hinterlegt und nicht anklickbar, liegt das daran weil dann Avast schon wieder aktiviert war und beide nicht zusammen laufen können oder hängt mir da noch ein anderes Problem im System? Stefan |
Genauer Fehlermeldung beim Defender lautet wie? |
Es gibt keine Fehlermeldung, da ist nur das Feld mit "aktivieren" welches sich im Gegensatz zu dem von Avast nicht anklicken läßt. |
Dann zeig mal frische FRST Logs. Haken setzen bei addition.txt dann auf Scan klicken http://saved.im/mtg0mjy4yjlu/2014-04...ryscantool.png |
Ok hier die Logs FRST Logfile: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 11-03-2015--- --- --- Code: Additional scan result of Farbar Recovery Scan Tool (x64) Version: 11-03-2015 |
FRST-Fix Virenscanner jetzt bitte komplett deaktivieren, damit sichergestellt ist, dass der Fix sauber durchläuft! Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code: HKU\S-1-5-21-1783457748-3978523255-3235760858-1001\...\RunOnce: [Application Restart #4] => C:\Users\Stefan\AppData\Local\Pokki\Engine\HostAppService.exe [7848776 2015-03-19] (Pokki)Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
|
Ok durch hier das Log Code: Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 11-03-2015 |
Hm, Windows Defender geht bestimmt nicht oder? Wenn nicht, dann lags nicht an den GPOs, die von Junkware gern verbogen wird. |
Ich bin noch auf Arbeit ich teste es dann wenn ich wiederkomme. "C:\ProgramData\DP45977C.lfl" => File could not move. ^^ ist das nicht bedenklich? Hallo Cosinus, also Defender kriege ich nicht an, habe aber gestern beim googeln geslesen, dass das am Avast liegen soll. Stefan |
Dann schmeiß Avast einfach mal komplett runter. Wer weiß, was es so verbogen hat... |
Hallo Cosinus, scheint tatsächlich am Avast zu liegen, ween es komplett deinstalliert ist geht auch der Defender wieder. Stefan |
Dann passt jetzt wieder alles? |
Hallo Cosinus, zumindest kann ich jetzt keine weiteren Störungen mehr feststellen. Stefan |
Dann wären wir durch! :daumenhoc Falls du noch Lob oder Kritik loswerden möchtest => Lob, Kritik und Wünsche - Trojaner-Board Die Programme, die hier zum Einsatz kamen, können alle deinstalliert werden. Es empfiehlt sich Malwarebytes Anti-Malware zu behalten und damit wöchentlich nach Malware zu scannen. Helfen kann dir dabei delfix: Die Reihenfolge ist hier entscheidend.
Bitte abschließend noch die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP:Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Start, Systemsteuerung, Windows-Update PDF-Reader aktualisieren Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast) Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers: Prüfen => Adobe - Flash Player Downloadlinks findest du hier => Browsers and Plugins - FilePony.de Alle Plugins im Firefox-Browser kannst du auch ganz einfach hier auf Aktualität prüfen => https://www.mozilla.org/de/plugincheck Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind. Java-Update Veraltete Java-Installationen sind ein großes Sicherheitsrisiko, daher solltest Du die alten Versionen deinstallieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software (bzw. Programme und Funktionen) und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
Hallo Cosinus, nochmal meinen besten Dank, werde Euer Board und Dich auf jeden Fall weiterempfehlen. Stefan |
Hallo Cosinus, ich hoffe Du hast noch Zeit für mich, ich glaube wir sind doch noch nicht durch. Habe seit dem letzten Problem nichts mehr installiert außer dem Browser Firefox, den ich nun benutze. Heute habe ich dann eine Fehlermeldung vom Firefox bekommen, denke es war ein Container konnte nicht geöffnet werden. Daraufhin habe ich den FF neu gestartet und hatte die Seite Top8844.com als Startseite und auch beim Öffnen von Tabs, habe dann Malwarebytes aktualisiert und durchlaufen lassen (Bedrohungsscan) nichts gefunden. Anschließend Eset, der hat vier Dateien in Quarantäne verschoben (Bericht im Anhang). Code: C:\Users\Stefan\AppData\Roaming\RunDir\hr.exe Variante von Win32/StartPage.ALA Trojaner Gesäubert durch Löschen - in Quarantäne kopiertCode: defogger_disable by jpshortstuff (23.02.10.1)FRST Logfile: FRST Logfile: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 26-04-2015--- --- --- --- --- --- Code: Additional scan result of Farbar Recovery Scan Tool (x64) Version: 26-04-2015ich habe noch ein wenig gegoogelt und hier was gefunden was vielleicht zutreffen könnte, da ich mich auch in Brasilien aufhalte und mein Internet über den Provider NET habe, ich hoffe ich darf den Link hier posten https://forum.avast.com/index.php?topic=169707.0 Danke im Voraus Stefan |
Dann hast du dir schon wieder Adware installiert... Adware/Junkware/Toolbars entfernen Alte Versionen von adwCleaner und falls vorhanden JRT vorher löschen, danach neu runterladen auf den Desktop! Virenscanner jetzt vor dem Einsatz dieser Tools bitte komplett deaktivieren! 1. Schritt: adwCleaner Downloade Dir bitte AdwCleaner auf deinen Desktop.
2. Schritt: JRT - Junkware Removal Tool Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
3. Schritt: Frisches Log mit FRST Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
|
Code: # AdwCleaner v4.202 - Bericht erstellt 29/04/2015 um 20:03:59Code: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 26-04-2015 |
Konnte nicht editieren weil der Beitrag zu lang wurde. Da ich den FRST Scan schon gemacht hatte, hat er mir keinen AddScan gemacht, habe daraufhin nochmal gemacht, hier im Anhang. Ich kann mir nicht vorstellen was falsches installiert zu haben, den nach unserer letzten Zusammenarbeit habe ich nur den Firefox installiert und über Avast die veralteten Programme aktualisiert. Hast du Dir mal den Link angesehen den ich Dir geschickt habe, da geht es um das gleiche Problem mit dem 123Rede, was mit einem gekaperten DNS Server vom Provider NET in Brasilien zusammenhängt, den ich auch benutze. Stefan FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 26-04-2015Code: Additional scan result of Farbar Recovery Scan Tool (x64) Version: 26-04-2015 |
Hm...da ist mir vorher was nicht aufgefallen: Zitat:
Wenn die Datei schon ausgewertet sein sollte, bitte eine weitere Auswertung starten. |
Ich hoffe das ist richtig so mit dem Ergebnislink, habe sonst nichts gefunden um einen Link zu erstellen. https://www.virustotal.com/de/file/e58e1203dcf23abe890d1663f5420abbec533d185457631eccbc92d0f0815bf3/analysis/1430366820/ Stefan |
FRST-Fix Virenscanner jetzt bitte komplett deaktivieren, damit sichergestellt ist, dass der Fix sauber durchläuft! Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code: C:\Users\Stefan\AppData\Roaming\NetServiceSpeichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
|
Hallo Cosinus, habe die Fixlist erstellt und Virenscanner ausgeschalten, FRST gestartet hat sich dann aber aufgehängt, habe daraufhin FRST als Admin gestartet und lief durch hier die Fixlog. Leider kommt immernoch die TOP8844.com als Startseite. Code: Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 26-04-2015 |
Erstell dir mal ein neues Profil und teste: Firefox => http://support.mozilla.com/de/kb/Profile%20verwalten Chrome => https://support.google.com/chrome/answer/3296214?hl=de |
Hallo Cosinus, nein auch im neuen Profil kommt wieder top8844.com und das ganze Internet ist extrem langsam. Stefan |
Das kann doch echt nicht sein. :balla: Dann zeig mal frische FRST Logs. Haken setzen bei addition.txt dann auf Scan klicken http://saved.im/mtg0mjy4yjlu/2014-04...ryscantool.png |
Hallo Cosinus, die zwei Scans, scheint was echt hartnäckiges zu sein, hast Du schon mal den Link angeschaut den ich gepostet habe, speziell die zweite Seite? https://forum.avast.com/index.php?topic=169707.0 Stefan FRST Logfile: FRST Logfile: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 26-04-2015--- --- --- --- --- --- Code: Additional scan result of Farbar Recovery Scan Tool (x64) Version: 26-04-2015 |
Zitat:
|
Hallo Cosinus, ich habe keinen brasilianischen Server eingetragen, wüßte gar nicht wo das geht. Ich denke das hängt mit dem gekaperten DNS Server von Net zusammen, da steht auch was von einem Flash Player Update das einen dann wieder zu diesem Server bringt, hast Du den Link mal angesehen. Stefan |
worst case net raus -> FPU drinne? :dankeschoen: Kann nicht dein ernst sein, daß das ein Befall ist, oder? |
@leopay frag mich mal was leichteres, ich habe keine Ahnung ich weiß nur das in allen Browsern eine Startseite kommt die ich weder haben noch ändern kann, die einschlägigen Programme nichts finden und nach einiger Zeit sind wieder Viren und Trojaner drauf, ich treibe mich nun schon fast 30 Jahre im Netz rum und hatte noch nie einen Befall erst seit dem Download von Chip ist mein Rechner verseucht. Stefan |
@ stefan1090 Solltest schön langsam über eine Neuinstallation nachdenken. |
Wollt ihr euch nicht mal aus dem Thread raushalten oder so? :rolleyes: |
@ keckrem War ja nur ein Vorschlag.;):D |
Zitat:
http://www.redtools.info/shop/images.../wsrt90042.jpg |
Zitat:
Du störst hier massiv die Arbeit der Helfer:headbang: |
Zitat:
FRST-Fix Virenscanner jetzt bitte komplett deaktivieren, damit sichergestellt ist, dass der Fix sauber durchläuft! Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.top8844.com?oem=smtov3&uid=W381H54X_ST1000LM014-SSHD-8GB&tm=1430088885Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
|
Hallo Cosinus, die Fixlog. Die schlechte Nachricht der Top8844.com ist immer noch da. Code: Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 26-04-2015 |
Erstell dir mal ein neues Profil und teste: Firefox => http://support.mozilla.com/de/kb/Profile%20verwalten Chrome => https://support.google.com/chrome/answer/3296214?hl=de |
Hallo Cosinus, auch bei neuem Profil wieder Top8844.com Stefan |
Adware/Junkware/Toolbars entfernen 1. Schritt: Malwarebytes Downloade Dir bitte Malwarebytes Anti-Malware
(alte Versionen von adwCleaner und falls vorhanden JRT vorher löschen, danach neu runterladen auf den Desktop!) 2. Schritt: adwCleaner Downloade Dir bitte AdwCleaner auf deinen Desktop.
3. Schritt: JRT - Junkware Removal Tool Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
4. Schritt: Frisches Log mit FRST Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
|
Hallo Cosinus, die Protokolle, vielleicht noch eine Anmerkung, kannst du mal schauen ob mit dem Adobe Flashplayer alles in Ordnung ist, gestern habe ich Facebbook kurz benutzt kam die Meldung das der Adobe nicht mehr funktioniert FF hat eine Meldung mit Container gebracht, die eingebetteen Videos wurden aber dennoch gespielt. Stefan Code: Malwarebytes Anti-MalwareCode: # AdwCleaner v4.203 - Bericht erstellt 06/05/2015 um 16:11:46Code: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~FRST Logfile: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 06-05-2015--- --- --- Code: Additional scan result of Farbar Recovery Scan Tool (x64) Version: 06-05-2015 |
FRST-Fix Virenscanner jetzt bitte komplett deaktivieren, damit sichergestellt ist, dass der Fix sauber durchläuft! Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code: FF NewTab: www.top8844.com?oem=smtov3&uid=W381H54X_ST1000LM014-SSHD-8GB&tm=1430088885Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
|
Hallo Cosinus, hier die Fixlog Code: Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 06-05-2015 01 |
Dann zeig mal frische FRST Logs. Haken setzen bei addition.txt dann auf Scan klicken http://saved.im/mtg0mjy4yjlu/2014-04...ryscantool.png |
Hier die Scans FRST Logfile: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 06-05-2015 01--- --- --- Code: Additional scan result of Farbar Recovery Scan Tool (x64) Version: 06-05-2015 01 |
Das wird so nix. :balla: 1. DNS Server wieder auf Auto stellen http://thewindowsclub.thewindowsclub...gs-600x480.png 2. Firefox komplett deinstallieren. Keine Daten behalten. Falls vorhanden, Installationsverzeichnis danach manuell noch löschen. Anschließend Firefox-Setup neu laden und installieren => ftp://ftp.mozilla.org/pub/firefox/re...p%2037.0.2.exe |
Hallo Cosinus, DNS Server steht und stand auf Auto. Wie soll ich den FF deinstallieren und neu installieren wenn ich danach keinen Browser mehr habe, denn der IE ist ja auch verseucht mit 123Rede.com. Erst den FF runterladen, dann deinstallieren und aus dem Downloadverzeichnis neu installieren? Stefan PS: Danke für deine Geduld |
Zitat:
|
Stell mal zumindest vorübergehend den DNS auf manuell. Ich nehm immer gerne OpenDNS, trag mal das ein: DNS #1: 208.67.220.220 DNS #2: 208.67.222.222 |
Hallo Cosinus, habe jetzt folgendes gemacht: -Als erstes habe ich den IE 11 in den Features desaktiviert, damit der FF nichts von da holt -Dann habe ich den FF deinstalliert und nach weiteren FF Dateien gesucht aber nichts gefunden -Habe neu installiert und die Top8844.con kam wieder - Daraufhin wieder deinstalliert und mit CCleaner den Arbeitsspeicher geleert -Wieder installiert es kommt jetzt die Google Startseite, meine Links und Profile sind alle weiterhin vorhanden -Als letztes habe ich die zwei von Dir genannten DNS Adressen nur bei IPv4 eingetragen Stefan PS: gerade einen neuen TAB aufgemacht im FF Top8844.com ist wieder da |
Neue FRST-Logs bitte... |
Hallo Cosinus, die gewünschten Logfiles FRST Logfile: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 09-05-2015--- --- --- Code: Additional scan result of Farbar Recovery Scan Tool (x64) Version: 09-05-2015 |
Ich seh da nur noch im Firefox diesen TOP8844 Eintrag. Wenn der nach dem folgenden Fix und anschließendem Reboot noch da sein sollte, musst du nochmal Firefox komplett deinstallieren, neu installieren und ein neues Profil erstellen. FRST-Fix Virenscanner jetzt bitte komplett deaktivieren, damit sichergestellt ist, dass der Fix sauber durchläuft! Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code: FF NewTab: www.top8844.com?oem=smtov3&uid=W381H54X_ST1000LM014-SSHD-8GB&tm=1430088885Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
|
Hallo Cosinus, hier die Fixlog, leider kommt der Top8844.com immernoch, gib mir mal bitte eine Anleitung wie ich die Profile lösche und ein neues erstelle. Hast Du auch gesehen das der DCP Server wieder da ist. Im IPv4 stehen aber noch die von Dir gegebenen. Stefan |
Ich hab keine Ahnung was du mit "DCP Server ist wieder da" meinst... :wtf: Anleitung zum Firefox: Firefox deinstallieren über Systemsteuerung (wichtige Lesezeichen etc. vorher sichern), dann das Verzeichnis C:\Program Files (x86)\Mozilla Firefox\ falls noch vorhanden manuell löschen und anschließend Firefox über das aktuelle offizielle (Win32-)Setup erneut installieren. |
Was ich damit meine ist in der Auswertung von FRST steht wieder dieser Server eingetragen, allerdings nicht in der Maske von IPv4. Das habe ich soweit gemacht nur das Verzeichnis C:\Program Files (x86)\Mozilla Firefox\ existiert nicht mehr, aber nach dem Installieren von FF findet er meine alten Profile wieder, wo sind die gespeichert und ist es nicht besser diese zu löschen? Stefan |
Hm, ich dachte der Firefox bietet eine Optione an, keine Daten zu behalten wenn man deinstalliert. Und ja, natürlich solltest du deine bisherigen Profile wegschmeißen, deswegen ja auch der Hinweis, wichtige Lesezeichen vorher zu sichern. Und ich hab immer noch keine Ahnung was du mit diesem Server meinst. Kopier doch einfach mal das was du meinst bzw. die Zeile aus dem FRST Log heraus... |
Hallo Cosinus, steht in der Additional Code: ==================== Other Areas ============================Stefan |
Wenn du alles vom Profil gesichert hast oder sich nichts zu sichern lohnt einfach diesen Ordner löschen => C:\Users\Stefan\AppData\Roaming\Mozilla Zitat:
|
Hallo Cosinus, den anderen DNS Server habe ich berichtigt, Firefox deinstalliert die Datei Mozilla gelöscht, danach den Speicher geleert und den FF neu installiert, nichts von IE übernommen und FF als Standardbrowser genommen (war das falsch), dann hat er denn FF aufgemacht mit den Mozilla Startseiten. Habe FF geschlossen und neu aufgerufen und rate mal wer wieder da war Top8844.com :killpc: :killpc: Nochwas ist mir eingefallen bzw. aufgefallen als ich nach der Neuinstallation den FF öffnete kam die Abfrage ob ich "das" nichts sichtbar mit FF ausführen möchte oder eine App suchen möchte, habe hier den FF bestätigt ist das ein normaler Vorgang oder könnte das unser Problem sein? |
Du bist dir sicher, dass ein neues Firefox-Profil erstellt und verwendet wurde? |
Ja da bin ich mir sicher, da die Lesezeichen und die Addons wie der Werbeblocker weg sind. |
Mach bitte einen neuen Durchlauf mit MBAM und Emsi: Downloade Dir bitte Malwarebytes Anti-Malware
Lade Dir bitte von hier  Emsisoft Emergency Kit herunter.
|
Hier die beiden Berichte Code: Malwarebytes Anti-MalwareHTML-Code: Emsisoft Emergency Kit - Version 9.0 |
Ich hab dafür keine Erklärung. Die Ergebnisse sind nicht aufschlussreich. Auch in den letzten FRST-Logs seh ich keine Ursache für diesen TOP-Müll :balla: Wollen wir weitermachen oder lieber eine komplette Neuinstallation in Betracht ziehen? |
Hallo Cosinus, ich denke eine Neuinstallation ist sinnvoller, außerdem würde ich mich dabei wohler fühlen, wenn ich danach zu 100% sicher sein kann dass alles sauber ist. Ich habe nur eine Partition mit der Systemwiederherstellung, würdest Du mich dabei führen? Wird bei diesem Lenovo "One Button" auch formatiert, denn ich denke das ist wichtig. Stefan |
Bist du überhaupt auf Windows angewiesen? Wenn nicht, würde ich auf jeden Fall ein anderes OS empfehlen, zB Xubuntu, Lubuntu der Ubbuntu mit dem MATE-Desktop. |
Würde schon gerne bei Windows bleiben, da die meisten Anwendungen die ich habe unter Windows laufen. Stefan |
Für die meisten Anwendungen gibt es es auch eine native Linux-Version... |
Habe zum Beispiel Diablo 3 als Windowsversion muss ich das dann neu kaufen? Aber lass uns mal lieber bei Windows bleiben:pfeiff: |
Ok, wenn es sein muss... Eine Idee mit dem top-Müll hab ich aber noch: Lade dir die passende Version von SystemLook vom folgenden Spiegel herunter und speichere das Tool auf dem Desktop: SystemLook (32 bit) | SystemLook (64 bit)
|
Hallo Cosinus, ich denke dieses Top8844.com ist nur die Spitze des Eisberges, zum Bsp. diese Einträge in der Registry, die den Taskmanager abschalten, hatten wir schon mal, da muß noch was sein was mir das immer wieder reinschreibt. Code: SystemLook 30.07.11 by jpshortstuff |
Ich glaub ich hab ihn!! :applaus: FRST-Fix Virenscanner jetzt bitte komplett deaktivieren, damit sichergestellt ist, dass der Fix sauber durchläuft! Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code: reg: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\NetTcpHandler" /v "hp"Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
|
Zu früh gefreut, er ist immer noch da, beim Ausführen kam die Meldung das der FF Container nicht mehr funktioniert. Dann Neustart beim Neustart von FF ist die Startseite wieder TOP8844.com. Code: Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 09-05-2015 |
Hab nen Schalter (/f) vergessen :headbang: Bitte nochmal: FRST-Fix Virenscanner jetzt bitte komplett deaktivieren, damit sichergestellt ist, dass der Fix sauber durchläuft! Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code: reg: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\NetTcpHandler" /v "hp" /fSpeichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
|
Nachdem die Fixlist durchlief rate mal welche Seite der FF aufmacht, richtig Top8844.com Code: Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 13-05-2015 |
Hm. Schon komisch. Bitte mal wiederholen: Lade dir die passende Version von SystemLook vom folgenden Spiegel herunter und speichere das Tool auf dem Desktop: SystemLook (32 bit) | SystemLook (64 bit)
[/QUOTE] |
Der Scan Code: SystemLook 30.07.11 by jpshortstuff |
Jetzt ist da aber nix mehr von diesem top8844... Dann zeig mal frische FRST Logs. Haken setzen bei addition.txt dann auf Scan klicken http://saved.im/mtg0mjy4yjlu/2014-04...ryscantool.png |
Hier die neuen Scans FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST) (x64) Version: 14-05-2015 02Code: Additional scan result of Farbar Recovery Scan Tool (x64) Version: 14-05-2015 02 |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 06:17 Uhr. |
Copyright ©2000-2025, Trojaner-Board
