Startfenster.com Trojaner - Windows 8
 

Hallo!

So wie es aussieht habe ich mir den Startfenster-Trojaner eingefangen.

Habe mich schon hier im Forum informiert und lasse gerade Malwarebytes durchlaufen. Wollte nachfragen, ob ich im Anschluss schon direkt einen weiteren Scan durchführen soll (OTL hab ich öfters gelesen?!).

Die Logs folgen :-)

Kleine Randinfo: Benutze Windows 8 und Chrome.

Schon einmal vielen Dank!


Hier die Malwarebytes-Log:
*Weiterer EDIT*
Malwarebytes erforderte einen Neustart, wodurch Chrome wieder erneut gestartet wurde und "Startfenster" erneut zu sehen war.
Problem? Muss ich Malwarebytes erneut durchführen?!

Bitte das hier lesen. LINK

Gib mir bescheid, wenn das nichts hilft.

Danke für die Antwort :)

Hat leider nicht geholfen. In Chrome steht "www.google.de" als Startseite, wobei trotzdem immer Startfenster beim Start von Chrome geöffnet wird :(

:hallo:

Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.

Zitat:

Lesestoff: Regeln für die Bereinigung Damit die Bereinigung funktioniert bitte ich dich, die folgenden Punkte aufmerksam zu lesen: Bitte arbeite alle Schritte der Reihe nach ab. Gib mir bitte zu jedem Schritt Rückmeldung (Logfile oder Antwort). Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst. Bitte kein Crossposting (posten in mehreren Foren). Installiere oder Deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert. Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst. Poste die Logfiles direkt in deinen Thread (möglichst in Code-Tags). Nicht anhängen ausser ich fordere Dich dazu auf oder das Logfile ist zu gross. Erschwert mir nämlich das auswerten. Mache deinen Namen nur dann unkenntlich, wenn es unbedingt sein muss. Sollte ich nicht nach 3 Tagen geantwortet haben, dann (und nur dann) schicke mir bitte eine PM. Eine Bitte: Mache bitte solange mit, bis ich oder ein anderer Helfer dir mitteilt, dass du "sauber" bist. Das gebietet alleine schon die Höflichkeit und ein Verschwinden der Symptome bedeutet nicht, dass die Schädlinge auch wirklich alle entfernt wurden. Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg. Wenn du das alles gelesen und verstanden hast, kannst du loslegen! :kloppen:

Customscan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
• Stelle folgendes ein:
  • Haken bei "Alle Benutzer scannen" und "Inklusive 64bit Scans"
  • Ausgabe: Minimal
  • Benutze SafeList in jedem Feld.
  • Haken bei "Benutze Hersteller-Whitelist"
  • Dateien erstellt und verändert innerhalb Datei-Alter
  • Haken bei LOP Prüfung und Purity Prüfung
• Kopiere nun den Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

Code:

---

activex
netsvcs
msconfig
drivers32
safebootminimal
safebootnetwork
%SYSTEMDRIVE%\*.
%SYSTEMDRIVE%\*.*
%PROGRAMFILES%\*.exe
%PROGRAMFILES(X86)%\*.exe
%systemroot%\*. /mp /s
%windir%\installer\*. /10
%appdata%\*.
%appdata%\*.*
%appdata%\*.exe /s
%localappdata%\*.
%localappdata%\*.*
%localappdata%\*.exe /s
%allusersprofile%\*.
%allusersprofile%\*.*
%allusersprofile%\*.exe /s
CREATERESTOREPOINT

---

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Scan Button.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread (möglichst in CODE-Tags)

Super, danke. Hier die Log-Dateien im Archiv, da die Zeichen zu lang waren :)

Viel ist es nicht ...

Fix mit OTL

Zitat:

Warnung: Dieses Skript wurde nur für diesen User und diese spezielle Situation geschrieben. Auf anderen Computern ausgeführt kann es nachhaltige Schäden anrichten! Hinweis: Wenn du deinen Benutzernamen unkenntlich gemacht hast, musst du wieder deinen richtigen Namen einsetzen, ansonsten wird das Skript nicht funktionieren.

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

Code:

---


:OTL
IE - HKU\S-1-5-21-2841636142-1428987068-3686150223-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.startfenster.com


:commands
[Emptytemp]

---

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop. ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
• Kopiere nun den Inhalt hier in deinen Thread, möglichst in Code-Tags.

Hinweis: Die Ausführung des Kommandos kann einige Minuten dauern und OTL scheint in dieser Zeit nicht zu reagieren. Bitte geduldig sein! :kaffee:

Super.. Hier die Log...

Nur zur Info: Beim öffnen des Chrome erscheint immernoch die Startfenster-Seite :(
(Weiss ja nicht, ob Startfenster mit diesem Schritt schon gelöscht werden sollte :))

In deinem Logfile steht nichts mehr davon. Ichnehme an du hast dir den infizierten VLCPlayer geladen? Diesen bitte deinstallieren und von der richtigen Quelle laden.
VideoLAN - Official page for VLC media player, the Open Source video framework!

MAche zwischenzeitlich:

AdwCleaner: Werbeprogramme suchen und löschen

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Genau richtig. Anscheinend über den VLC Player eingefangen. Hab den jetzt gelöscht und adwcleaner laufen lassen.

Beim Starten von Chrome kam nun nicht mehr die Startfenster-Seite :-) Sau geil.. schon einmal vielen Dank.

Hier die ADWCLEANER-Logfile:

Alles klar, dann bitte ...

Scan mit Combofix

Zitat:

WARNUNG: Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Ich bekomme beim Start von ComboFix folgende Fehlermeldung:

Ich benutze Windows 8 64 bit :-/
Soll ich es im Kompatibilitätsmodus starten oder gibt es eine Alternative? :)

Windows 8 ist für sich schon ein Problem ... aber sei es drum.

Dann bitte so:
Customscan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
• Stelle folgendes ein:
  • Haken bei "Alle Benutzer scannen" und "Inklusive 64bit Scans"
  • Ausgabe: Minimal
  • Benutze SafeList in jedem Feld.
  • Haken bei "Benutze Hersteller-Whitelist"
  • Dateien erstellt und verändert innerhalb Datei-Alter
  • Haken bei LOP Prüfung und Purity Prüfung
• Kopiere nun den Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

Code:

---

activex
netsvcs
msconfig
drivers32
safebootminimal
safebootnetwork
%SYSTEMDRIVE%\*.
%SYSTEMDRIVE%\*.*
%PROGRAMFILES%\*.exe
%PROGRAMFILES(X86)%\*.exe
%systemroot%\*. /mp /s
%windir%\installer\*. /10
%appdata%\*.
%appdata%\*.*
%appdata%\*.exe /s
%localappdata%\*.
%localappdata%\*.*
%localappdata%\*.exe /s
%allusersprofile%\*.
%allusersprofile%\*.*
%allusersprofile%\*.exe /s
CREATERESTOREPOINT

---

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Scan Button.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread (möglichst in CODE-Tags)

Startfenster ist "wieder da" bzw "war nie weg" :(

Hier die Logs:

Falsches Logfile.

sorry ... verklickt ^^

Ich muss dich enttäuschen. In dem Logfile steht nichts dazu. Aber ehrlicherweise muss ich auch sagen, dass wir für Chrome nicht wirklich spezialisiert sind und das nur so "mit" machen. Ich kann dir daher leider nur empfehlen Chrome zu deinstallieren und nochmal neu zu installieren. Hinzu kommt, dass wir bisher auch noch keine Windows 8-Fälle hatten.

Okay, alles klar :)
Kann man nichts machen

Habe soeben Chrome neuinstalliert. Zunächst war alles okay. Als ich Chrome dann mit meinem Google-Konto verbunden habe um wieder an meine Tabs etc. zu kommen und der diese und meine Addons eingerichtet hat, kam beim nächsten Start Startfenster wieder...

Nur für mein Verständnis:
Wäre ich sicher, wenn ich Chrome deinstalliere und einen anderen Browser verwende?
Würde eine Formatierung auch nichts bringen, da ich mir den Trojaner wieder einfange, sobald ich Chrome mit meinem Account verbinden lasse?

Und: Was macht der Startfenster-Trojaner eigtl? Hatte bei euch im Forum mal was von einem Keylogger gelesen?!

Wichtiger EDIT: Infiziert der Trojaner eigtl meine Dateien oder nur meine Browser? Wäre wichtig zu wissen, wenn ich formatieren will und meine Daten sichern will :)

Das ist überhaupt kein Trojaner sondern "nur" nervige Werbung. Formatieren hilft hier gar nichts. Zum Verständnis ... dein Chrome synchronisiert mit Google? Kannst du dieses synchronisieren irgendwie zurücksetzen?

Aaaah, okay... Danke!

Genau, Chrome synchronisiert mit dem Google-Konto meine Favoriten & Apps (Siehe Anlage).

Ich kann mich lediglich vom Google-Konto trennen. Zurücksetzen geht nur, wenn ich deinstalliere - mach ich mal eben und schau ob das Abhilfe schafft.

Chrome neu installiert und nicht zum Google-Konto verbunden...
Läuft einwandfrei...

Lässt irgendwie den Schluss zu, dass etwas mit der Synchronisation der Einstellungen nicht richtig funktioniert, oder?

Also technische Info: Das Startfenster setzt einfach nur die Startseite. Wenn du eine synchronisation machst, dann landet das Teil in dem Archiv bei Google. Synchronisierst du ... dann kommt es wieder aus dem Archiv. Also müsste man nur versuchen, dass man das Archiv bei Google mit den "guten" Einstellungen aus deinem Chrome überschreibt.

Hab ich mir auch gedacht. Das überschreiben funktioniert irgendwie noch nicht... Sobald ich wieder synchronisiere, setzt sich Startfenster wieder als Startseite...

Es funktioniert nur, wenn ich die "Einstellungen" nicht vom Google-Konto synchronieren lasse (Also lassen sich z.B. Tabs, Lesezeichen, Passwörter synchronisieren, ohne dass etwas passiert).

Dazu muss man allerdings, wenn man sich das erste mal per Chrome mit dem Google-Konto verbindet, die Daten einschränken, die synchronisiert werden sollen!
Dazu klickt man in dem Login-Fenster auf "Erweitert", loggt sich ein und erhält dann die Möglichkeit noch einmal "Erweitert" zu klicken.
Dort entfernt man dann den Haken bei "Einstellungen", damit diese nicht mit synchronisiert werden. Dann funktioniert es.

Auf der Chrome-Homepage (Synchronisierungseinstellungen anpassen - Chrome OS-Hilfe) sieht man, dass unter "Einstellungen" die Startseite synchronisiert wird. Daran wird es wohl liegen.

So kann ich aber schon einmal weiter arbeiten. Werde, wenn ich wieder Zeit habe, mal recherchieren, wie man die Einstellungen ordentlich synchronisieren kann.

Auf jeden Fall: Vielen Dank für deine Hilfe und deine Zeit!

Alles klar. Bitte PM an mich, wenn du das herausgefunden hast.

Schön, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen