Unerwünschte Software nach Programmdownload zb. User.js und DeltaTB.exe
 

Hallo,

beim Herunterladen des Programms mergemp3 von www.mergemp3.com/de habe ich unerwünschte Software eingefangen. Symptome: Jede Menge Popup-Fenster im Internet Explorer und zwei gleichzeitig installierte Programme in der Systemsteuerung:
Lyrics_Pal und „Bundled Software Uninstaller“.

Lyrics_Pal habe ich deinstalliert, das andere Programm ließ sich nicht deinstallieren (Win7 bot nur an, den Eintrag zu entfernen, das habe ich zunächst nicht getan). Auch die Deinstallation des ursprünglich erwünschten mergemp3 änderte daran nichts.

Malwarebytes fand 3 Dateien und löschte sie und brachte sie in Quarantäne.
Danach war der Malwarebytes Scan ok und auch Avira fand nichts.

Ich fand aber noch einige verdächtige Dateien, die zur Zeit der Installation enstanden waren, in den Verzeichnissen …..AppData/roaming/…. und ….AppData/local/temp,
darunter User.js bei Firefox und DeltaTB.exe, die mir verdächtig vorkommen. Von diesen Programmen habe ich einen Ashampoo Screenshot, weiß aber nicht, wie ich den ins Forum stellen sollte.
????? Darf ich das als Anhang anfügen? Irgendwie hatte ich Schwierigkeiten damit.

Die Defogger, FRST64 und Gmer-Logs habe ich erstellt und füge sie zusammen mit den Malwarebytes und Avira-Logs an. Nach der Ausführung von Gmer hatte ich Probleme, Avira neu zu aktivieren. Beim Versuch, den Benutzer zu wechseln hängte sich der Rechner dann so auf, dass der Bildschirm kein Signal mehr bekam. Nach Neustart sieht es aber erstmal wieder ok aus.

Für mich wäre grundsätzlich auch möglich, den Rechner auf den Zeitpunkt vor der Installation zurückzusetzen, aber vielleicht zeigen die Protokolle ja auch etwas über eine frühere Installation.

Hier also die Protokolle: Malwarebytes, Avira, Defogger, FRST64 + Addition, Gmer:
--------------------------------------------------------------------------------------------------------------
Malwarebytes:
Avira
Defogger
FRST 64:

FRST Logfile:
--- --- ---

-----------------------------------------------------------------------------------------------------------------FRST64 Addition.txt
Gmer:
[CODE]
GMER Logfile:
--- --- ---


Vielen Dank im Voraus für die Hilfe
ju52.ma

hi,

Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel

Link 1


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Frage: Diese Fehlermeldung, die Du erwähnst, nach welchem Neustart sollte die denn auftauche? Der Vorgang, so wie du ihn beschreibst, erfordert doch eigentlich gar keinen Neustart, oder? Also: Könnte es wegen Combofix beim nächsten Start zu dieser Fehlermeldung kommen, oder wie ist das gemeint? Und sollte ich den Rechner nicht vom Netz trennen, bevor ich Avira ausschalte?

Wenn kommt diese Meldung direkt nach Combofix, wenn du zb den Browser öffnen willst, dann enfach einmal neustarten :)

Hallo Schrauber,
hier die combofix.txt:Danke

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

und ein frisches FRST log bitte.

Hallo Schrauber,
wenn ich das richtig verstehe, sind das 3 Programme, die auf Infektionen prüfen und sie beseitigen können. Ich bin mir aber unsicher, während welcher Phase denn nun Avira abgeschaltet sein sollte, und ob ich den Rechner dann nicht auch vom Netz getrennt haben sollte. Kannst Du mir dazu noch was schreiben?

Ich habe nun den Schritt mit malwarebytes gemacht (s.u.) und mit adwcleaner angefangen, breche aber jetzt ab, da ich morgen früh raus muss und bis übermorgen Vormittag nicht am Rechner sein kann. Es wäre aber schön, wenn Du mir bis dahin meine Fragen beantworten könntest, dann mache ich weiter mit adwcleaner und den folgenden Schritten.

Ich war mir nicht sicher, ob Quickscan oder ausführlichen, deine Anweisung scheint an der Stelle irgendwie lückenhaft zu sein, ich habe also zur Sicherheit einen ausführlichen gemacht. Malwarebytes hat nichts gefunden (das war ja schon nach meiner anfänglichen Bereinigung, bevor ich mich ans Forum wandte, so gewesen). Also habe ich auch nichts entfernen können. Hier das Protokoll:
Adwcleaner habe ich heruntergeladen und erstmal Suchen ausgewählt. Oder hätte ich wirklich sofort was mit Löschen machen sollen?

Ich fand dieses Protokoll zusätzlich zu dem von dem Suchlauf, aber mit dem, was da gelöscht worden sein soll, kann ich nun gar nichts anfangen:
AdwCleaner Logfile:
Hier ist dann das Protokoll vom Suchen.
--- --- ---


So wie ich das sehe, geht es auch um die ASK-Sachen, die mit der Free-Version von Avira gekoppelt sind. Bisher habe ich damit gelebt, es hat mich nicht weiter gestört, und ich möchte ungern daran was ändern…

Erstmal danke, ich mache dann am 16. erst weiter…

Gruß, ju52.ma

Avira während jedem Scan komplett abschalten. AdwCleaner bitte löschen lassen.




Dann den Rest der obigen Anleitung :)

Hallo Schrauber, ich sitze jetzt an einem anderen Rechner und kann also nichts ausprobieren oder ausführen, ich habe aber vor der weiteren Entseuchung doch noch eine Verständnisfrage:

Ich kann Eurer Einschätzung der AVIRA-Praktik zwar folgen, habe aber zur Zeit echt keine Luft, mich mit Neuinstallation anderer Virensoftware (ich müsste hier in der Familie dann gleich drei Rechner anpacken) zu beschäftigen. Also möchte ich Avira vorerst behalten.

Ist es dann richtig, dass ich mit dieser Vorgabe von
nichts löschen lasse außer dem letzten Fund (Firefox),

von
die beiden Schlüssel (HKCU und HKLM) mit Software\AskPartnerNetwork\ nicht löschen lasse, den Rest aber entfernen lasse,

und zusätzlich die beiden hier erwähnten Profiles bei Firefox entfernen lasse:
Danach würde ich dann noch den Schritt mit Juncware Removal Tool gemäß deiner Anweisung ausführen.

Ist das ok so????
Danke, ju52.ma

Jup. Aber ne Neuinstallation des AV dauert 10 minuten.

Hallo Schrauber, ich habe nun nach deiner Anweisung weiter gemacht.
Ich habe die Schritte wegen des Abschaltens des Virenscanners durchgeführt, ohne dass eine Internetverbindung bestand, ich hoffe, das war ok so.

Der Aufruf von adwcleaner zum Löschen hat nun doch auch ASK gelöscht, ich hatte gedacht, der fragt einen nach den einzelnen Schritten. Nun gut, der Browserschutz von Avira ist nun weg und Avira muss neuinstalliert werden.

Ist auch nicht so schlimm, ich meinte mit meinem Kommentar auch eher, dass ich nicht gerne ein ganz anderes Tool installieren möchte.

Da es mich wunderte, dass die letzte Datei beim ersten Durchlauf nicht gelöscht worden war, habe ich einen zweiten Lauf durchgeführt. Erstaunlicherweise wurde da ein ASK-Ordner gelöscht, der eigentlich beim ersten Lauf bereits gelöscht worden sein sollte. Zur Zeit habe ich diesen Ordner noch nicht wieder auf dem System, ich werde das mal beobachten, solange ich AVIRA noch nicht neu installiert habe.

Hier der erste Durchlauf:
AdwCleaner Logfile:
--- --- ---


Und dann der zweite:
AdwCleaner Logfile:
--- --- ---

Das dann folgende JRT-Scan hat nur ca. 17 Sekunden gedauert? Ist das ok, oder ist das, weil keine Internetverbindung bestand?
Hier ist das Protokoll
(Ich habe es nach dem unten folgenden FRST-Lauf noch mal wiederholen müssen, da das Protokoll entgegen der Ankündigung nicht auf dem Desktop gespeichert war, bzw. ich das wohl hätte manuell machen müssen?. Das erste Protokoll sah aber genauso aus, halt nur andere Uhrzeit):
Hier das FRST64-Protokoll (auch erzeugt, ohne dass Internetverbindung bestand!)

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---


So, das ist der Stand der Dinge.
Ju52.ma

Unsere Tools brauchen immer Inetverbindung. Abgeschaltetes AV ist kein problem wenn Du währendessen nicht rum surfst.

Ich versteh nit warum Du immer noch an Avira fest hälst. Dass die mit Adware-Leuten zusamen arbeiten ist bei dir angekommen? Abgesehen von der grandios schlechten Erkennung.



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

und ein frisches FRST log bitte. Noch Probleme? :)

Hallo,
Ich habe den JRT nun mit Internetverbindung nochmal laufen lassen, aber das Ergebnis sah genauso aus wie das vorige, und es hat auch nur wenige Sekunden gedauert.

Dann den Scan von eset:

Die Deinstallation habe ich noch nicht gemacht, es gibt doch wahrscheinlich auch noch andere Programme von dieser Maßnahme zu entfernen, oder?

Als nächstes das Protokoll von SecurityCheck:
Sollte ich wegen der Fragmentation was machen?

Dann das FRST64-Protokoll: Obwohl ich mir das neu downloade behauptet der aber hinterher immer noch, es wäre nicht aktuell. Mache ich was falsch? Im Protokoll ist doch das genannt, was ich zuletzt runtergeladen habe…


FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

[/CODE]


An Fragen bleiben mir:
Was hätte denn JRT machen sollen, bzw. wieso war das immer so schnell fertig?
Muss ich auf die Defrag-Sache von Security-Check reagieren?
Hast Du eine Erklärung für das Versionsgemecker von FRST64?
Was muss außer eset noch entfernt werden und wie?

Und um die Frage nach Avira zu beantworten:
Du als Technik-Fachmann wirst es wahrscheinlich nicht nachvollziehen können,
aber für mich ist es echt ein Vorgang, für den ich Zeit und Nerven brauche, um das auf den 3 Rechnern in meiner Familie zu ändern und mich wieder in andere Optik, Abläufe, Begriffe usw. in Sachen Virenschutz einzudenken.

Erstmal Danke, ich höre dann von Dir wie’s aussieht, nicht wahr?
Ju52ma

JRT entfernt Adware-REste, wenn keine da sind isses schneller fertig :)

ESET kannste deinstallieren, wenn Du mal richtig Luft hast auch defragmentieren, aber das dauert.

Fertig :)

Die Reihenfolge ist hier entscheidend.

1. Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
2. Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
   • Windowstaste + R > Combofix /Uninstall (eingeben) > OK
   • Alternative: Combofix.exe in uninstall.exe umbenennen und starten
   • Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
3. Downloade Dir bitte auf jeden Fall DelFix auf deinen Desktop:
   • Schließe alle offenen Programme.
   • Starte die delfix.exe mit einem Doppelklick.
   • Setze vor jede Funktion ein Häkchen.
   • Klicke auf Start.
   • Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
   • Starte deinen Rechner abschließend neu.
4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

Hier noch ein paar Tipps zur Absicherung deines Systems.


Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.

• Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
• Windows Updates
  • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
  • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
• Gehe sicher das die automatischen Updates aktiviert sind.
• Software Updates
  Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
  Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.

Anti- Viren Software

• Gehe sicher immer eine Anti Viren Software installiert zu haben und das diese auch up to date ist. Es ist nämlich nutzlos wenn diese out of date sind.

Zusätzlicher Schutz

• MalwareBytes Anti Malware
  Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
  Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
  Ein Tutorial zur Verwendung findest Du hier.
• WinPatrol
  Diese Software macht einen Snapshot deines Systems und warnt dich vor eventuellen Änderungen. Downloade dir die Freeware Version von hier.

Sicheres Browsen

• SpywareBlaster
  Eine kurze Einführung findest du Hier
• MVPs hosts file
  Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
• WOT (Web of trust)
  Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.

Alternative Browser

Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.

• Opera
• Mozilla Firefox.
  • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
  • NoScript
    Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
    
  • AdblockPlus
    Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
    Es spart ausserdem Downloadkapazität.

Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )



Don'ts

• Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
• verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
• Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
• Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe

Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.

Hallo Schrauber,
erstmal danke ich Dir ganz herzlich für Deine Hilfe, bitte Dich aber, den Thread offenzulassen, da ich Deine Entsorgungsanweisungen noch nicht durchführen konnte. Auch Danke für die vielen Hinweise für ein besser gesichertes System, die ich befolgen werde, sobald ich wieder kann, denn:

Es haben sich leider für mich auf diesem Rechner gestern abend zwei weitere Probleme ergeben, so dass ich gestern nacht erstmal froh war, den Rechner überhaupt wieder starten zu können. Diese Probleme haben wahrscheinlich andere Ursachen, vielleicht kannst Du mir dafür ein ebenso effektives Forum wie das Eure empfehlen?

Der Hinweis, dass die Festplatte defragmentiert wäre, hatte mich sehr gewundert, denn ich hatte vor nicht allzu langer Zeit die Userdaten von diesem PC gelöscht und danach die Festplatte aufräumen lassen, was wirklich relativ lange gedauert hatte. Danach ist der Rechner so gut wie jetzt benutzt worden (eigentlich wollte ich ihn jetzt als „Hauptrechner“ in Betrieb nehmen, nachdem er bisher eher nur als Datensicherung meiner Laptopdaten und Zweitgerät fürs Surfen fungiert hatte, nun aber habe ich für die Datensicherung eine externe Platte).

Wegen dieser Irritation schaute ich ins Ereignislog und fand:
Das taucht immer mal wieder ein paar Sekunden lang auf, aber im Abstand von Tagen, und ich vermute, dass das mit USB-Sticks zusammenhängt, das muss ich noch mal beobachten.

Schlimmer aber, ich fand:
Mit folgenden Detaildaten
Auch das tritt immer mal wieder auf,(z.B auch gerade eben wieder, wo ich eigentlich nichts Besonderes am Laufen habe).
Daher wollte ich erstmal einen Plattencheck machen, und mir vor dem chkdsk (von dem ich auch keine Ahnung habe) erstmal die Prüfutility des Herstellers Seagate laden und ausführen, und wollte mich heute morgen darum kümmern.
Aber vorher kam’s dann gestern Nachtnoch ganz dicke:
Ich hatte während der Entseuchung den monatlichen Windows-Update nicht durchführen lassen und wollte dies nun „noch eben“ nachholen.
Nun, der Rechner hängte sich beim Neustart „Konfiguration wird vorbereitet“ komplett auf. Irgendwie habe ich durch Booten im abgesicherten Modus etc. Windows dazu bewegen können, etwas rückgängig zu machen und konnte 2 Std. nach Mitternacht endlich wieder in den Rechner rein, hatte 2 oder 3 durchgeführte Updates und 8 fehlgeschlagene. Ausserdem stehen wohl noch 9 weitere bereit. Ich habe dann erstmal das von Windows empfohlene FixIt ausgeführt, habe aber wenig Hoffnung, dass das Problem damit beseitigt ist und erstmal die Finger davongelassen.
Nun will ich erstmal das Seagate-Tool prüfen lassen und wäre froh, wenn Du mir vielleicht ein paar Tips fürs weitere Vorgehen oder eine Empfehlung für ein gutes Hilfe-Forum geben könntest. Und: Thread bitte offenlassen, bis mir die Entsorgung der Virus-Tools sauber gelungen ist.
Danke, ju52.ma, schwer gebeutelt.

Nachtrag: Und seit dem 19.8. habe ich auch noch diesen Fehler immer wieder:
Nachtrag2: Und jetzt beisst sich die Katze in den Schwanz: Das Seagate-Tool will .Net v4.0 haben, behauptet, das wäre nicht installiert und leitet zu einer Seite, die Microsoft.NETFramework 4 installieren würde, das ist aber auf dem System, ist aber auch das, bei dem gestern die Updates fehlgeschlagen sind. Was soll ich tun...