|
Windows 7: websearch.de Virus? ständig poppen neue Seiten im Browser auf Liebes Trojaner-Board-Team! Ich habe das Notebook eines Freundes zum "Viren-Bereinigen" erhalten und bin als Laie leider mit meinem Latein am Ende. Ständig poppen neue Seiten im Browser auf. Vor allem eine über WIndows 7 Update, Toolkit-Download usw... Als Startseite im IE hatte sich websearch.de eingenistet, was sich nicht mehr rausnehmen ließ. Diese Seite wurde noch dazu monatelang genutzt, da man sich dieser Schadsoftware nicht bewusst war.. Eine Fireall/Antiviren-Software hatte man nicht! Nach Installation und Suchlauf von Comodo Firewall, Malwarebyte, Spybot, Adwcleaner konnten einen Haufen infizierte Objekte beseitigt werden. Mit dabei war auch eine Exe-Datei, den Namen weiß ich nicht mehr, Spybot hat es gefunden und gelöscht (?). (EIne Logdatei, um diese hier einzufügen, finde ich außer unter Malwarebytes nicht...) IE ist inzwischen deaktiviert, Firefox installiert. Hier allerdings seit heute das gleiche.. neue Seiten poppen auf... Hoffe, ihr könnt helfen, das Notebook wieder clean zu bekommen und eine komplette Neuinstallation zu vermeiden.. Es folgen nun die ganzen Log-Dateien. Im voraus vielen herzlich Dank. Lolle Nachtrag: Wegen Länge als Zip |
:hallo: Mein Name ist Sandra und ich werde Dir bei Deinem Problem behilflich sein.
Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der schnellere und bei einem Befall durch Malware immer der sicherste Weg. Adware lässt sich in den allermeisten Fällen problemlos entfernen. Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis Dir jemand vom Team sagt, dass Du clean bist. Posten in Code Tags Bitte füge die Logs immer in Code-Tags ein. Wenn Du das nicht machst, erschwert es mir sehr das Auswerten. Danke. Dazu:
Schritt 1 Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop:  FRST 32-Bit | FRST 64-Bit(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
|
guten Morgen, vielen dAnk für die schnelle Antwort. Hier nun die FRST: FRST Logfile: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 22-06-2014--- --- --- und die Addition (diese ist noch von gestern Abend. Hat sich heute morgen nach dem neuen FRST-Scan nicht erneuert :confused: ) Code: Additional scan result of Farbar Recovery Scan Tool (x64) Version: 22-06-2014 |
Hallo :) danke. Schritt 1 Bitte deinstalliere folgende Programme (falls vorhanden) : Genesis Happy Lyrics Iminent Dazu gehe auf: den Windowsbutton in der Taskleiste --> Systemsteuerung --> Programme (Unterpunkt Programme deinstallieren) --> Programm auswählen --> entfernen Falls du ein Programm nicht deinstallieren kannst, lade dir von hier den Revo-uninstaller herunter und deinstalliere es damit, wähle dabei den moderaten Modus. Schritt 2 Downloade Dir bitte  AdwCleaner auf deinen Desktop.
Schritt 3 Scan mit Combofix
Schritt 4 Starte noch einmal FRST.
|
Hallo Sandra, hier das Ergebnis von AdwCleaner: Code: # AdwCleaner v3.213 - Bericht erstellt am 25/06/2014 um 18:04:34Unable to create files: c:\windows\erdnt\hiv-backup\erdnt.inf Registry backup will continue, but no restore information bla bla bla. habe auf ok geklickt, weiter... und stets kam bei allen Dateien eine Fehlermeldung. Habe dann den Run abgebrochen. WAr sicher ein Fehler? Wollte es nochmal neu versuchen, nun meldet das Programm, bei jeder Datei dass die Files nicht überschrieben/gelöscht (?) werden können... Und nu? Hoffe, habe nun nichts am System zerstört... :confused: :confused: Comodo findet nun auch 50 unbekannte Dateien... vermute die von Combofix umgeschriebenen? Hilfe... |
Hallo Lolle74, Combofix ist also nicht gelaufen? Mach bitte nochmal ein neues FRST und poste mir die Logdatei von Comodo. |
FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 22-06-2014 |
Hallo Lolle74, ok, hast du das Log von Comodo gefunden? Was machen die Popups? Schritt 1 Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code: SearchScopes: HKLM-x32 - DefaultScope value is missing.Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
Schritt 2
Schritt 3
|
Hallo Sandra :) Comodo-Log ist nicht zu finden. Da gibt es zwar einen Link, um sich die Protokolle anzeigen zu lassen, aber der sich dann öffnende Pfad führt zu den eigenen Dokumenten. Da ist nix.. Und in der Datei von Comodo selbst finde ich diese Log-Datei nicht. Bisher keine Popups mehr :daumenhoc Fixlist.txt: Code: Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 22-06-2014Ich wusste gar nicht, dass dieser hier benutzt wird bzw. installiert ist. Es wurde stets mit dem Internet Explorer gearbeitet, den ich als erste Maßnahme, nachdem ich websearch nach einem Virenscan aus der Startseite und als Suchmaschine löschen konnte, deaktiviert habe. Anschließend Firefox installiert. Lief 1 Tag gut, dann poppten auch hier die ganzen Fenster wieder auf und ich habe mich bei euch gemeldet :) Von websearch ist allerdings nichts zu sehen. Jedenfalls habe ich Chrome nun gefunden, aber da scheint zumindest augenscheinlich alles i. O. zu sein. Startseite neuer Tab, Suchmaschinen Google, Bing und Yahoo... merkwürdig. ähm, und noch was: seit meinem Scheitern mit Combofix traue ich mich nicht mehr, das Notebook runterzufahren aus Sorge, er fährt nicht mehr hoch :o :confused: :lach: Meinst du, ich könnte damit was an Windows zerstört haben? :( WM-Grüße (Deutschland spielt gerade :p ) Lolle |
Hallo Lolle74, Zitat:
Zitat:
Zitat:
Schritt 1 Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code: Task: {3AF6736B-416D-442A-8188-95C063DEF4A9} - \bf878d97-0287-421f-86a1-65974521fc40-5 No Task File <==== ATTENTIONSpeichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
Schritt 2 Downloade Dir bitte Malwarebytes Anti-Malware
Schritt 3 Da der Scan mit Eset sehr gründlich ist, kann er unter Umständen mehrere Stunden dauern :kaffee: ESET Online Scanner
Schritt 4 Starte noch einmal FRST.
|
Ok, Notebook neu gestartet, funktioniert sogar noch :D Google chrome werde ich deinstallieren, wird ja nicht genutzt. Comodo hat zwischenzeitlich 2 Viren erkannt, ließ ich säubern: C:\ProgramData\Kodak\EasyShareSetup\QUICK\procheck.exe C:\Users\Roland\AppData\LocalMicrosoft\Windows\Temporary Internet Files\Low\Content.IE5\18HQ01KF\Player Setup[1].exe Befinden sich nun in Quarantäne. Ansonsten habe ich noch nichts weiter unternommen. Deine Vorschläge arbeite ich Sonntag ab und melde mich dann wieder. Schönes Wochenende, Lolle Wenn man es eilig hat... :stirn: In ProgramData steckt: Troj.Ware.Win32.TrojanDownloader.Swizzor.Gen@87251472 In Users: Application.Win32.DomalQ.URT@314491919 |
Hallo Lolle, Den ersten Fund würde ich als Fehlalarm einstufen :) Ich wünsch dir auch ein schönes Wochenende, poste die Logs dann einfach hier rein. Ich seh das dann :) |
Hallo Sandra, hoffe hattest ein schönes Wochenende. Heute spielt schon wieder Deutschland :lach: so, hier die Fixlog Code: Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 28-06-2014 02Code: Malwarebytes Anti-MalwareCode: ESETSmartInstaller@High as downloader log:FRST Logfile: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 28-06-2014 02--- --- --- |
Code: Additional scan result of Farbar Recovery Scan Tool (x64) Version: 28-06-2014 02was bedeuten denn diese errors im letzten log? :dummguck: |
Hallo Lolle Zitat:
Schritt 1 Bitte deinstalliere folgende Programme (falls vorhanden) : Iminent PrivDog Dazu gehe auf: den Windowsbutton in der Taskleiste --> Systemsteuerung --> Programme (Unterpunkt Programme deinstallieren) --> Programm auswählen --> entfernen Falls du ein Programm nicht deinstallieren kannst, lade dir von hier den Revo-uninstaller herunter und deinstalliere es damit, wähle dabei den moderaten Modus. Schritt 2 Lösche bitte den Inhalt deines Papierkorbs Schritt 3 Datenträgerbereinigung
OK So wie ich es sehe, haben wir damit alles Schadhafte entfernt. Deine Logs sind sauber. Abschließend räumen wir noch etwas auf, führen Updates durch und dann bekommst du noch etwas Lesestoff von mir. Schritt 1 Falls Du Malwarebytes-Antimalware und den ESET-Onlinescan nicht mehr benötigst, kannst Du beide Programme einfach über die Programmdeinstallation deinstallieren. Ich empfehle Dir aber zumindest Malwarebytes zu behalten, und damit einmal die Woche einen Kontrollscan zu machen. Schritt 2 Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren. Windows-Taste + R drücke. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK. Code: Combofix /UninstallDamit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden. Nun die eben deaktivierten Programme wieder aktivieren. Schritt 3 Downloade dir bitte delfix auf deinen Desktop.
Updates / Programme aktualisieren
Stelle sicher, dass dein FlashPlayer nach Updates sucht. Den FlashPlayer kann man direkt bei der Installation so konfigurieren, dass er nach Updates automatisch sucht, nachträglich kann man das über folgenden Link machen: Adobe - Flash Player: Einstellungsmanager - Globale Benachrichtigungseinstellungen
Deinstalliere Deinen Reader und lade Dir die neueste Version von hier herunter. Schaue, ob sich noch etwas mit installieren möchte und entferne den Haken gegebenenfalls.
Java ist eine große Sicherheitslücke auf deinem System, es werden immer wieder neue Schwachstellen entdeckt, die ausgenutzt werden um Rechner zu infizieren. Sofern du Java nicht zwingend benötigst, solltest du es komplett deinstallieren. Windows XP Gehe auf: Start --> Systemsteuerung --> Software --> Javaversionen auswählen --> entfernen Windows Vista Gehe auf: Start --> Systemsteuerung -- > Programme --> Programme deinstallieren --> Javaversionen suchen --> entfernen Windows 7 Dazu gehe auf: den Windowsbutton in der Taskleiste --> Systemsteuerung --> Programme (Unterpunkt Programme deinstallieren) --> Javaversionen auswählen --> entfernen Windows 8 Dazu drücke auf: Windowstaste und X dann: Programme und Funktionen -->Javaversionen auswählen --> entfernen Falls du Java doch unbedingt benötigst, dann
und sorge dafür, dass Java automatisch updated. Dazu:
Hier findest du eine Anleitung dazu. Nun zum Schluss noch ein paar Tipps zur Absicherung deines Systems. Aktualität des Systems Es ist extrem wichtig, dass sowohl dein System als auch die darauf installierte sicherheitsrelevante Software (Flash Player, PDF-Reader und besonders Java, sofern vorhanden) aktuell sind.
Antivirensoftware
Zusätzlicher Schutz
Alternative Browser Andere Browser tendieren zu etwas mehr Sicherheit als der Internet Explorer, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.
Systemleistung Lösche regelmäßig deine temporären Dateien. Ich empfehle hierzu die Datenträgerbereinigung von Windows. Windows Vista
Windows 7
Windows 8
Halte dich fern von jeglichen Registry Cleanern. Diese schaden deinem System mehr als dass sie es schneller machen. Verhaltensregeln zum sichereren Surfen
Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen. Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind. Falls Du Lob oder Kritik abgeben möchtest, kannst Du das sehr gerne hier tun. Wenn Du etwas für das Forum und unsere Arbeit spenden möchtest, so kannst Du das hier tun. |
"...alles sauber". das wär ja traumhaft! :):) bin sehr froh, euch hier um Rat gefragt zu haben. Jetzt schon mal vorab ein ganz dickes Dankeschön! :bussi: So, jetzt noch die letzten Schritte und alles so einstellen, wie von dir geraten und ich kann das Notebook endlich wieder zurückgeben. :Boogie: Nicht ohne zu vergessen, eure Seite hier zu erwähnen! Ganz großes Lob an euch, was ihr hier freiwillig leistet. Abschließende Rückmeldung folgt! Rückmeldung schneller als gedacht: Bekomme Combofix nicht deinstalliert. Datei kann nicht gefunden werden. Liegt aber ersichtlich auf dem Desktop... der Pfad wäre nach manueller Suche: C:\Users\Roland\Desktop\ComboFix.exe soll ich nun genau das im Ausführen-Fenster eingeben und dahinter /uninstall? :confused: |
Hallo Lolle Nein, nur das: Zitat:
Ansonsten benenne mal die Combofix.exe in uninstall um |
an Leerschritt gedacht und umbenennen hat nix genutzt.. Hab natürlich nicht so die Ahnung, aber rein von der Logik her: Was, wenn ich Combofix vom Desktop verschiebe nach C:\Windows\System32, da wo auch das notepad liegt, was ja funktioniert!? :rolleyes: :D |
Zitat:
Hast du versucht combofix umzubenennen, wie ich das geschrieben habe? |
Ja, aber auch damit hat es nicht funktioniert. sodele.. da Combofix eh nicht funktioniert hat und es scheinbar auch reicht die Qoobox zu löschen (bei mir war sie leer) hab ich das nu getan. Anschließend delfix runtergeladen und ausgeführt. Jahaa, und nu kommt das gleiche Problem wie ganz am Anfang bei Combofix: Unable to create file: C:\windows\DelFix\ERDNT.INF Registry backup will continue, but no restore information for the ERDNT program will be saved. This means that later restoration of the registry can only be done manualley, by using another OS top copyback the files. Klicke auf "ok" nächste Meldung: Error saving file C:\windows\ERUNT\DelFix\SYSTEM ! Continue with the next file? Klicke auf "Nein" ein Logfile wurde erstellt. Hier: Code: # DelFix v10.7 - Datei am 04/07/2014 um 19:19:27 erstelltAnwendung: C:\Users\Roland\AppData\Local\Temp\scratch.bat Hinweise: Datei ändern ZIel: C:Users\Roland\Desktop\delfix_10.7.exe Werde noch wahnsinnig :wtf: ja, und damit du gleich nochmal schimpfen kannst :pfeiff: : Habe die Combofix.Exe erst mal in C:/Combofix geschoben, um für immer da lagern zu dürfen, da ich es nicht gelöscht bekomme und nicht einfach in den Papierkorb schieben wollte. Hoffe sehr, du kannst mir hier bei diesem ganzen Dilemma irgendwie helfen... liebe Grüße Lolle |
Hallo Lolle, delfix hat Combofix gelöscht, so stehts zumindest im Log. Normalerweise sollte sich delfix auch löschen. Lösch mal die bat, die Datei auf dem Desktop auch, sofern die noch vorhanden ist. |
Combofix ist gelöscht? schön. delfix ist allerdings noch auf dem Desktop zu sehen. Bat-Datei ist nun gelöscht. Wenigstens das konnte ich mal ohne Probleme ausführen :heulen: wie soll ich nun weitervorgehen? nochmal delfix versuchen? Hast du eine Idee, warum das nicht funktioniert? Sorry, dass das jetzt doch länger dauert als gedacht.. |
Hallo Lolle, es kommt gelegentlich schon mal vor, dass Combofix sich nicht deinstallieren lässt, dafür gibt es dann aber Lösungen. Schwierig wirds nur, wenn jemand dann anfängt alleine rumzubasteln. ;) Lösche einfach delfix vom Desktop. |
Hallo Sandra! Alles erledigt, alles läuft nun einwandfrei! Super!!! ein herzliches Danke schön!!!! :dankeschoen: :):):) |
Hallo Lolle, sehr schön :daumenhoc Alles Gute für dich Somit ist dieses Thema erledigt, falls du noch Fragen haben solltest oder es Probleme gibt, so schicke mir bitte eine PN Jeder andere bitte hier klicken und einen eigenen Thread erstellen |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:57 Uhr. |
Copyright ©2000-2025, Trojaner-Board
WARNUNG an die MITLESER: 