MBAM meldet "bösartige" Webseiten obwohl noch kein Browser geöffnet ist
 

Hallo,
ich sage es gleich, ich bin absoluter Anfänger auf diesem Gebiet. Bis gestern habe ich MBAM in der kostenlosen Version genutzt, hab mich dann aber doch zum Kauf hinreißen lassen.
Heute morgen habe ich als erstes Thunderbird gestartet, um Mails zu lesen. Über Thunderbird rufe ich nur meine Freemail-Accounts ab. Ich habe keine Mail geöffnet und auch keine Links in einer Mail angeklickt, es war auch kein Browser geöffnet, alle Mails nur in der Vorschau. Während ich dabei bin, etliche Werbemails zu löschen, taucht plötzlich die Meldung auf:

Bösartige Webseiten blockiert

Domäne:
IP: 82.98.97.xxx
Port:
Typ: Outbound
Prozess:

Und ich werde gefragt, ob ich die Webseite ausschließen will.
Das könnte ich sicher kompetent beantworten, wenn ich wüsste, welche Seite hinter der IP steckt.
Seltsam auch, dass weder bei Domäne, Port oder Prozess etwas steht.
Und noch seltsamer ist eben, dass ich ja keinen Browser geöffnet hatte, lediglich Thunderbird und die eingegangenen Mails auch nur in der Voransicht.

Hier das Protokoll:
Bei DNSwatch habe ich mal wegen der IP-Adresse geschaut, und da kam erst recht nix raus:
Die Suche DNS Lookup / IP lookup ergab:

Nameserver ns.s.plusline.de. meldet: Kein Host 185.97.98.82.in-addr.arpa. gefunden

Und die IP Location erbrachte dieses Ergebnis:

Zeige geografische Lage der IP 82.98.97.185
Land UNITED KINGDOM (GB)
Stadt Unknown

Das gleiche Ergebnis mit allen anderen Adressen, sie unterscheiden sich ja lediglich in den letzten drei Stellen.

Ich weiß jetzt nicht, was ich mit dieser Meldung anfangen soll. Ich vermute nichts weiter dahinter, bis jetzt war mein Rechner immer sauber, dass ich mich zum Kauf von MBAW entschlossen habe, hatte nur den Grund, dass ich damit dann die Suche automatisieren kann, ich neige nämlich dazu, schon mal 3 Monate vergehen zu lassen ohne aktiv zu sein.
:pfeiff:

Hi,

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Danke!

So!
Hier die beiden Dateien.

Das ist erst einmal FRST.txt



FRST Logfile:
--- --- ---

--- --- ---

--- --- ---

--- --- ---

--- --- ---

--- --- ---

Und das ist Addition.txt
Ich hoffe, ich habe alles richtig gemacht.
Vorab schon mal ein herzliches Dankeschön!

Du nutzt immer noch XP????


Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

Ja :pfeiff: ich nutze immer noch XP . . . und bleibe dabei, bis ich mir den Umstieg leisten kann auf etwas mit 'nem Äpfelchen drauf.

Nur eine Frage wegen dem Download von Anti Rootkit - verstehe ich das richtig, dass das nicht in MBAM enthalten ist? Ich habe die Vollversion gekauft und darin findet sich auch die Voreinstellung "Suche nach Rootkits", so habe ich es auch eingestellt. Der automatische Suchlauf gestern hat aber nichts angezeigt.

LG

update:

Anti-Rootkit lässt sich nicht ausführen, es wird gemeckert wegen MBAM . . . ich habe dann in den Einstellungen unter Erkennung und Schutz alles deaktiviert und trotzdem geht's nicht!

Was mache ich jetzt?

updateII:
Kann sein, dass das jetzt verkehrt war, aber ich gehe mal davon aus, dass MBAM seine Arbeit getan hat und halt nix gefunden worden ist, drum habe ich TDSS nach Deiner Anweisung gestartet, das ist das Ergebnis:
TEIL 1
Teil 2 folgt:

TEIL 2
:) LG

MBAR kannste dann weg lassen. Ich hoffe für dich die XP Kiste bleibt Offline und vom Netz getrennt, ansonsten kannste Passwörter, Kohle und Co auch gleich verschenken.


Starte TDSSkiller.exe mit Doppelklick.
Vista und Win7 User mit Rechtsklick "als Administrator starten"

• Drücke auf Start Scan.
  Mache während dem Scan nichts am Rechner
• Gehe sicher das Cure ( default ) angehackt ist !
• Drücke Continue --> Reboot.

TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ )
Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt

Poste den Inhalt bitte hier in deinen Thread.

Vielen Dank für Deine Mühe . . .

. . . trotzdem bin ich mit der "Kiste" im Netz. Bleibt mir auch nicht viel anderes übrig. Dass ich bisher nichts wirklich eingefangen habe, liegt vielleicht auch an meinem Verhalten als User, ich denke, das ist nicht zu unterschätzen. Wie das jetzt nun zustande gekommen ist, weiß der Geier, ich bin mir noch nicht einmal sicher, dass das nicht schon länger auf dem Rechner war und jetzt erst ans Tageslicht kam, mit dem Kauf von MBAM. TDSSkiller hat das Ergebnis ja auch nicht als hochgefährlich eingestuft. Das bedeutet nicht, dass ich das verharmlosen möchte, bestimmt nicht!

Ist es OK, wenn ich lediglich den letzten Absatz des Logfile poste?

Hier der Scan mit den Bösewichtern:
Und hier der Scan nach der "Vernichtung":
Was verbirgt sich hinter "DlProtectSvc" und "spiitupd" überhaupt?

"DlProtectSvc" scheint irgendwas zu sein, was mit Google Chrome zusammenhängt, zu "spiitupd" konnte ich aber rein gar nichts finden. Chrome ist nicht mein Standardbrowser, den verwende ich nur, wenn Safari zu sehr zickt (ich weiß, dass Safari nicht optimal unter Windows läuft). Ich brauche Chrome auch nur, weil ich seit wenigen Wochen über Google Drive Daten austauschen "muss" (das war nicht mein Wunsch :rolleyes: ich halte nix von Daten in 'ner Wolke).

Mit was kann ich denn MBAM sinnvoll ergänzen? Dank Deiner Hinweise kenne ich ja nun schon mal den TDSSkiller, aber vielleicht kannst Du mir noch zusätzlich etwas raten?
Jedenfalls ein riesengroßes :dankeschoen: für Deine Hilfe!

Gehört zur Download Protect Adware.


Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
  Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es eine Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Bin ein braves Mädchen - ausnahmsweise mal - hier kommt der Logfile von ComboFix:
Und? Was will uns das sagen?
:kaffee: ich geh jetzt mal zu meiner Espressomaschine . . .

Wir haben noch Arbeit :)

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

und ein frisches FRST log bitte.