Windows 7/Firefox: Trojaner DNSChanger? Weiterleitung/PopUps
 

Hallo lieber Trojaner-Board Betreiber,

es sieht so aus, als hätte ich mir einen Trojaner eingefangen. Seit heute tauchen PopUps auf Seiten auf, auf denen vorher keine waren (AdBlock Plus läuft), zum Teil werde ich auf fragwürdige Seiten weitergeleitet. Malware sagt: DNSChanger
Ich versuche gerade, Farbar's Recovery Scan Tool runterzuladen, klappt aber aufgrund der ständigen PopUps gerade nicht. Ich versuche es gleich nochmal. Hier erstmal das Scanprotokoll von Malwarebytes:

Und das Log von Avira:

Ich versuche jetzt noch einmal, Farbar zu installieren. Ich bin übrigens das zweite Mal in eurem Forum, vor drei Jahren war ich auf eine Phishingmail reingefallen. Da habt ihr mir schon sehr geholfen! Nachdem ich nun lange Linux genutzt habe, machen sich nun gerade die Nachteile von Microsoft wieder bemerkbar. Ich würde mich sehr freuen, wenn ihr mir helfen würdet!

Edit: Sieht so aus, als ob ich Farbar nicht runterladen kann. Ständig poppt ein "DNSUnlocker" auf, der mir seine "Hilfe" bei der Suche nach dem Programm anbietet. Oh je, ich fürchte, Hilfe brauche ich wirklich.

Viele Grüße
Katharina

:hallo:

Mein Name ist Dennis und ich werde dir bei der Bereinigung helfen.

Bitte beachte, dass es ein paar Regeln gibt:

• Bitte lies meine Posts komplett durch bevor du sie abarbeitest
• Wenn ein Problem auftauchen sollte, unterbreche deine Arbeit, poste die entstandenen Logs und schildere dieses so genau wie möglich.
• Bitte kein Crossposting
• Installiere oder Deinstalliere keine Software ohne Aufforderung
• Bitte verwende nur die Tools welche hier im Thread erwähnt werden
• Antworte innerhalb von 24h um eine sinnvolle Bereinigung zu ermöglichen
• Poste die Logs immer in CODE-Tags (#-Button), zur Not die Logs einfach aufteilen

Sollte ich nicht innerhalb von 48h antworten, schreibe mir eine PM!

Posten in CODE-Tags



Kannst du FRST von einem anderen PC aus runterladen und über einen USB-Stick auf den PC draufgeben?

Hallo Dennis,

super, danke!

Ja, das hat funktioniert. Hier die beiden Logs:

Achso, ich hatte FRST jetzt vom Stick aus gestartet, ich hoffe, das ist kein Problem, hab zu spät dran gedacht. Sonst sag nochmal Bescheid!

Danke!!

Hi,

solang die Fixlist im gleichen Ordner wie FRST selbst ist, ist es egal von wo das gestartet wird :)

Schritt # 1: Revo

Lade Dir bitte von hier Revo Uninstaller (alternativ portable Revo Uninstaller) herunter.

• Installiere und starte das Programm. (Bebilderte Anleitung zu Revo Uninstaller)
• Klicke auf Optionen und wähle als Sprache Deutsch.
• Suche im Uninstallerfeld nach den Programmen:
  
  Web Bar 2.0.5749.22382
  Web Companion
  
  
• Wähle die Programme nacheinander aus und klicke jedes Mal auf Uninstall.
• Wähle anschließend den Modus "Moderat" aus.
  
• Reste löschen:
  Klicke auf dann auf und dann auf .

 

Sollte eines der genannten Programme nicht im Revo Uninstaller-Menü auftauchen, dann deinstalliere es ganz normal über die Systemsteuerung.



Schritt # 2: FRST Fix

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Schritt # 3: AdwCleaner

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt # 4: FRST

Bitte noch ein frisches FRST-Log.



Schritt # 5: Bitte Posten

• Das Fixlog von FRST
• Das Log von AdwCleaner
• Das frische FRST-Log

Hi,

hier erstmal die Fixlist, der Rest kommt gleich nach. Eines der beiden Programme konnte ich weder über Revo noch über die Systemsteuerung finden, ich glaube, es war die Web Bar. Der AdwCleaner hat nichts gefunden und hat auch keinen Neustart veranlasst. Ich vermute, weil er nichts gefunden hat, konnte ich auch kein Log finden??

Hier das neue FRST-Log:

Ps: Ich habe im Moment zwei USB-Sticks am Rechner hängen, werden die gerade automatisch mitgecheckt und sind dann "clean", wenn wir hier durch sind?

Achja, und die Probleme, die gestern bestanden (besonders die vielen PopUps bei Filepony), treten soweit ich das sehe jetzt nicht mehr auf!!

Lieben Gruß, Rina

Sorry, ich weiß, dass ich eigentlich nicht auf meine eigenen Posts antworten soll, aber zum Editieren ist es nun zu spät und mir ist gerade folgendes aufgefallen: In anderen Posts zum DNS Changer stand, dass man den Virenscanner deaktivieren solle, bevor man z.B. den AdwCleaner durchlaufen lässt. Das habe ich nicht getan, weil ich es nicht wusste. Soll ich die von Dir genannten Schritte nun noch einmal durchführen und davor Antivir deaktivieren?

Hi,

brauchst du nicht :)

Also die USB-Sticks führen von selber keine Malware aus. Ob irgendwelche infizierten Dateien drauf sind können wir ja mit ESET schauen (wobei wir das sowieso machen :D)

Schritt # 1: FRST-Fix

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Schritt # 2: ESET


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt # 3: Frage

Gibts noch Probleme? :)



Schritt # 4: Bitte Posten

• Das Fixlog von FRST
• Das Log von ESET
• Die Antwort auf meine Frage

Hey Dennis,

danke mal wieder für die schnelle Antwort :)!

Hier erstmal das Fixlog, Rest kommt gleich:

Und das Log von ESET:

Nein, keine Probleme mehr, alles super!! Aber muss ich wegen den beiden Funden von ESET noch was unternehmen? Und gibt es noch was "aufzuräumen"? Ich habe mir auch schon die "Anleitung: Maßnahmen zur Absicherung des Rechners" durchgelesen und werde versuchen, sie in Zukunft zu beherzigen!! Ich weiß, die Frage nach einem guten Antiviren-Programm wird da eigentlich auch schon beantwortet. Hier habe ich jetzt manchmal gelesen, dass Antivir nicht empfohlen wird. Du kannst die Frage natürlich auch einfach ignorieren ;-), wenn Du sie hinfällig findest, oder kannst Du einen Freeware Antivirenscanner empfehlen?

LG!

Sorry, jetzt muss ich doch mal nachhaken. Bin ich jetzt wieder "safe" und kann den Rechner uneingeschränkt nutzen oder gibt es noch etwas zu tun?

Hi,

ich mach das hier in meiner Freizeit, bin noch nicht zum Antworten gekommen ;).

Ja der PC ist clean :). Von meiner Seite aus gibts da eigentlich nix mehr zu tun, zukünftig mit dem Chip-Installer aufpassen, dazu kommt nachher noch genaueres. Freeware AV kannst du getrost Microsoft Security Essentials nehmen, Link ist auch weiter unten drin.


Falls du deine Passwörter nicht regelmäßig änderst - jetzt ist der Zeitpunkt dafür!

Schritt # 1: Entfernen unserer Tools

Die Reihenfolge ist hier entscheidend.

1. Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
2. Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
   • Windowstaste + R > Combofix /Uninstall (eingeben) > OK
   • Alternative: Combofix.exe in uninstall.exe umbenennen und starten
   • Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
3. Downloade Dir bitte auf jeden Fall DelFix auf deinen Desktop:
   • Schließe alle offenen Programme.
   • Starte die delfix.exe mit einem Doppelklick.
   • Setze vor jede Funktion ein Häkchen.
   • Klicke auf Start.
   • Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
   • Starte deinen Rechner abschließend neu.
4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

Abschließend noch ein paar Tipps von mir:

Schritt # 2: Empfohlene Software

Habe immer ein aktuelles Antivirenprogramm deiner Wahl installiert und aktiviere die automatischen Updates (standardmäßig eingeschaltet).

Ich empfehle:

• http://filepony.de/icon/tiny/emsisoft_anti_malware.pngEmsisoft Anti-Malware. (-25% für TB-Mitglieder)
• http://i1366.photobucket.com/albums/...psdnaytr4t.pngMicrosoft Security Essentials (Ab Windows 8 Microsoft Defender)

Verwende nach Möglichkeit nicht den Internet Explorer, da dieser viele Sicherheitslücken enthält. Achte aber darauf, dass er immer up to date bleibt, weil viele Programme diesen zum Anzeigen von Websites benutzen.

Alternativ kannst du verwenden:

• http://filepony.de/icon/tiny/firefox.pngMozilla Firefox
• http://filepony.de/icon/tiny/google_chrome.pngGoogle Chrome

Dazu sind folgende Add-ons empfehlenswert:

http://i1366.photobucket.com/albums/...psgqd3flcy.pnguBlock Origin (Chrome) --> Blockiert Werbung. Werbung kann sehr nervig sein, aber auch auf schädliche Links verweisen. uBlock ist effizienter als der Konkurrent AdblockPlus.
http://filepony.de/icon/tiny/ghostery_chrome.pngGhostery --> Blockiert Tracker und Cookies, welche dich im Internet nachverfolgen können. Stelle jedoch bei der Installation sicher, dass du Ghostrank nicht zustimmst.

Du kannst auch http://filepony.de/icon/tiny/malware...ti_exploit.pngMalwarebytes Anti-Exploit verwenden, um aktuelle Sicherheitslücken zu stopfen.

Halte immer deine Plug-ins und Software aktuell, vor allem:

• Deinen Browser
• http://filepony.de/icon/tiny/flashplayer_firefox.pngFlash Player
• http://filepony.de/icon/tiny/jre_64.pngJava
• http://filepony.de/icon/tiny/adobe_reader.pngPDF Reader

Du kannst diese komfortabel regelmäßig hiermit überprüfen:

PluginCheck
Filehippo App Manager



Schritt # 3: Tipps um eine Neuinfektion zu vermeiden

Downloade nach Möglichkeit immer direkt von der Herstellerseite oder alternativ von einem sauberen Download-Portal wie FilePony.de. Von Downloadern wie die von Chip, Softonic und Sourceforge raten wir ab: CHIP-Installer - was ist das? - Anleitungen

Auch versuchen sich immer mehr Programme durch Installationsroutinen auf den PC "durchzumogeln". Das klappt ganz gut, weil viele Anwender sich diese nicht genau durchlesen und schnell durchklicken. Manchmal steht auch in den Lizenzvereinbarungen, dass ein Programm, was eigentlich als Freeware angepriesen wird, nur genutzt werden kann, wenn man sich bestimmte Toolbars oder andere Programme mitinstallieren lässt.
Da hilft es nur aufmerksam zu sein.

Ein Tool, welches dich dabei gut unterstützen kann, ist: http://filepony.de/icon/tiny/unchecky.pngUnchecky. Dieses überwacht im Hintergrund Installationsprozesse und hakt automatisch nervige Adwarekomponenten wie Toolbars ab. Falls man etwas übersieht, warnt noch ein Pop-up, bevor man fortfahren kann.

Wir raten von jeglichen Optimizern, Cleanern, SpeedUps und Ähnlichem ab, da diese Softwareprodukte meist keinen Performancegewinn bringen. Du kannst jedoch regelmäßig deinen PC mit der windowsinternen Datenträgerbereinigung behandeln.

Überprüfe regelmäßig (mind. 1x pro Monat) deinen PC mit http://filepony.de/icon/tiny/malware...ti_malware.png Malwarebytes Anti-Malware und http://filepony.de/icon/tiny/eset_online_scanner.pngESET.

Falls du dir unsicher bist, ob ein Download wirklich sauber ist, kannst du immer https://www.virustotal.com/ zurate ziehen.



Schritt # 4: Unterstütze uns!

Wenn du uns mit einer kleinen Spende unterstützen möchtest, so kannst du dies hier tun: http://www.trojaner-board.de/79994-s...ndenkonto.html :party:

Es reicht aber auch schon ein simples :dankeschoen: hier, wenn du mit uns zufrieden warst. :)

http://3.bp.blogspot.com/--h4eLCX9kl...ike-symbol.png unsere Facebook-Seite!

Bitte gib mir bescheid, wenn du das alles gelesen hast und alles klar ist, damit ich dieses Thema aus meinen Abos löschen kann.

Hey Dennis,

ich weiß ;-), ich hab mich nur gewundert, weil Du anderen geantwortet hattest... Und ich wegen der beiden Funde von ESET unsicher war. Sorry nochmal :)
Eine letzte Frage habe ich noch, weil Du Passwörter aktualisieren schreibst. Welche genau? Nur die vom Pc oder auch die, die ich in den letzten Tagen im Internet verwendet habe??

Viele Grüße und vielen Dank nochmal :)!!

:dankeschoen:

Man sollte generell alle seine Passwörter regeläßig ändern. Also zumindest alle 6 Monate :)

Okay. Oh je... ;)