Trojaner-Board - Win10 adware/hijacking probleme

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Win10 adware/hijacking probleme (https://www.trojaner-board.de/183472-win10-adware-hijacking-probleme.html)

Win10 adware/hijacking probleme

Guten Tag,

ich habe das Problem, dass ich bei der Suchfunktion in meinem Internetbrowser ständig weitergeleitet werde auf z.B. hxxp://mystart4.dealwifi.com oder trotux.
Zur Lösung des Problems habe ich zuerst die software spyhunter verwendet, jedoch später erfahren, dass dies wohl keine kluge Entscheidung war, weshalb ich diese auch wieder entfernt habe.
Anschließend habe ich eine hier gepostete anleitung befolgt und zwar folgendermaßen:
-browser bereinigt
-Malwarebytes Anti-Malware
-Adw-cleaner
-Junkware removal tool
-shortcut cleaner
-Eset online scanner
-OTHelper
Zwar wurden mehrere Bedrohungen eliminiert, das Problem besteht jedoch nach wie vor. Auch malwarebytes erkennt immer wieder aufs neue die Bedrohung PUP.Optional.Trotux.
Nachdem meine Bemühungen nur teilweise erfolgreich waren, hoffe ich, dass mir hier geholfen werden kann.
Logfiles sind angehängt (FRST/Addition, Malwarebytes)
Vielen Dank

Manuel Müller

:hallo:

Ich habe dein Thema in Arbeit und melde mich so schnell als möglich mit weiteren Anweisungen.

Bitte beachte, dass alle meine Antworten zuerst von einem Ausbilder freigegeben werden müssen, bevor ich diese hier posten darf. Dies garantiert, dass Du Hilfe von einem ausgebildeten Helfer bekommst.

Ich bedanke mich für deine Geduld :)

:hallo:

Mein Name ist Ruth und ich werde dir bei der Bereinigung deines Systems helfen. :daumenhoc

Bitte beachte, dass jede meiner Antworten erst durch einen Ausbilder freigegeben werden muss. Ich bitte um Verständnis für mögliche Verzögerungen. Ich bemühe mich jedoch, spätestens nach 24 Stunden zu antworten.
Bitte befolge meine Anweisungen, bis ich dich als *clean* entlasse.
Nicht unaufgefordert Programme installieren und deinstallieren.
Keine Online-Geschäfte machen und überhaupt deine Online-Aktivitäten möglichst begrenzen.

Zuerst benutze bitte noch einmal ADWCleaner und zeig das Logfile:

Schritt 1: ADWCleaner
Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

hallo ruth,

zuerst möchte ich mich für die schnelle Behandlung meines Problems bedanken.
Nachdem ich AdwCleaner mit den angegebenen Einstellungen durchgeführt habe, wurden Bedrohungen erkannt und gelöscht (log datei angehängt).
Das Browser-Problem mit mystart4.dealwifi ist jedoch leider noch nicht gelöst.

Danke nochmals

Schritt 1: Scan mit HitmanPro
Downloade dir die passende Version von HitmanPro auf deinen Desktop: HitmanPro - 32 Bit | HitmanPro - 64 Bit.

Starte die HitmanPro.exe
Klicke auf
Entferne den Haken bei
Klicke auf
und
Akzeptiere die Lizenzbedingungen und klicke auf
Klicke auf

und auf
Wenn der Scan beendet wurde, nichts löschen lassen etc. sondern wähle unten links auf der Button-Leiste
und speichere die Logdatei auf Deinem Desktop.
Schließe HitmanPro und poste mir das Log.

Hier die verlangte log datei

Poste bitte in Zukunft die Logs nicht als Anhang, sondern direkt in den Thread in Code-Tags. Dafür das #-Symbol in der Formatierungsleiste über dem Antwortfeld klicken, dann:

Code:

[CODE] hierher den gesamten Inhalt des Logfiles kopieren [/CODE]

Schritt 1: Registry mit FRST durchsuchen

Starte noch einmal FRST.
Kopiere folgendes ins Textfeld:

Code:

trotux;mysearch
Klicke auf Registry-Suche.
Die Logdatei wird nun erstellt und befindet sich danach auf deinem Desktop.
Poste mir die SearchReg.txt in deinem Thread.

Farbar Recovery Scan Tool (x64) Version: 07-12-2016
durchgeführt von manu (14-12-2016 15:02:31)
Gestartet von C:\Users\manu\Downloads
Start-Modus: Normal

================== Registry-Suche: "trotux;mysearch" ===========

===================== Suchergebnis für "trotux" ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft]
"help"="hxxp://www.trotux.com/?z=dfb31d56eec9bd11c1e772dg1z9bdgfzdwcb4g8e1c&from=isr&uid=SAMSUNGXMZYTY256HDHP-000L2_S30XNY0HA21964&type=hp"

====== Ende von Suche ======

Schön, dass du das Log in den Thread gepostet hast, aber nächstes Mal bitte noch die Code-Tags darum herum nicht vergessen.
Wenn bei dir keine erscheinen, wenn du auf die Raute in der Formatierungsleiste (rechts neben dem Youtube-Symbol) klickst, kannst du dir auch hier welche kopieren: [CODE] [/CODE]

Schritt 1: FRST-Fix
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

closeprocesses:

C:\Users\manu\AppData\Roaming\Profiles\Genyhibersh.default

reg: reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft /v help /f

reg: reg delete HKU\S-1-5-21-873420373-4254555468-309811025-1001\SOFTWARE\IM\ /f

folder: C:\ProgramData\Avira

folder: C:\ProgramData\Avg

folder: C:\ProgramData\AVAST Software

folder: C:\Users\manu\AppData\Roaming\Vheward

folder: C:\Users\manu\AppData\Local\Qunoleuqish

2016-12-11 13:09 - 2016-12-11 13:09 - 00000000 ____D C:\ProgramData\Avira

2016-12-11 13:09 - 2016-12-11 13:09 - 00000000 ____D C:\ProgramData\Avg

2016-12-11 13:09 - 2016-12-11 13:09 - 00000000 ____D C:\ProgramData\AVAST Software

2016-12-11 13:08 - 2016-12-12 00:31 - 00000000 ____D C:\Users\manu\AppData\Roaming\Vheward

2016-12-11 13:08 - 2016-12-11 13:08 - 00000000 ____D C:\Users\manu\AppData\Local\Qunoleuqish

emptytemp:

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

Starte nun FRST erneut und klicke den Entfernen Button.
Das Tool erstellt eine Fixlog.txt.
Poste mir deren Inhalt.

Schritt 2: neues FRST-Log

Starte noch einmal FRST.
Klicke auf Untersuchen.
Die Logdatei wird nun erstellt und befindet sich danach auf deinem Desktop.
Poste mir die FRST.txt in deinem Thread.

Treten die Weiterleitungen noch auf?

Code:

Entferungsergebnis von Farbar Recovery Scan Tool (x64) Version: 07-12-2016

durchgeführt von manu (14-12-2016 21:25:10) Run:1

Gestartet von C:\Users\manu\Downloads

Geladene Profile: manu (Verfügbare Profile: manu)

Start-Modus: Normal

==============================================
 

fixlist Inhalt:

*****************

closeprocesses:

C:\Users\manu\AppData\Roaming\Profiles\Genyhibersh.default

reg: reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft /v help /f

reg: reg delete HKU\S-1-5-21-873420373-4254555468-309811025-1001\SOFTWARE\IM\ /f

folder: C:\ProgramData\Avira

folder: C:\ProgramData\Avg

folder: C:\ProgramData\AVAST Software

folder: C:\Users\manu\AppData\Roaming\Vheward

folder: C:\Users\manu\AppData\Local\Qunoleuqish

2016-12-11 13:09 - 2016-12-11 13:09 - 00000000 ____D C:\ProgramData\Avira

2016-12-11 13:09 - 2016-12-11 13:09 - 00000000 ____D C:\ProgramData\Avg

2016-12-11 13:09 - 2016-12-11 13:09 - 00000000 ____D C:\ProgramData\AVAST Software

2016-12-11 13:08 - 2016-12-12 00:31 - 00000000 ____D C:\Users\manu\AppData\Roaming\Vheward

2016-12-11 13:08 - 2016-12-11 13:08 - 00000000 ____D C:\Users\manu\AppData\Local\Qunoleuqish

emptytemp:

*****************
 

Prozess erfolgreich geschlossen.

C:\Users\manu\AppData\Roaming\Profiles\Genyhibersh.default => erfolgreich verschoben
 

========= reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft /v help /f =========
 

Der Vorgang wurde erfolgreich beendet.
 
 
 

========= Ende von Reg: =========
 
 

========= reg delete HKU\S-1-5-21-873420373-4254555468-309811025-1001\SOFTWARE\IM\ /f =========
 

Der Vorgang wurde erfolgreich beendet.
 
 
 

========= Ende von Reg: =========
 
 

========================= folder: C:\ProgramData\Avira ========================
 

2016-12-11 13:09 - 2016-12-11 13:09 - 0000000 ____D () C:\ProgramData\Avira\AntiVir Desktop

2016-12-11 13:09 - 2016-12-11 13:09 - 0000000 ____D () C:\ProgramData\Avira\AntiVir Desktop\CONFIG

2016-12-11 13:09 - 2016-12-11 13:09 - 0000494 _____ () C:\ProgramData\Avira\AntiVir Desktop\CONFIG\AVWIN.INI

2016-12-11 13:09 - 2016-12-11 13:09 - 0000000 ____D () C:\ProgramData\Avira\Antivirus

2016-12-11 13:09 - 2016-12-11 13:09 - 0000000 ____D () C:\ProgramData\Avira\Antivirus\CONFIG

2016-12-11 13:09 - 2016-12-11 13:09 - 0000494 _____ () C:\ProgramData\Avira\Antivirus\CONFIG\AVWIN.INI
 

====== Ende von Folder: ======
 
 

========================= folder: C:\ProgramData\Avg ========================
 

2016-12-11 13:09 - 2016-12-11 13:09 - 0000000 ____D () C:\ProgramData\Avg\AV

2016-12-11 13:09 - 2016-12-11 13:09 - 0000000 ____D () C:\ProgramData\Avg\AV\DB

2016-12-11 13:09 - 2016-12-11 13:09 - 0020480 _____ () C:\ProgramData\Avg\AV\DB\exceptions.dat
 

====== Ende von Folder: ======
 
 

========================= folder: C:\ProgramData\AVAST Software ========================
 

2016-12-11 13:09 - 2016-12-11 13:09 - 0000000 ____D () C:\ProgramData\AVAST Software\Avast

2016-12-11 13:09 - 2016-12-11 13:09 - 0000288 _____ () C:\ProgramData\AVAST Software\Avast\exclusions.ini
 

====== Ende von Folder: ======
 
 

========================= folder: C:\Users\manu\AppData\Roaming\Vheward ========================
 
 

====== Ende von Folder: ======
 
 

========================= folder: C:\Users\manu\AppData\Local\Qunoleuqish ========================
 
 

====== Ende von Folder: ======
 

C:\ProgramData\Avira => erfolgreich verschoben

C:\ProgramData\Avg => erfolgreich verschoben

C:\ProgramData\AVAST Software => erfolgreich verschoben

C:\Users\manu\AppData\Roaming\Vheward => erfolgreich verschoben

C:\Users\manu\AppData\Local\Qunoleuqish => erfolgreich verschoben
 

=========== EmptyTemp: ==========
 

BITS transfer queue => 1960848 B

DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 13083267 B

Java, Flash, Steam htmlcache => 1073 B

Windows/system/drivers => 2174001 B

Edge => 209814623 B

Chrome => 0 B

Firefox => 381865739 B

Opera => 0 B
 

Temp, IE cache, history, cookies, recent:

Default => 0 B

Users => 0 B

ProgramData => 0 B

Public => 0 B

systemprofile => 0 B

systemprofile32 => 0 B

LocalService => 17856 B

NetworkService => 1788 B

manu => 36424464 B
 

RecycleBin => 0 B

EmptyTemp: => 615.4 MB temporäre Dateien entfernt.
 

================================
 
 

Das System musste neu gestartet werden.
 

==== Ende von Fixlog 21:25:19 ====

FRST.text angehängt, da zu lang

ich habe vergessen mitzuteilen, dass die Weiterleitung auf hxxp://mystart4.dealwifi.com immer noch auftritt

Gut gemacht mit den Code-Tags! :daumenhoc

Und ich habe bei der FRST-Suche einen Fehler gemacht. Noch mal bitte:

Schritt 1: Registry durchsuchen mit FRST

Starte noch einmal FRST.
Kopiere folgendes ins Textfeld:

Code:

mystart
Klicke auf Registry-Suche.
Die Logdatei wird nun erstellt und befindet sich danach auf deinem Desktop.
Poste mir die SearchReg.txt in deinem Thread.

Nachdem mein PC heute hochgefahren ist, hat sich ein Microsoft tool zum Entfernen bösartiger software geöffnet, welches ich verneint habe. Dies geschah zum ersten mal. Ich weiss nicht ob es relevant ist, daher berichte ich einfach mal davon.

Code:

 Farbar Recovery Scan Tool (x64) Version: 07-12-2016

durchgeführt von manu (15-12-2016 12:42:21)

Gestartet von C:\Users\manu\Downloads

Start-Modus: Normal
 

================== Registry-Suche: "mystart" ===========
 
 

====== Ende von Suche ======

Tritt das Problem nur im Friefox auf?

Direkt beim Start oder später beim Surfen oder beides?

Im Hilfemenü des Firefox findest du außerdem die Möglichkeit, ihn im "abgesicherten Modus", d.h. ohne Add-ons, zu starten. Probier das mal aus. Tritt das Problem da auch auf?

Ansonsten sichere deine Lesezeichen, und

Schritt 1: Firefox löschen und neu installieren
Lade Dir bitte von hier

Revo Uninstaller (alternativ portable Revo Uninstaller) herunter.

Installiere und starte das Programm. (Bebilderte Anleitung zu Revo Uninstaller)
Klicke auf Optionen und wähle als Sprache Deutsch.
Suche im Uninstallerfeld nach den Programmen:
Mozilla Firefox
Wähle die Programme nacheinander aus und klicke jedes Mal auf Uninstall.
Wähle anschließend den Modus "Moderat" aus.
Reste löschen:
Klicke auf dann auf und dann auf .

Lade Firefox anschließend neu von https://www.mozilla.org/de/ herunter und installiere es neu.

Das Problem tritt nur auf Firefox auf und zwar sobald ich die Suchfunktion benutze.
Ich habe nun Firefox mit revo uninstaller gelöscht, konnte jedoch den Modus "moderat" nicht finden :stirn:
Nachdem ich Firefox neu installiert habe, trat das Problem immer noch auf.
Als ich mir zufällig die Sucheinstellungen angesehen habe, ist mir aufgefallen, dass hier trotux eingestellt war, was ich nun entfernt habe. Könnte dies die Ursache gewesen sein?
Die Suchfunktion lässt sich nun wieder ohne Weiterleitung benutzen.
Kann ich meinen PC nun wieder ruhigen Gewissens nutzen?

Hundertprozentige Sicherheit gibt es nie, diese Adware hatte sich ja auch gut versteckt.
Wenn du willst, kannst du ja noch mal Firefox mit Revo entfernen und diesmal auch "untersuchen" und die Reste "löschen". Moderat ist voreingestellt.
Dann sind aber auch deine gewollten Einstellungen im Firefox weg und nötig ist es eigentlich nicht.
Zu sehen ist da nichts mehr.

Wenn du keine weiteren Probleme hast. sind wir hier fertig! Deine Logs sind sauber!

Schritt 1: Aufräumen
Die Reihenfolge ist hier entscheidend.

Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
- Windowstaste + R > Combofix /Uninstall (eingeben) > OK
- Alternative: Combofix.exe in uninstall.exe umbenennen und starten
- Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
Downloade Dir bitte auf jeden Fall DelFix auf deinen Desktop:
- Schließe alle offenen Programme.
- Starte die delfix.exe mit einem Doppelklick.
- Setze vor jede Funktion ein Häkchen.
- Klicke auf Start.
- Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
- Starte deinen Rechner abschließend neu.
Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

Abschluss: Tipps

*** Antivirus ***

Auf deinem System sollte immer ein Antivirenprogramm mit Hintergrundwächter laufen (mehrere würden sich gegenseitig bekämpfen!).

Wenn du kein Geld dafür ausgeben willst, kannst du einfach Microsoft Security Essentials bzw. Windows Defender benutzen.

Wenn du bereit bist, etwas zu bezahlen, wäre z.B. Emsisoft eine gute Wahl (25% Rabatt für TB-User)

Bedenke aber, dass ein AV-Programm niemals 100% Schutz bietet!
*** Browser ***
- Für sicheres und angenehmes Surfen probiere mal Werbe- und/oder Skriptblocker aus. Als Werbeblocker ist U-Block Origin (für Chrome / für Firefox) effektiv und unaufdringlich.
- Surfe keine illegalen und unseriösen Seiten an, klicke nicht auf Werbelinks.
- Sei vorsichtig mit dem, was du dir aus dem Internet herunterlädst. Ich kenne nur ein sauberes Portal: FilePony. Chip, Softonic und sogar Sourcforge packen in ihren Downloadern Adware dazu. Am besten, du lädst die Software direkt von der Herstellerseite.
  Passe aber trotzdem auf: Manchmal packt auch der Hersteller Adware oder unerwünschte kostenlose Zusatzprogramme mit dazu. Wähle immer die benutzerdefinierte Installation und wähle alles ab, was du nicht brauchst.
*** Mail ***

Öffne E-Mail-Anhänge am besten nur nach Rücksprache mit dem Absender. Alles andere kannst du gleich löschen oder, wenn du neugierig bist, lässt du es eine Woche liegen (ohne Öffnen, wohlgemerkt) und lässt es dann (immer noch ungeöffnet) bei virustotal.com überprüfen. Dort kannst du übrigens auch Downloads prüfen.

Klicke auch nicht auf einen Link in einer Mail, von der du nicht absolut sicher bist, wer der wirkliche Absender ist. Ignoriere angebliche Warnungen von Dienstleistern, bei denen du ein Online-Konto hast und angeblich deine Zugangsdaten neu eingeben musst. Diese Masche nennt sich "Phishing" und wird von Betrügern benutzt, um dein Passwort zu bekommen.
*** Updates ***

Halte dein System immer auf dem neuesten Stand. Es werden ständig Sicherheitslücken im System und in Programmen gefunden und geschlossen. Besonders wichtig sind:
- Windows selbst. Spiele zeitnah alle Updates und Servicepacks ein.
- Natürlich das Antivirenprogramm.
- Dein Browser.
- Der Internet Explorer, auch wenn du nicht damit surfst. Er wird vom System benutzt.
Und noch drei Programme, bei denen du auch sehr auf die Aktualität aufpassen musst oder aber auch gucken kannst, ob du ohne auskommst:
- Java wird heute nur noch selten benötigt. Auch das Java-Plugin im Browser sollte immer deaktiviert sein. Du wirst sehen, JavaScript funktioniert trotzdem!
- Adobe Reader sollte möglichst durch andere PDF-Betrachter wie PDF-XChange Viewer - Download - Filepony ersetzt werden.
- Adobe Flash Player Plugin. Wenn du Google Chrome als Browser nutzt, hast du das Problem nicht. YouTube-Videos lassen sich auch sonst mit HTML5 abspielen.
*** Sonstiges ***
- Benutze keine Registry-Cleaner. Das ist riskant und bringt nichts.
- Installiere dir grundsätzlich nur die Programme, die du wirklich brauchst bzw. benutzen möchtest. Nicht alles, wofür geworben wird.

Wenn du keine konkreten Fragen dazu mehr hast, wünsche ich dir noch ein angenehmes und malwarefreies Surfen!
Du kannst uns noch etwas spenden oder hier Lob oder Kritik äußern. Andere Fragen sind in den entsprechenden Forenbereichen immer willkommen.