www1.online als Suchmaschine in der URL Zeile
 

Hallo,
es gibt ja schon zahlreiche Themen dazu, aber ich habe trotzdem noch nicht geschafft das Problem zu lösen.
Wenn ich in der URL Zeile etwas eintippe, wird nicht (wie eingestellt) mit google gesucht sondern über www1.oline mit bing.

Ich habe den Pfad mit der Verknüpfung schon umbenannt und das www1.online entfernt.
OpenOffice Updater und alles was mir "unbekannt" erschien in der Systemsteuerung gelöscht.

ADWCleaner ausgeführt. Log Datei hänge ich an.
Leider ist es Problem noch nicht verschwunden.
Könnt ihr mir nochmal helfen?
Vielen Dank!

:hallo:



Mein Name ist Matthias und ich werde dir bei der Analyse und Bereinigung deines Systems helfen.



Schritt 1
Bitte lade dir die passende Version von Farbar Recovery Scan Tool (FRST) auf deinen Desktop: FRST 32-Bit | FRST 64-Bit

• Starte FRST.
• Solltest du die Meldung "Der Computer wurde durch Windows geschützt" erhalten, klicke auf Weitere Informationen und dann auf Trotzdem ausführen.
• Klicke auf Ja, um fortzufahren.
• Klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach im selben Verzeichnis wie FRST.
• Poste uns die zwei Logdateien ( FRST.txt und Addition.txt ) in deinem Thema.

Vielen Dank für deine Mitarbeit!

ok danke

ok danke!

und Addition.txt:

Existiert das Problem nur mit Google Chrome?


Wir beginnen mit MBAM und FRST.






Schritt 1
Führe Malwarebytes' AntiMalware (MBAM) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 2
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Skript ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System verwendet werden!

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box wie folgt:
  Markiere den gesamten Inhalt der folgenden Code-Box mit der Maus und kopiere ihn (gleichzeitiges Drücken der beiden Tasten "STRG" + "C"):
  
  Code:

  ---

  Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
SearchScopes: HKU\S-1-5-21-2229023930-3537835345-446475262-1001 -> DefaultScope {11C16752-F1D7-41C6-AE17-8CF758F1E07A} URL =
SearchScopes: HKU\S-1-5-21-2229023930-3537835345-446475262-1001 -> {11C16752-F1D7-41C6-AE17-8CF758F1E07A} URL =
AlternateDataStreams: C:\Users\aweni\Downloads\adwcleaner.exe:BDU [0]
AlternateDataStreams: C:\Users\aweni\Downloads\ar_tbtdockfw10.exe:BDU [0]
AlternateDataStreams: C:\Users\aweni\Downloads\dockmanagersetup_1.5.0.6.exe:BDU [0]
AlternateDataStreams: C:\Users\aweni\Downloads\FRST64.exe:BDU [0]
AlternateDataStreams: C:\Users\aweni\Downloads\Nicht bestätigt 716295.crdownload:BDU [0]
HKU\S-1-5-21-2229023930-3537835345-446475262-1001\...\Run: [TomTomHOME.exe] => "C:\Program Files (x86)\TomTom HOME 2\TomTomHOMERunner.exe" (Keine Datei)
HKU\S-1-5-21-2229023930-3537835345-446475262-1001\...\Run: [org.whispersystems.signal-desktop] => C:\Users\aweni\AppData\Local\Programs\signal-desktop\Signal.exe --start-in-tray (Keine Datei)
HKLM\Software\...\Authentication\Credential Providers: [{C885AA15-1764-4293-B82A-0586ADD46B35}] ->
GroupPolicy: Beschränkung ? <==== ACHTUNG
Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
Task: {395C0F75-61EC-4D9C-9D2C-E171325FA1A4} - \Lenovo\ImController\TimeBasedEvents\9c5a7e64-a64b-4bcb-b02e-3b4fab1455c9 -> Keine Datei <==== ACHTUNG
Task: {45547A02-3CF4-410E-B671-E9DEA5D412CD} - \Lenovo\ImController\TimeBasedEvents\36af35be-0809-404e-9976-cd294e367739 -> Keine Datei <==== ACHTUNG
Task: {4689AF8D-5A12-4D14-AB33-FCA0F790EF48} - \Lenovo\ImController\Lenovo iM Controller Monitor -> Keine Datei <==== ACHTUNG
Task: {B3840F43-43FB-4AF9-AEE2-2F4FFECC01DB} - \Lenovo\ImController\Lenovo iM Controller Scheduled Maintenance -> Keine Datei <==== ACHTUNG
Task: {CD836BAE-D1AD-4902-BB40-3EF98A58FDD4} - \Lenovo\ImController\Plugins\LenovoSystemUpdatePlugin_WeeklyTask -> Keine Datei <==== ACHTUNG
Task: {D53857C6-A7F0-4302-8651-77298C3356E8} - \Lenovo\ImController\TimeBasedEvents\9d118b17-6e5c-40a6-b56a-919a7df0a333 -> Keine Datei <==== ACHTUNG
Task: {DE72DEF1-DCE6-4995-8C7A-8D5E7D1EDE1A} - \Lenovo\ImController\TimeBasedEvents\d72c0e31-05d4-4b6e-a23f-44a86effc361 -> Keine Datei <==== ACHTUNG
Task: {CDA2E26B-760A-4CBE-82D0-AB30F97E91FA} - System32\Tasks\Lenovo Power Management Driver PnP Task => C:\WINDOWS\System32\ibmpmsvc.exe  -PnPTask (Keine Datei)
Task: {C883609A-36F9-49E3-910F-0C3E04604860} - System32\Tasks\Lenovo\Power Manager\Background monitor => "C:\WINDOWS\SysWOW64\Lenovo\PowerMgr\PowerMgr.exe"  (Keine Datei)
Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => %SystemRoot%\System32\MbaeParserTask.exe  (Keine Datei)
Task: {C7BCC6BD-E243-456A-9C01-65251A0A651A} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\MusUx_LogonUpdateResults => %systemroot%\system32\MusNotification.exe  LogonUpdateResults (Keine Datei)
Task: {3EFBA9D3-AF6D-4BE9-8B15-7EA17BC4811D} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\MusUx_UpdateInterval => %systemroot%\system32\MusNotification.exe  Display (Keine Datei)
Task: {6ECC17BA-2F21-4D1D-A937-AF5B7E29ED7A} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot => %systemroot%\system32\MusNotification.exe  ReadyToReboot (Keine Datei)
Task: {CE38802E-B4DB-4990-A37A-04F96C4CD7B4} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_AC => %systemroot%\system32\MusNotification.exe  /RunOnAC ReadyToReboot (Keine Datei)
Task: {1FCBC736-1FBC-46B4-94C3-9F88F3FE7A9B} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_Battery => %systemroot%\system32\MusNotification.exe  /RunOnBattery ReadyToReboot (Keine Datei)
Task: {D2974240-5CCB-46D7-BEF3-4BA58D135BEA} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_Broker_Display => %systemroot%\system32\MusNotification.exe  Display (Keine Datei)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Keine Datei)
Task: {972F90C9-6098-43C3-AF93-4F3D63A46AF0} - System32\Tasks\OneDrive Standalone Update Task v2 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  (Keine Datei)
FF Extension: (Kein Name) - C:\Program Files (x86)\TomTom HOME 2\xul\extensions\MapShare-status@tomtom.com [nicht gefunden]
CHR Notifications: Default -> hxxps://aktienfinder.net; hxxps://bfriends.brigitte.de; hxxps://bundesliga-streams.net; hxxps://captcharesolving-universe.com; hxxps://chris-schwarz.de; hxxps://community.ftmo.com; hxxps://filmora.wondershare.de; hxxps://filmora.wondershare.net; hxxps://filmstock.wondershare.de; hxxps://forum.chartsekte.de; hxxps://go.guidants.com; hxxps://install.video-browse.com; hxxps://install.videoconverterz.com; hxxps://iztube.ru; hxxps://mashable.com; hxxps://pushame.com; hxxps://smallseotools.com; hxxps://techtest.org; hxxps://terminal.stock3.com; hxxps://traderfox.com; hxxps://trading.boerse-stuttgart.de; hxxps://tradingdesk.finanzen.net; hxxps://web.telegram.org; hxxps://web.whatsapp.com; hxxps://www.4investors.de; hxxps://www.aerzteblatt.de; hxxps://www.alleaktien.de; hxxps://www.ariva.de; hxxps://www.auto-motor-und-sport.de; hxxps://www.autoscout24.de; hxxps://www.bhphotovideo.com; hxxps://www.boerse-online.de; hxxps://www.brokerdeal.de; hxxps://www.businessinsider.de; hxxps://www.conrad.de; hxxps://www.emtbforums.com; hxxps://www.evernote.com; hxxps://www.facebook.com; hxxps://www.finanznachrichten.de; hxxps://www.fitforfun.de; hxxps://www.glamourlux.de; hxxps://www.goldesel.trade; hxxps://www.hna.de; hxxps://www.instagram.com; hxxps://www.insuedthueringen.de; hxxps://www.interactivebrokers.co.uk; hxxps://www.kuehlschrank.com; hxxps://www.lecker.de; hxxps://www.lenovo.com; hxxps://www.lieferando.de; hxxps://www.maisonsdumonde.com; hxxps://www.meinprospekt.de; hxxps://www.merkur.de; hxxps://www.morgenpost.de; hxxps://www.pcwelt.de; hxxps://www.pinterest.de; hxxps://www.sat1.de; hxxps://www.tomtom.com; hxxps://www.tradingview.com; hxxps://www.tvspielfilm.de; hxxps://www.wetteronline.de; hxxps://www.youtube.com; hxxps://www.youtubnow.com
S2 ImControllerService; %SystemRoot%\Lenovo\ImController\Service\Lenovo.Modern.ImController.exe [X]
S3 FocusriteUSB_AUDIO; \SystemRoot\system32\drivers\FocusriteUSBAudio.sys [X]
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh winhttp reset proxy
CMD: Bitsadmin /Reset /Allusers
CMD: Winmgmt /salvagerepository
CMD: Winmgmt /verifyrepository
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
Hosts:
RemoveProxy:
EmptyTemp:
End::

  ---

• Starte nun FRST und klicke direkt auf den Button Reparieren.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  
  
• Wichtig:
  • Bitte gedulde dich, sobald du die Reparatur gestartet hast. Je nach Art und Umfang der notwendigen Reparaturen kann dies einige Minuten dauern.
    Eventuell erhältst du während der Reparatur auch die Information "keine Rückmeldung" von FRST. Das ist normal, du musst nichts weiter tun, nur warten.
  • Mit dieser Reparatur werden alle temporären Dateien/Browserdaten sowie der Papierkorb gelöscht.
  • Mit dieser Reparatur werden die Windows Firewall-Einstellungen zurückgesetzt. Du wirst möglicherweise später aufgefordert, legitimen Programmen eine Erlaubnis/Ausnahme für die Firewall zu erteilen. Dies solltest du dann erlauben/zulassen.
  
  
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Ja, das Problem besteht nur bei Chrome.

MBAM.txt von Schritt 1:

Fixlog.txt aus Schritt 2:

heute morgen hat Malwarebytes automatisch wieder einen Test gemacht und wieder 14 Sachen gefunden, obwohl er gestern abend eigentlich schon alles in die Quarantäne verschoben hat!

Du nutzt die Syncronisation von Google Chrome, oder? Und genau hier liegt das "Problem".



Die Syncronisierung von Google Chrome verhindert, dass die Adware vollständig entfernt werden kann. ;)






Schritt 1

• Starte Google Chrome.
• Klicke rechts oben im Profil auf Synchronisation ist aktiviert.
• Klicke anschließend auf Deaktivieren und bestätige nochmals mit Deaktivieren.
• Melde dich in deinem Google Dashboard an.
• Klicke auf Daten löschen und bestätige dies mit Ok. Mit diesem Schritt werden die Daten von den Google-Servern entfernt.
• Melde dich von deinem Google Konto ab.
• Schließe Google Chrome.
• Die Synchronisation musst du nun von jedem anderen Gerät (Computer, Laptop, Tablet, Smartphone, etc.), auf dem du Google Dienste nutzt, deaktivieren, ansonsten kommt die Infektion zurück.
• Erst wenn das alles erledigt ist, kannst du mit dem nächsten Schritt fortfahren.

Schritt 2

• Deinstalliere Google Chrome über Start > Einstellungen > Apps.
• Setze bei der Deinstallation auch einen Haken vor Auch die Browserdaten löschen.
• Starte den Rechner im Anschluss neu auf.
• Installiere Google Chrome neu (falls benötigt). Vorerst keine Erweiterungen/Plugins installieren und nicht mit einem evtl. vorhandenen Konto verbinden/synchronisieren.

Schritt 3

• Starte die FRST.exe erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort

• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

FRST.txt

Addition.txt:

Ich habe die Synchronisierung am PC abgestellt und FRST erneut gemacht.
Ich bin mir aber nicht sicher ob ich die Synchronisierung am Handy auch komplett abgestellt habe.

Du hast die Syncronisierung deaktiviert, alle Daten vom Server entfernt, Chrome komplett deinstalliert und neu installiert und dann FRST ausgeführt, also alles genau so gemacht wie beschrieben?


Führe einen neuen Suchlauf mit MBAM durch, dann sehen wir gleich was Sache ist.

Ok, habe nochmal gescannt, er hat keine Funde.
Es scheint weg zu sein.

Ich melde mich jetzt mal wieder mit dem Browser beim Google Konto an und aktiviere wieder die Synchronisierung. Hoffenltich kommt es dann nicht zurück. Sonst sag ich nochmal bescheid.

Vielen Dank für die Hilfe!

Das sind ja gute Nachrichten.




Schritt 1
Führe SecurityCheck (SC) gemäß der bebilderten Anleitung aus und füge die Logdatei als Anhang hinzu.

ok danke.

Sind wir dann fertig und es ist alles in Ordnung?

Wir sind fast fertig.

Zum Abschluss bitte noch die folgenden Punkte abarbeiten. :)







Schritt 1
Die folgenden Programme sind veraltet. Du solltest sie deinstallieren und die neueste Version installieren.
Die Downloadlinks dazu findest du in der Logdatei von SecurityCheck.

• Git
• Notepad++
• LibreOffice
• GitHub Desktop
• Microsoft Visual Studio
• Discord
• Zoom
• Adobe Creative Cloud
• Mozilla Thunderbird

Entfernung der verwendeten Tools
Führe KpRm gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc

Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:
Vielleicht möchtest du das Forum mit einer kleinen Spende https://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:





Zum Schluss bitte unbedingt die Sicherheitsmaßnahmen lesen und umsetzen:



Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Alles klar vielen Dank.

Alles erfolgreich, Malware weg.

Vielen lieben Dank für deine hilfe, du kannst das Thema aus deinen Abos löschen!