BetterSurf und andere Adware
 

Hallo!

Bin wohl auch von dem Addon "BetterSurf 1.0" befallen worden, das laut meinen Recherchen wohl erst seit 1-2 Tagen existiert. Deswegen gab es erst wenige Google-Ergebnisse zu dem Thema, doch sie häufen sich so langsam.

Nun, ich habe den Browser Firefox (während des Befalls Version 25, kurz vorher (?) 24 und seit gerade eben Version 25.0.1), dort hat sich ohne irgendeine Meldung das Addon "BetterSurf 1.0" installiert.
Dadurch hatte ich Werbung, wo keine sein sollte (benutzte Adblock Plus und Disconnect als Trackblocker), und hinter manchen Links war bei einem Mouseover dazu passende Werbung zu sehen.

Was ich vor der Infektion gemacht habe (Installationen usw.), wäre folgendes:
- Update des Battlelog Game Launchers (auf 2.3.1.0) für Battlefield 3 als Firefox-Addon
- Evtl. Updates für das Spiel League of Legends (über einen Launcher)
- Windows Updates (war glaube ich 2 mal, glaube Dienstag und Mittwoch)
- Bei YouTube versucht zu kommentieren und dabei versehentlich den YouTube Account mit Google+ verknüpft, es danach aber wieder entknüpft
EDIT: - Thunderbird installiert und für 4 E-Mail-Adressen eine IMAP-Verbindung eingerichtet EDITENDE

Letzteres habe ich erwähnt, da viele den Verdacht haben, das Problem könnte mit dem neuen YouTube-Kommentarsystem zusammenhängen.


Meine Lösungsversuche:

Habe das Addon deaktiviert, und von Programme (x86) den Ordner BetterSurf gelöscht, das Addon war dadurch weg (nicht nur deaktiviert).

hxxp://webapps.stackexchange.com/questions/51966/bettersurf-extension-is-malware
Diese Quelle hat angeraten, zusätzlich c:\windows\tasks\AmiUpdXp.job (oder war es Endung .js?) und appdata/local/SwvUpdater zu löschen, das habe ich getan.

Vollständiger Systemscan mit komplett aktueller Norton Internet Security 2014, kein Schädling gefunden.

Habe bemerkt, dass Java und Shockwave nicht aktuell waren. Habe das geupdatet, allerdings sagt mir Firefox beim Java Development Toolkit, es wurde deaktiviert weil es eine Sicherheitsgefahr darstelle.

MB Anti-Malware Scan (Vollständiger Scan) habe ich durchgeführt. Habe die Probleme dort bereinigt, hier die Logdatei:

Danach mit dem AdwCleaner einen Scan gemacht, wurden einige Dinge gefunden, wollte aber nichts löschen, da darunter Registry-Einträge waren und anscheinend auch Firefox-Einstellungen.

Wie soll ich weiter vorgehen, um alles zu bereinigen? Weiß man denn schon, was es mit BetterSurf genau auf sich hat, wie diese Infektion zustandekommt?

Hi,

adwCleaner alles löschen lassen.

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

und ein frisches FRST log bitte.

War jetzt nicht verlangt, aber hier der Bericht von AdwCleaner, falls doch nötig:

AdwCleaner Logfile:
Bezüglich JRT muss ich etwas beichten..
Ich habe die Internetverbindung getrennt und NIS 2014 deaktiviert und den JRT Scan ausgeführt. Leider habe ich vergessen, ihn als Admin zu starten. Hab deswegen den Scan danach gleich nochmal als Admin gemacht. Blöderweise habe ich nicht bedacht, dass das Programm den alten Logfile überschreiben könnte, und das ist auch geschehen. Im neuen Logfile gab es nichts Großartiges. Im alten Logfile gab es soweit ich mich erinnere nur zwei Einträge. Ein Registry-Eintrag wurde repariert, und beim zweiten weiß ich es nicht. Ich glaube, es wurde etwas entfernt, klang für mich jetzt aber nicht sehr dramatisch nach Malware (was aber nichts heißen muss). Und eben die Logs des Event Viewers wurden gelöscht, wie es üblich ist.

Ich habe versucht, das alte Logfile zu retten, z.B. aus temporären Ordnern oder mithilfe des Programms Recuva, leider ohne Erfolg. Es tut mir sehr leid, dass ich diesen Fehler begangen habe.
Der Vollständigkeit halber jedoch hier das neue Logfile:

So, habe defogger (disable) benutzt und dann FRST64 gestartet und einen Scan durchgeführt. Hier das Logfile für defogger:

Und hier von FRST64:


FRST Logfile:
--- --- ---



Dort sind mir übrigens diese Einträge aufgefallen:
„BHO-x32: BetterSurf - {6E3C6B04-08FE-43BC-8E50-F90285024DEA} - C:\Program Files (x86)\BetterSurf\ie\BetterSurf.dll No File“
„FF HKLM-x32\...\Firefox\Extensions: [xz123@ya456.com] - C:\Program Files (x86)\BetterSurf\ff”
“CHR HKLM-x32\...\Chrome\Extension: [dedmngkbaffkenlfdcbganndoghblmap] - C:\Program Files (x86)\BetterSurf\ch\Chrome.crx”

Ich bedanke mich schon einmal vielmals für die Hilfe!

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

und ein frisches FRST log bitte. Noch Probleme? :)

Also die sichtbaren Probleme sind schon behoben, seitdem BetterSurf 1.0 deaktiviert wurde. Habe hier nach Hilfestellung gefragt, weil ich befürchte, dass noch andere Malware nachgeladen wird oder bereits wurde.

Ich hoffe ich mache nichts falsch, indem ich bei der Fixlist.txt das *USERPROFIL* wieder in den richtigen Userprofilnamen ändere, bevor ich es fixen lasse.
Als ich FRST64 startete, wurde ich gefragt, ob ich updaten wolle, habe das gemacht und nun die Version 3.3.8.1.
Dann habe ich die Fixlist (mit dem richtigen Benutzerprofilnamen statt *USERPROFIL*) ausgeführt.
Hier das Fixlog:

So, nach 21134 Sekunden (~6 Stunden) ESET-Scan, nun von hier die Logdatei:

Hier die checkup.txt von SecurityCheck:

Und zuletzt noch ein ganz frisches FRST64-Log. Seltsamerweise wollte FRST64 wieder updaten, habe das gemacht, aber es ist immer noch Version 3.3.8.1. Nun, hier das Logfile:


FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---


Was mir hier selbst aufgefallen ist:
„FF HKLM-x32\...\Firefox\Extensions: [xz123@ya456.com] - C:\Program Files (x86)\BetterSurf\ff“
„FF Plugin-x32: @zylom.com/ZylomGamesPlayer - C:\ProgramData\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll (Zylom)” <- Habe ich jetzt nicht bewusst installiert, anscheinend hat sich das selbst installiert bei irgendwelchen Browsergames. Ich nehme an, das ist ungefährlich, oder?

Soll ich eigentlich mit dem defogger wieder „re-enablen“, oder das noch weiterhin „disabled“ lassen?
Also wie bereits erwähnt, sichtbare Probleme habe ich seit dem Deaktivieren vom FF-Addon „BetterSurf 1.0“ keine mehr. Ob ich unsichtbare Probleme habe, kann ich nicht sagen.

Nochmals vielen Dank für die Hilfe!

Entschuldigt bitte das Doppelposting, aber ich kann leider nicht mehr editieren, da die Ein-Stunden-Frist abgelaufen ist, und mir das Problem gerade erst auffiel. Ist aber nur eine Nebensache.

Mir ist aufgefallen, dass eines meiner FF-Addons nicht mehr vorhanden ist. Es war dieses hier:
https://addons.mozilla.org/de/firefox/addon/keywordurl-hack/

Hat zwar „Hack“ im Namen, dürfte aber ungefährlich sein, habe es auch bewusst installiert. Es sorgt nur dafür, dass wenn ich in die URL-Leiste z.B. „dict“ eingebe, dann komme ich sofort auf die Seite www.dict.cc. Normalerweise würde ich zuerst auf Google umgeleitet werden. Es erzwingt also eine "Auf gut Glück"-Googlesuche. Das Addon haben wir wohl in einem Reparaturversuch deinstalliert. Darf ich das wieder installieren?

Kannste wieder installieren.

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Fertig :)

Die Reihenfolge ist hier entscheidend.

1. Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
2. Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
   • Windowstaste + R > Combofix /Uninstall (eingeben) > OK
   • Alternative: Combofix.exe in uninstall.exe umbenennen und starten
   • Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
3. Downloade Dir bitte auf jeden Fall DelFix auf deinen Desktop:
   • Schließe alle offenen Programme.
   • Starte die delfix.exe mit einem Doppelklick.
   • Setze vor jede Funktion ein Häkchen.
   • Klicke auf Start.
   • Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
   • Starte deinen Rechner abschließend neu.
4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

Hier noch ein paar Tipps zur Absicherung deines Systems.


Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.

• Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
• Windows Updates
  • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
  • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
• Gehe sicher das die automatischen Updates aktiviert sind.
• Software Updates
  Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
  Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.

Anti- Viren Software

• Gehe sicher immer eine Anti Viren Software installiert zu haben und das diese auch up to date ist. Es ist nämlich nutzlos wenn diese out of date sind.

Zusätzlicher Schutz

• MalwareBytes Anti Malware
  Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
  Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
  Ein Tutorial zur Verwendung findest Du hier.
• WinPatrol
  Diese Software macht einen Snapshot deines Systems und warnt dich vor eventuellen Änderungen. Downloade dir die Freeware Version von hier.

Sicheres Browsen

• SpywareBlaster
  Eine kurze Einführung findest du Hier
• MVPs hosts file
  Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
• WOT (Web of trust)
  Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.

Alternative Browser

Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.

• Opera
• Mozilla Firefox.
  • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
  • NoScript
    Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
    
  • AdblockPlus
    Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
    Es spart ausserdem Downloadkapazität.

Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )



Don'ts

• Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
• verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
• Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
• Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe

Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.

Fixlog:

Ich sehe gerade, dass in meiner NIS 2014 Quarantäne sich etwas vom 10.11. befindet:

Die Gefahr scheint ja gebannt zu sein, nur wollte ich das mal erwähnen, vielleicht ist es doch wichtig. Mir ist das erst beim Durchsuchen meiner Quarantäne aufgefallen, als die (beinahe) Infektion stattfand, war ich vielleicht nicht am PC und habe deswegen keine Meldung mitbekommen.

Der Vollständigkeit halber nochmal das NIS 14 Ereignis zu BetterSurf vom 15.11. (aber das müssten wir ja bereits behoben haben):

Delfix wurde ausgeführt. Welche Systemeinstellungen wurden denn geändert, gibt es eine Auflistung dazu? Habe nämlich meinen PC ziemlich personalisiert, darunter auch Systemeinstellungen, und würde die erforderlichen gerne wieder umstellen – wenn ich nur wüsste, welche die zurückgesetzten Einstellungen waren.

So, bin jetzt mit allem durch. Muss nur noch sehen, welche Systemeinstellungen ich erneut anpassen muss. Hätte vielleicht diese nicht mit zurücksetzen sollen und die Systemwiederherstellungspunkte löschen lassen, aber jetzt ist es zu spät. Würde nur noch gerne wissen, welche Einstellungen Delfix zurückgesetzt hat, ich kann dazu bisher nichts ergoogeln..

So, dann bedanke ich mich vielmals für die Hilfe! Ich hoffe, dass das System malwarefrei bleibt. Ich nehme an, wenn es doch noch Probleme gibt, dann soll ein neuer Thread mit Verweis auf diesen hier erstellt werden, richtig?

Danke nochmal vielmals!

Da werden nur Einstellungen zurückgestzt, die gerne von Malware verändert werden. Deine sollten save sein. Ich kann aber mal beim Autor anfragen was genau gemacht wird.

Wenn es keine großen Umstände macht, würde ich mich sehr darüber freuen, ansonsten werde ich schon merken, wenn in einer gewissen Situation eine Funktion/Einstellung fehlt.

Anfrage läuft :)

here you go:

Okay, vielen lieben Dank!

Gern Geschehen :)