Windows 7: Bin mir nicht sicher, ob mein Computer vollständig "desinfiziert" wurde
 

Hallo,

ich hatte mir vor ca. einem Monat etwas auf meinem Computer eingefangen, woraufhin ich nach längerer Internetrecherche mehrere Programme heruntergeladen hatte, die meinen Computer bereinigt haben - scheinbar. In letzter Zeit sind mir aber wieder ein paar merkwürdige Dinge aufgefallen, die mich verunsichert haben, ob die Schadprogramme wirklich weg sind.

Ich fasse den Ablauf des Ganzen an dieser Stelle kurz zusammen:
Es ging los damit, dass ich in einem unbedachten Moment der Installationsanweisung von awesomehp gefolgt bin, die plötzlich in meinem Browser erschien. Daraufhin ging der Ärger mit lästigen Popups, beängstigenden Virenmeldungen in Werbebannern usw. los, was ich wohl nicht genauer zu erläutern brauchte. Zum Glück war ich diesen Meldungen gleich misstrauisch gegenüber und habe auch keine angeklickt. Über das Internet bin ich dann u.a. auch auf dieses Forum gestoßen, wo mehrere Benutzer ziemlich ähnliche Probleme schilderten. Daraufhin bin ich den Links gefolgt, die diesen Benutzern gepostet wurden. Gleiches habe ich auch noch bei anderen Foren so gemacht, sodass ich am Ende Malwarebytes, Adwcleaner JRT, SUPERAntiSpyware und Avast Browser Cleanup drauf hatte. (Hoffe, ich habe keines vergessen.) Ich habe dann so gut wie alle Programme durchlaufen lassen und fast jedes Programm hat was gefunden, auch, wenn ein Programm zuvor schon meinte, alles gefunden zu haben. Nach dieser langwierigen Arbeit schien das Problem dann gelöst, die Popups und alles weitere waren weg.

Jetzt sind mir aber in letzter Zeit einige merkwürdige Dinge aufgefallen:
1. Die lästigen Popups hatten alle in ihrem Link etwas mit rzvr-a.akamaihd.net zu tun. Über die Recherche habe ich auch herausgefunden, dass das eine Hauptursache der Probleme ist. Komischerweise wird jetzt manchmal, wenn auch nur vereinzelt, beim Laden von neuen Seiten in dem gelben Kästchen links unten, wo die geladenen Dateien angezeigt werden, auch das angezeigt. Manchmal, meistens nur ein, zwei Sekunden, sehe ich dort auch "Übertrage Daten von rzvr-a.akamaihd.net". Ich frage mich: Was soll das? Ist da immer noch was auf meinem Computer? Auch wenn ich es nicht durch lästige Popups merke?
2. Gestern habe ich aus diesem Grund nochmal in diesem Forum herumgestöbert. Dabei stieß ich auf einen Tipp, wo man sich ein Programm herunterladen kann, das einen vor gefährlichen Websites warnt (WOT). Das wollte ich auch tun, doch dann meldete beim Download Avira (ich habe nur die Free-Version) Alarm. Mit böser Vorahnung öffnete ich meinen Browser neu und erneut fand ich jede Menge Fenster vor, die mir völlig fremd waren. Ich reagierte schnell und ließ wieder ein paar Anti-Malware Programme durchlaufen, die auch wieder was fanden. Inzwischen vermute ich, dass ich in eine Falle getappt bin, nämlich, dass die Werbebanner zum Download von Schadsoftware auf der entsprechenden Website direkt über den Programmen stehen, die man eigentlich downloaden will, sodass man das Falsche anklickt (was ich wohl getan habe). Das ist jetzt zwar oberflächlich wieder weg, aber sicher bin ich mir nach diesen Ereignissen gar nicht mehr, ob mein Computer nicht immer noch infiziert ist. V.a. wie konnte es zu einer erneuten Infektion kommen, obwohl ich dachte, ich hätte diese lästigen Banner beseitigt?

Vorher fiel mir unter anderem auf, dass wieder in manchen Werbebannern "Download"-Links auftauchen, die bestimmt eine Falle sind. Außerdem fand ich, als ich auf dieser Seite hier war, wieder manche Banner mit "Windows-Fehlerscan" und Download von Anti-Spyware-Software vor, die mich ziemlich an die erinnerten, die ich mir damals schon eingefangen hatte. Komischerweise passiert das fast nur auf dieser Seite. Eine mögliche Erklärung wäre, dass diese Seite gerade auf diese Themen zugeschnitten ist und deshalb viel (vielleicht auch ganz harmlose) Werbung dazu kommt. Auffällig ist allerdings, dass einige dieser Banner in fehlerhaftem Deutsch stehen, was ja nicht gereade auf Seriösität hinweist.
Und schließlich ist auch noch eines komisch: Wenn ich in Google irgendwelche beliebige Suchanfragen starte, kommt unter den Ergebnissen auch oft eines, das etwas mit "Spyware entfernen" zu tun hat, obwohl meine Suchanfrage damit nicht das Geringste zu tun hatte. Diese Ergebnisse sind übrigens auffälligerweise alle mit "windowstechies.dom" verlinkt. Habe natürlich nichts davon angeklickt. Eine Recherche ergab, dass diese Seite wohl auch gefährlich ist.

Ja, und jetzt weiß ich nicht genau, wie ich an das Problem rangehen soll. Noch einen Alleingang will ich nicht wagen, wovon ja auch in Tipps für Neueinsteiger auf dieser Seite abgeraten wird (hätte ich das mal früher gelesen :headbang: ). Und ich will auch keine Links zum Download von Bereinugungsprogrammen mehr anklicken, ohne dass mir davor jemand ausdrücklich dazu rät. Wie soll ich jetzt also vorgehen?
Ich benutze übrigens Win 7 Professional und als Browser Firefox, falls das wichtig ist zu wissen.

Ach so, und ich bin was Computer, Programme und was den ganzen anderen technischen Kram angeht totaler Laie, deswegen entschuldigt bitte meine evtl. unbeholfenen Formulierungen. :D

Hallo anonym1, :hallo:

mein Name ist Jonas und ich werde dir bei deiner Bereinigung helfen. Diese kann mit viel Arbeit für dich verbunden sein. Bevor wir anfangen können, lies bitte die Bereinigungsregeln und Hinweise:
Wenn du alles gelesen hast, kann es losgehen. Bitte speichere alle Programme auf dem Desktop und führe sie von dort aus. :)

Poste mir bitte die Logfiles von den Programmen, falls noch vorhanden. Wenn der Post zu groß werden sollte, bitte auf zwei Posts aufteilen.



Schritt 1
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Poste folgende Logfiles in deiner nächsten Antwort:

• FRST-Scan

Also, hier der Logfile von JRT:

Habe meinen Computer-Benutzernamen durch Sternchen ersetzt (möchte anonym bleiben), hoffe, das passt trotzdem so.

Ich habe dann noch einen Scan (Complete Scan) mit SUPERAntiSpyware durchlaufen lassen, da finde ich allerdings kein Logfile dazu. Ich weiß allerdings noch, dass im ersten Schritt bei der Suche nach schadhaften Programmen welche gefunden wurden, die ich gelöscht habe, und dann beim eigentlichen Scan nichts mehr gefunden wurde.

Bin gerade beim Installieren von Farbar's Recovery Scan Tool und werde vor Start der Installation noch gefragt:

To have an authorized and updated copy of the tool please make sure you download the tool from the following link:

hxxp://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/

Geht das in Ordnung? Diesen Link kann ich nämlich nirgends entdecken... :wtf:

EDIT: Ich meine im Link eigentlich H T T P, aber irgendwie werden die t's immer zu x. Kein Plan, warum...

Jop, du kannst das Tool auch von folgender Seite herunterladen: Farbar Recovery Scan Tool Download.

Das ist so gewollt, keine Sorge :).

Frage zu FRST.txt und Addition.txt: Der Scan hat geklappt, die Texte habe ich, sind auch bereit zum Posten, aber an ganz vielen Stellen findet sich mein Name und auch Namen von persönlichen Dateien von mir. Das will ich eigentlich nicht öffentlich posten. Es ist so viel, dass ich Ewigkeiten brauchen würde, dies alles durch Sternchen zu ersetzen. Gibt's da eine schnellere Möglichkeit?

P.S.: Muss jetzt gleich weg, melde mich so bald wie möglich wieder (spätestens morgen). :)

Jop, gibt es. Öffne dafür nochmal die Logfiles und drücke dann Strg + H. Es sollte sich ein Fenster öffnen, wo du einen Suchbegriff und eine Zeichenkette zum ersetzen eingeben kannst. Gib bei "Suche nach" zum Beispiel deinen Namen ein und bei "Ersetzen durch": *****. Drücke danach auf "Alle Ersetzen". Nun werden automatisch alle Wörter, die gleich dem Suchwort sind, durch die Zeichenkette ***** ersetzt. Den Vorgang kannst du natürlich mit beliebig vielen Wörtern/Wortgruppen wiederholen :).

Danke für den Tipp! Jetzt hat's geklappt.

Also, hier FRST:


FRST Logfile:
--- --- ---


Und hier Addition:

Mein Name und Namen von privaten Dateien sind durch Sternchen ersetzt.

Alles klar :).



Schritt 1
Bitte deinstalliere folgende Programme:

• McAfee Security Scan Plus
• Update for Zip Extractor

Gehe dafür auf:

Windows XP: Start -> Systemsteuerung -> Kategorieansicht auswählen (falls nicht voreingestellt) -> Software
Windows Vista/7: Start -> Systemsteuerung -> Anzeige (oben-rechts) auf Kategorie stellen (falls nicht voreingestellt) -> Programme deinstallieren (Unterpunkt von Programme)
Windows 8: Suchen --> "Systemsteuerung" in das Suchfeld eingeben --> Systemsteuerung auswählen --> Programme deinstallieren (Unterpunkt von Programme)

und wähle die angegeben Programme aus. Drücke Entfernen (Windows XP) oder Deinstallieren (Windows Vista/7/8).

Bitte die Sternchen wieder durch den entsprechenden Namen ersetzen, damit der Fix funktioniert!
Schritt 2
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Schritt 3
Downloade dir bitte Shortcut Cleaner (by Grinler) auf deinen Desktop.

• Starte die sc-cleaner.exe mit einem Doppelclick.
• Bestätige die Meldung Shortcut Cleaner Finished am Ende des Suchlaufs mit Ok.
• Eine Logdatei wird sich öffnen (sc-cleaner.txt).
• Poste den Inhalt mit deiner nächsten Antwort.

Schritt 4
Setze bitte die Einstellungen von Google Chrome nach folgender Anleitung zurück: https://support.google.com/chrome/answer/3296214?hl=de.

Schritt 5
Starte noch einmal FRST.

• Ändere keine der Voreinstellungen und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, wird ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
• Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

Ich entnehme deinen Logfiles, dass du bereits den ESET Online Scanne und Malwarebytes-Anti Malware ausgeführt hast. Kannst du mir das jeweilige letzte Logfile von Malwarebytes-Anti Malware und dem ESET Online Scanner posten?


Wird dir noch in einem Browser Werbung angezeigt, bzw. die Startseite verändert? Wenn ja, in welchem? Gibt es sonst noch Probleme mit dem Rechner oder unerwünschte Programme, die du nicht installiert hast?



Poste folgende Logfiles in deiner nächsten Antwort:

• FRST-Fix
• Shortcut Cleaner-Scan
• FRST-Scan

Okay, also ich bin erstmal bis Schritt 2 gegangen. Hier erstmal der Fixlog.txt:

(Für die Ausführung auf meinem Computer habe ich, wie du sagtest, meinen Namen wieder eingesetzt, in diesem Post habe ich ihn dann wieder entfernt.)

Alles klar, hat funktioniert. Ich warte dann auf die restlichen Logfiles :).

O.K., done. :)

Dann wollen wir mal:

sc-cleaner:


FRST:


FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---


Ich glaube, ich hatte Logfiles erstellt, aber ich finde sie nicht... Hoffe, ich habe sie nicht gelöscht oder vergessen zu speichern... Kannst du mir einen Tipp geben, an welchen Windows-Speicherort ich die noch finden könnte? Bzw. wie sie heißen? Dann könnte ich sie auch ins Suchfeld eingeben.

Also die Startseiten laufen in allen Browsern (IE, Firefox und Chrome) problemlos. Sonst scheint mit meinem Rechner auch alles O.K. zu sein, ich sehe keine Programme, die mir irgendwie unbekannt wären. Allerdings lässt mir eines noch keine Ruhe: In allen Browsern werden beim Besuch von trojaner-board.de in den Bannern immer noch so komische Werbungen, die irgendwas von "Malware entfernen" faseln, angezeigt. Vielleicht ist es ganz normale Werbung, die im Zusammenhang mit eurer Seite einfach erscheint (Thema passt ja), aber von der Aufmachung erinnern die mich irgendwie an die Banner, die ich hatte, als mein Computer voll infiziert war. Zudem manche auch in fehlerhaftem Deutsch stehen... Vielleicht bin ich etwas paranoid, aber ich will auf Nummer sicher gehen. Habe von den Bannern Screenshots erstellt, soll ich die mal posten/dir schicken? Wenn ja, wie muss ich das anstellen?

Die Logfiles bei Malwarebytes-Anti Malware findest du, wenn das Programm gestartet wurde, unter dem Reiter Logdateien. Den Scanbericht vom ESET Online Scanner findest du unter: C:\Programme\Eset\EsetOnlineScanner (poste mir nur jeweils das neuste Logfiles, falls vorhanden).

Laut dem FRST Logfile, ist in Google Chrome immernoch als Startseite "myseachdial" eingestellt. Setze Google Chrome nochmal zurück und gucke, ob die Startseite noch vorhanden ist. Wenn nicht, deinstalliere Google Chrome einmal vollständig und installiere den Browser ggf. wieder.

Ja, du kannst einen Screenshot hier posten oder anhängen. Hier eine Anleitung zum Anhängen von Dateien, natürlich nicht zippen und nur das Bild anhängen und keine Logfiles: http://www.trojaner-board.de/69886-a...tml#post566999 :).

Danke für den Tipp! Jetzt habe ich die Logfiles gefunden (hoffentlich die richtigen).

Das aktuellste von Malwarebytes:


Und hier das von ESET (habe nur eines gefunden):


Dann zu folgendem Problem:

O.K., nochmal zurücksetzen hat anscheinend auch nichts gebracht. Als Startseite sehe ich mysearchdial zwar nicht mehr, aber im proktokollierten Browserverlauf unter dem Suchfeld auf der Chrome-Startseite steht das immer noch. Und dazu noch andere Seiten, die ich besucht habe... Vielleicht wird er durch irgendwas am Löschen dieser Seiten gehindert. Also deinstalliere ich ihn lieber. Blöde Frage: Wie muss ich das machen? ;) Und wie installiere ich ihn wieder neu?


Anbei noch die Screenshots. Vielleicht bin ich etwas pingelig, aber mich irritieren die Rechtschreibfehler in manchen. Bei denen, die ich damals hatte, gab es diese auch und seitdem glaube ich gar nichts mehr... ;) Sind die verdächtig? Oder ist das ganz normale Werbung?


Und jetzt hat sich gerade eben noch ein weiteres Problem ergeben: Wie ich den Computer hochgefahren hatte und mich über Firefox einloggen wollte, hat Firefox nach Anklicken des fixierten Browser-Symbols in der Startleiste plötzlich angefangen ein Fenster nach dem anderen zu öffnen und wollte gar nicht mehr aufhören! Es ging so schnell, dass ich gar nicht sehen konnte, was in den Fenstern stand, denn bevor eines vollständig geladen hatte, kam schon das nächste und alle quasi im Sekundentakt! :balla: Ich hatte das Problem schonmal früher, da waren es nicht so viele Fenster und in allen waren Seiten, die ich mal geöffnet hatte. Mich hat zwar gewundert, warum sie wieder auftauchten, obwohl ich sie geschlossen hatte, aber das habe ich dann wieder wegbekommen. In dem Fall aber bin ich jetzt völlig ratlos. Ich habe zweimal versucht, das über "Alle Fenster schließen" mit Rechtsklick auf Firefox in der Startleiste anzuhalten, aber es hat nichts gebracht, er öffnete weitere Fenster. Daraufhin habe ich den Computer neu gestartet, was zum Glück den Browser abgewürgt hat. Nach dem Neustart bin ich nun über Internet Explorer rein, um nicht nochmal was zu riskieren. Firefox ist nun übrigens als fixiertes Symbol aus der Startleiste verschwunden, unter dem Startmenü finde ich ihn noch. Was sind denn das jetzt bloß für Zicken, die Firefox da macht?

Ok, sind die richtigen Logfiles, aber schon zu alt. Da will ich nochmal neue sehen.



Schritt 1

• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 2

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 3
Starte noch einmal FRST.

• Ändere keine der Voreinstellungen und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, wird ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
• Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

Gibt keine blöden Fragen :). Deinstalliere Google Chrome wie im 1. Schritt in meinem 8. Post. Wenn du Google Chrome wieder installieren willst, kannst du dir diesen hier herunterladen: https://www.google.de/intl/de/chrome/browser/

Ja, sieht wie normale Werbung aus. Wenn diese nicht auf jeder Seite sind, ist das normal.

Das hört sich sehr komisch an. Ich warte erstmal auf das frische FRST Logfile und die Kontrollscans, bevor wir uns darum kümmern.



Poste folgende Logfiles in deiner nächsten Antwort:

• MBAM-Scan
• ESET-Scan
• FRST-Scan

O.K., die Scans haben sich sichtlich gelohnt, es wurde tatsächlich was gefunden.

Malwarebytes:


Beim Scan mit ESET ist mir erst, als der Scan schon eine ganze Weile gelaufen war, eingefallen, dass ich Avira und Firewall hätte deaktivieren müssen. :headbang: Habe den Scan daraufhin gestoppt und am Tag darauf, also heute, erstmal Avira und Firewall deaktiviert. Ich hoffe, indem ich "Echtzeit-Scanner" bei Avira ausgeschaltet habe, habe ich es deaktiviert, denn einen expliziten "Deaktivieren"-Button habe ich nirgends gefunden. Hoffe, das Ergebnis ist durch den doppelten Scan und die beim ersten Mal fehlende Deaktivierung von Avira und Firewall nicht irgendwie verfälscht. Hier das Log (habe auch, wie angewiesen, während des Scans zwei Speichermedien, die ich häufig verwendet habe (ein USB-Stick und eine externe Festplatte) an den Rechner angeschlossen):


Und hier FRST:


FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---



Ich sehe, dass bei Chrome immer noch dieser mysearchdial-Schrott ist. :mad: Diesen Logfile habe ich vor der Deinstallation und Neuinstallation von Chrome erstellt. Werde mich gleich um letzteres kümmern, hoffe, dass es dann endlich weg ist.