Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Werbeseiten, Grün unterstrichene Wörter und Werbebanner (https://www.trojaner-board.de/153392-werbeseiten-gruen-unterstrichene-woerter-werbebanner.html)

Icheda 03.05.2014 15:44
Werbeseiten, Grün unterstrichene Wörter und Werbebanner
 
Hallo,
Ich habe wohl mehr als nur ein Problem und bin kurz davor einfach mal mein System komplett zu bereinigen.

Ich bekomme auf allen Webseiten mehrere Werbebanner, trotz Adblock.
Ich habe Grün unterstrichene Wörter die Werbung aufblenden lassen.
Es werden laufend neue Werbe Webseiten geöffnet und Pop-Ups aufgemacht die mit PC Sicherheit zutun haben.

Ich habe ein Normales Antivir und Spybot S&D zum Scannen.

vielleicht mache ich aber auch einfach etwas grundlegendes Falsch.

Ich habe Spybot und Antivir laufen lassen und anschließend Fabar laufen lassen.


Bitte um Hilfe
Mfg

M-K-D-B 03.05.2014 15:48
:hallo:


Mein Name ist Matthias und ich werde dir bei der Bereinigung deines Computers helfen.


Bitte beachte folgende Hinweise:
  • Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support unterbrechen bis jegliche Art von illegaler Software vom Rechner entfernt wurde.
  • Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
  • Solltest du mir nicht innerhalb von 3 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
    Solltest du einmal länger abwesend sein, so gib mir bitte Bescheid!
  • Während der Bereinigung bitte nichts installieren oder deinstallieren, außer ich bitte dich darum!
  • Alle zu verwendenen Programme sind auf dem Desktop abzuspeichern und von dort zu starten!


Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab und poste alle Logdateien in CODE-Tags:

So funktioniert es:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert deinem Helfer massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu groß für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
  • Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
  • Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
  • Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
  • Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.
http://www.trojaner-board.de/picture...&pictureid=307

Danke für deine Mitarbeit!




Die Werbung ist nicht dein einziges Problem... da gibts noch mehr.







Scan mit Combofix
WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link
  • WICHTIG: Speichere Combofix auf deinem Desktop.
  • Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
  • Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
  • Wenn Combofix fertig ist, wird es ein Logfile erstellen.
  • Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).
Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Icheda 03.05.2014 16:34
Wenn combofix mehr als 20 min läuft habe ich was falsch gemacht?
Oder ist mein rechner so stark infiziert?


Mfg

M-K-D-B 04.05.2014 10:45
Zitat:
Zitat von Icheda (Beitrag 1294905)
Wenn combofix mehr als 20 min läuft habe ich was falsch gemacht?
Oder ist mein rechner so stark infiziert?
ComboFix bitte durchlaufen lassen.... dein Rechner ist stark infiziert, ja. :)

Icheda 04.05.2014 12:43
der Code hat mehr zeichen als ich hier einfügen darf und als txt kann ich es nicht anhängen.

soll ich es packen ?:dankeschoen:

M-K-D-B 04.05.2014 12:54
Zitat:
Zitat von Icheda (Beitrag 1295268)
soll ich es packen ?:dankeschoen:
Ja. :)

Icheda 04.05.2014 13:42
erledigt :dankeschoen:

M-K-D-B 05.05.2014 13:53
So geht es weiter:




Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).





Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

  • Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
  • Drücke eine beliebige Taste, um das Tool zu starten.
  • Je nach System kann der Scan eine Weile dauern.
  • Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
  • Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.






Downloade Dir bitte Malwarebytes Anti-Malware
  • Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
  • Starte Malwarebytes' Anti-Malware (MBAM).
  • Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
  • Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
  • Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
  • Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
  • Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
  • Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.






Abschließend FRST starten, Haken setzen bei "Addition.txt", Scan durchführen, beide Logdateien ebenso posten.

Icheda 05.05.2014 16:49
Hok wird gemacht.
Ich schaffe es aber wohl erst zum Wochenende, ich hoffe es ist ok. :)
Werde dit anschließend alle files hochladen.

Mfg

M-K-D-B 06.05.2014 13:17
Servus,


dann bis zum Wochenende. :)

Icheda 07.05.2014 17:59
Liste der Anhänge anzeigen (Anzahl: 2)
Hab alles durchgeführt, sieht schon besser aus :daumenhoc

leider kommt diese Seite noch:

hxxp://www.lpcloudbox412.com/442C6C59443A2C79513974615F7145732F4C088610C8981C3F6834946938E80B4658266E76BFBBD3FE5F40068139AC22?utm_source=Advertisedotcom&utm_term=software&tgu_src_ lp_domain=www.filesbunker.com&utm_medium=CPC&utm_campaign=WbmgTSfc&utm_content=63640-9040_2081_de

die wird über diese komische 123 etc. ausgeführt.

Vielen Dank schonmal :) weiteres bekomme ich wohl am Wochenende hin :)

M-K-D-B 07.05.2014 18:28
Wir sind auch noch nicht fertig ;)



So geht es weiter:







Schritt 1
Bitte deaktiviere dein Anti-Viren-Programm, da es das Ergebnis beeinflussen oder ggf. die Bereinigung stören kann.
Bitte lade dir zoek.exe von hier: http://hijackthis.nl/smeenk/ und speichere die Datei auf deinem Desktop.
  • Starte Zoek.exe mit einem Doppelklick.
  • Achtung: Das folgende Skript wurde nur für diesen speziellen Fall geschrieben und könnte andere Computer beschädigen.
  • Kopiere den Text der folgenden Box in das Skriptfenster von zoek:
    Code:
    iedefaults;
    resetIEproxy;
    resethosts;
    FFdefaults;
    CHRdefaults;
    emptyclsid;
    autoclean;
  • Nun klicke auf "Run script" und sei geduldig bis das Skript durchgelaufen ist.
  • Wenn das Tool fertig ist, wird sich Notepad mit der Logdatei öffnen (ggf. erst nach einem Neustart). Das Log befindet sich aber auch noch unter c:\ .
  • Bitte poste mir das ZOEK-Log (möglichst in CODE-Tags - #-Symbol im Antwortfenster klicken).





Schritt 2
Starte die FRST.exe erneut. Setze einen Haken vor Addition.txt und drücke auf Scan.
FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
Poste mir beide Logdateien mit deiner nächsten Antwort.






Bitte poste mit deiner nächsten Antwort
  • die Logdatei von Zoek,
  • die beiden neuen Logdateien von FRST.

Icheda 10.05.2014 10:36
Liste der Anhänge anzeigen (Anzahl: 1)
erledigt :dankeschoen:

Code:
Zoek.exe v5.0.0.0 Updated 14-April-2014
Tool run by Christian on 10.05.2014 at 11:19:19,48.
Microsoft Windows 7 Ultimate  6.1.7601 Service Pack 1 x64
Running in: Normal Mode Internet Access Detected
Launched: C:\Users\Christian\Desktop\zoek.exe [Scan all users] [Script inserted]

==== System Restore Info ======================

10.05.2014 11:20:19 Zoek.exe System Restore Point Created Succesfully.

==== Possible Rootkit Infection ======================

C:\Users\Christian\AppData\Local\{7d3d2bd4-dae2-a468-d640-8acfc9649669}\L
C:\Users\Christian\AppData\Local\{7d3d2bd4-dae2-a468-d640-8acfc9649669}\U
C:\Users\Christian\AppData\Local\{7d3d2bd4-dae2-a468-d640-8acfc9649669}\@
C:\Windows\installer\{7d3d2bd4-dae2-a468-d640-8acfc9649669}\L
C:\Windows\installer\{7d3d2bd4-dae2-a468-d640-8acfc9649669}\U
C:\Windows\installer\{7d3d2bd4-dae2-a468-d640-8acfc9649669}\@

==== Deleting Files \ Folders ======================

"C:\Users\Christian\AppData\Local\{7d3d2bd4-dae2-a468-d640-8acfc9649669}\@" deleted
"C:\Users\Christian\AppData\Local\{7d3d2bd4-dae2-a468-d640-8acfc9649669}" deleted
"C:\Users\Christian\AppData\Local\{7d3d2bd4-dae2-a468-d640-8acfc9649669}\L" deleted
"C:\Users\Christian\AppData\Local\{7d3d2bd4-dae2-a468-d640-8acfc9649669}\U" deleted

==== Set IE to Default ======================

Old Values:
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="hxxp://go.microsoft.com/fwlink/?LinkId=69157"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
No DefaultScope Set For HKCU

New Values:
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="hxxp://go.microsoft.com/fwlink/?LinkId=69157"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

==== All HKCU SearchScopes ======================

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes
{0633EE93-D776-472f-A0FF-E1416B8B2E3A} Bing  Url="hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC"

==== Deleting CLSID Registry Keys ======================

HKEY_CLASSES_ROOT\Wow6432Node\CLSID\{d5de32ce-bd33-4a3e-8bd2-67fcf9b1377f} deleted successfully
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d5de32ce-bd33-4a3e-8bd2-67fcf9b1377f} deleted successfully

==== Deleting CLSID Registry Values ======================

HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\{FFB96CC1-7EB3-449D-B827-DB661701C6BB} deleted successfully
HKEY_LOCAL_MACHINE\software\Wow6432Node\mozilla\Firefox\extensions\{FFB96CC1-7EB3-449D-B827-DB661701C6BB} deleted successfully

==== C:\zoek_backup content ======================

C:\zoek_backup (files=2 folders=3 2201 bytes)

==== EOF on 10.05.2014 at 11:21:12,27 ======================

M-K-D-B 10.05.2014 11:20
Servus,


so geht es weiter:




Schritt 1
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Code:
start
() C:\Program Files (x86)\Re-Markable\Re-MarkableXh161.exe
BHO: ZoneAlarm Security Engine Registrar - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} -  No File
BHO-x32: No Name - {41564952-412D-5637-00A7-7A786E7484D7} -  No File
BHO-x32: No Name - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -  No File
BHO-x32: ZoneAlarm Security Engine Registrar - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} -  No File
Toolbar: HKLM - ZoneAlarm Security Engine - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} -  No File
Toolbar: HKLM-x32 - ZoneAlarm Security Engine - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} -  No File
Toolbar: HKLM-x32 - No Name - {41564952-412D-5637-00A7-7A786E7484D7} -  No File
FF SearchEngineOrder.user_pref("browser.search.order.1", "");: user_pref("browser.search.order.1", "");
FF Homepage: about:home
FF HKCU\...\Firefox\Extensions: [{A0C79984-131D-BB04-4717-5FBDAC980B6E}] - C:\Program Files (x86)\Re-Markable\161.xpi
FF Extension: No Name - C:\Program Files (x86)\Re-Markable\161.xpi [2014-04-30]
R2 Re-Markable; C:\Program Files (x86)\Re-Markable\Re-MarkableXh161.exe [142848 2014-04-30] ()
C:\Program Files (x86)\Re-Markable
S3 X6va008; \??\C:\Users\CHRIST~1\AppData\Local\Temp\0084654.tmp [X]
C:\Users\Christian\Downloads\setup*.exe
C:\Windows\Installer\{7d3d2bd4-dae2-a468-d640-8acfc9649669}
C:\Users\Christian\AppData\Local\7f49d529
Task: {ABE4E93F-1174-4511-A1CB-68363A89A092} - \Re-Markable_wd No Task File <==== ATTENTION
Task: {D59D44E5-BAC2-4A53-B4FA-11E8F52FC3A9} - \DealPlyUpdate No Task File <==== ATTENTION
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
ProxyEnable: Internet Explorer proxy is enabled.
ProxyServer: http=127.0.0.1:14348
end

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
  • Starte nun FRST erneut und klicke den Entfernen Button.
  • Das Tool erstellt eine Fixlog.txt.
  • Poste mir deren Inhalt.







Starte deinen Rechner jetzt neu auf!





Schritt 2
Lade dir die passende Version von SystemLook vom folgenden Spiegel herunter und speichere das Tool auf dem Desktop:
SystemLook (32 bit) | SystemLook (64 bit)
  • Doppelklicke auf die SystemLook.exe, um das Tool zu starten.
  • Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:

    Code:
    :regfind
    Re-markit
    Re-Markable
    Internet Updater
    Updater
  • Klicke nun auf den Button Look, um den Scan zu starten.
  • Der Suchlauf kann einige Zeit dauern.
  • Wenn der Suchlauf beendet ist, wird sich dein Editor mit den Ergebnissen öffnen, poste diese in deinen Thread.
  • Die Ergebnisse werden auch auf dem Desktop als SystemLook.txt gespeichert.







Schritt 3
Starte die FRST.exe erneut. Setze einen Haken vor Addition.txt und drücke auf Scan.
FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
Poste mir beide Logdateien mit deiner nächsten Antwort.





Bitte poste mit deiner nächsten Antwort
  • die Logdatei des FRST-Fix,
  • die beiden neuen Logdateien von FRST,
  • die Logdatei von SystemLook.

Icheda 12.05.2014 17:27
Hi,
Komme doch erst am Wochenende dazu. :)
Thread bitte noch nicht löschen, bleibe am Ball :D


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:04 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19