Browser Chrome Tabs öffnen selbständig, Seite wechselnd umgeleitet, Sound schaltet ein, Superfish.com als PUP nicht entfernbar
 

Liebes Trojaner-Board-Team und Alle die mir helfen,

ich bin neuer registrierter Benutzer und vielen Dank im Voraus für Eure Hilfe.

Probleme am Windows 7 Desktop-Rechner und auch in WIN 8.1 Notebook ähnliche Symptome

Zur Historie
Nach einer Neuinstallation von WIN 7 64 bit auf dem Desktop-Rechner im Februar 2014 (nutze Bitdefender Total Security) wollte ich nach einiger Zeit auch setpoint (LOGITECH) erneut installieren, der Installer tat nichts, hatte Kontakt zu JustAnswer aufgenommen und Malwarebytes/ADWcleaner/JRT, CCleaner laufen lassen, stellten fest sehr viele PUPs und Adware bedingt durch Unachtsamkeit bei Download/Installation von Freeware im Audio Video Bereich. Wird mir so schnell nicht mehr passieren (Ask-Toolbar etc. installiert oder aus Versehen Express-Installation). Da ich sowieso nicht vom IE begeistert war, blieb öfters hängen, wechselte ich auf Firefox, ohne Probleme, sehr oft ließ sich dieser dann nicht mehr starten, Maßnahme erst wieder o.k. nach Deinstallation oder Neustart.

Ich wechselte zu Google Chrome und stellte nach Einrichtung dann leider fest, dass aufgerufene Seiten von Zeit zu Zeit umgeleitet werden, oft ist Zurück-Button nicht mehr möglich, in Statusleiste Superfish auftaucht, was mich stutzig machte, neue Tabs gehen auf und immer wieder Aufforderung zu Downloads und Aktualisierung poppen auf.

Extrem nerviges Verhalten in Google Chrome und unruhige Seiten.

Im Chrome Verlauf kann man das alles sehen, z.B.

1. hxxp://deloa.r2games.com/deloa/lp4.html?sub_id=1379345&adid=81654
2. hxxp://www.dplayer.us/Update/Download/Player/F/DE/auload.html?installer=Video_Player_for_Other_Browsers&browser_type=KHTML&dualoffer=false
3. hxxp://mmotraffic.com/redirect2.php?go=http%3A%2F%2Fad.perfectworld.eu%2Fad%2F19171%2F0030909711000 Sound geht an
4. hxxp://downloadoney.com/go/updatels?source=adcash_updatels-DE&adprovider=adcash&subid={publisherID}&subid2=269237&ce_cid=14816056231400346576
5. https://register.de.perfectworld.eu/nw_splash
6. hxxp://mmotraffic.com/redirect2.php?go=http%3A%2F%2Fad.perfectworld.eu%2Fad%2F28241+
7. hxxp://onlinegame.railnation.de/001/?ad=10597_1162501120
8. Redirect to: hxxp://track.popmog.com/c/1428170/click
9. https://apps.facebook.com/detexas/?fb_source=ad&ad=90000005&mobvista_campuuid=dzpkpc_de&mobvista_clickid=1400333961549
10. hxxp://www.rplayer.us/download/Player/F/DE/auload.html?installer=Video_Player_for_Other_Browsers&browser_type=KHTML&dualoffer=false
11. hxxp://the-binary-trader.biz/593/de/index4.html?engsec=15

In Malwarebytes immer Superfish nach Quarantäne
www.superfish.com

PUP.Optional.Superfish.A, C:\Users\<user>\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_www.superfish.com_0.localstorage --> steht ja da weil es im Chrome Verlauf ist

Im Chrome Forum steht nichts was damit anzufangen ist, einer hatte Vorschlag sich an info@superfish.com zu wenden.


Beispiel - Wenn ich auf der Seite www.bleepingcomputer.com oder hxxp://www.bleepingcomputer.com/forums/ stehen bleibe, so wechselt die Seite irgendwann und es geht wie oben erwähnt das nervige Szenario erst los.

Habe schon alle verdächtigen Addons im IE und Firefox geprüft und in den Chrome Extensions kann ich nichts finden.

Habe schon so alles mal recherchiert zu Entfernen www.superfish.com, im Known issues - Chrome Help, das steht nichts Anwendbares.

Die o.g. Fehler habe ich wieder mit Deinstallation auf WIN 7 meines Desktops gemeint zu beseitigen. Ich habe nur von vertrauenswürdigen Seiten Freeware und Shareware heruntergeladen, weil ich diese eben benötige, direkt vom Hersteller oder Chip, Heise usw. FilePony ist neuerdings mein Favorit.

Aber da ich Chrome auch unter Win 8.1 64 bit auf meinem Notebook ebenso nutze und da das Verhalten gleich ist, denke ich, es muss was mit Chrome sein evtl. beim Hinzufügen ausgelöst aus Chrome Store.

z.B. Seite wechselt und wurde gleich von Bitdefender blockiert
chrome-extension://cfnpidifppmenkapgihekkeednfoenal/alerts/malware/page_blocked.html?url=hxxp://www.newallsoft.com/hpANk8iG/detection/j/?PubID=79_1731_3781&ClickID=5781716758

Zum Desktop Rechner könnte ich irgendwann auch dann eine Neuinstallation aufsetzen, wenn es nicht anders geht. Das Notebook nutze ich nur mit wenig Programmen, eher Office Software für unterwegs.


Vielleicht hat jemand für mich Zeit bei Maßnahmen und Ausführung in Analyse und Beseitigung beizustehen wie etwa wenn Logs aus FRST64 (FRST.txt Addition.txt), Combofix.txt, SecurityCheck usw. erstellt werden sollten.

Ich würde zuerst den Desktop bereinigen, dann Notebook-Verhalten checken, und mache erst weiter gemäß Anweisung.

Recht herzlichen Dank an Euch für Rückmeldung
Klaus

hi,

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Hi,

vielen Dank für die schnelle Antwort.

A) Beginne folgende Prozedur zuerst mit Notebook: WIN 8.1 64bit

A1) FRST-Logdateien angehängt

von Klaus mit bestem Dank im Voraus.

Hi,

zur Info als Nachtrag zur Problemeingrenzung
habe heute vor Lesen der ersten Antwort auf mein Thema und vor der A1)-Aktion zwei Erweiterungen aus Chrome Store hinzugefügt:

AdBlock 2.6.34
Die beliebteste Chrome-Erweiterung, mit über 15 Millionen Nutzern! Entfernt Werbung im ganzen Internet.

Adblock Plus 1.8.1
Der kostenlose Werbeblocker für Chrome: Blockiert nervige Videowerbung auf YouTube, Facebook-Werbung, Werbebanner und vieles mehr.


Erneut getestet dann auf link: hxxp://www.bleepingcomputer.com/forums/t/521253/searchprotect-and-more/


Nun bleibt diese Seite aber ruhig, keine Redirect, es öffnen sich keine Tabs selbständig und keine nervigen Update Aufforderungen wie Player Downloads oder Java Update (was bei mir aktuell ist).

Aber sicher kann ich mir nicht sein, war nur eine Maßnahme zum Testen.

Jetzt schon über eine Stunde her auf gleicher Seite geblieben und keine Probleme mehr, also der Adblock hat Wirkung. Trotzdem sollte das Zeug raus was durch Chrome-Erweiterung oder Freeware sich eingeschlichen haben könnte.

Hatte auch mal nachgedacht es gab wohl mal ein Problem mit Chrome Reload welches ich meinte zu brauchen weil es in Tipps von Computerbild beschrieben wurde. Nach Hinzufügen war es aber unauffindbar unter Chrome-Erweiterung und danach hatte ich dann ein anderes Chrome Reload über den Chrome Store nochmals hinzugefügt welches auch auffindbar in Chrome-Erweiterung war. Gestern habe ich mal im Chrome Store gleichermaßen gesucht, die haben das meiner Meinung problemhafte Extensions wohl herausgenommen, kann sein, dass dadurch sich etwas eingeschlichen hat. Den letzten Chrome Reload habe ich ebenso in den Müll gegeben.

von Klaus mit bestem Dank im Voraus.

Hi,

Logs bitte immer in den Thread posten. Zur Not aufteilen und mehrere Posts nutzen.
Ich kann auf Arbeit keine Anhänge öffnen, danke.

Hi schrauber,

vielen Dank für den Hinweis Logs bitte immer in den Thread posten, Entschuldigung, wusste ich nicht.

musste die Logs aufteilen wie mir vorgeschlagen

von Klaus mit bestem Dank im Voraus.

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

und ein frisches FRST log bitte.

Hi schrauber,

vielen Dank für folgende Schritte und nachfolgend Logs aufgeteilt für Posten im Thread.

Hinweise aus vorherigen Angaben
bevor überhaupt mit Prozedur angefangen wurde, zwei Erweiterungen aus Chrome Store wurden installiert, AdBlock 2.6.34 und Adblock Plus 1.8.1, seither stabiles Browserverhalten ohne Symptome gemäß dem Thema.

20.05.2014 12:15 Statistik seit Extension-Installation
Adblock Plus 1.8.1 blockierte Werbeanzeigen 15.728 insgesamt
AdBlock 2.6.34 Anzahl entfernter Werbung 16.098 insgesamt

• Status Antimalwarebytes hat keine schädlichen Elemente gefunden
• Vor Start des JRT im Bitdefender Dashboard folgendes deaktiviert (auf OFF gesetzt):

1. Spam-Schutz
2. Firewall
3. Virenschutz
4. Update
5. Phishing-Schutz

• FRST mit Optional Scan Haken auf Addition.txt, damit beide Logs kommen

• Bitdefender Dashboard Aktivierung ON gesetzt

• Rechner neu gestartet da ClassicShell auf Windows 8.1 nicht mehr möglich

Folgend alle 5x Logs in Aufteilung

von Klaus mit bestem Dank im Voraus.

Malwarebytes Anti-Malware

habe nichts an Standardeinstellungen gedreht, war das so o.k.

im Log z.B. Rootkits: Deaktiviert

ist mir so aufgefallen ?

Sieht doch schon besser aus.


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

und ein frisches FRST log bitte. Noch Probleme? :)

Hi schrauber,

vielen Dank für Nachricht. Ich war auswärts auf Seminar unterwegs, daher komme ich erst jetzt dazu zu antworten, Danke.

externe Festplatten oder sonstige Wechselmedien habe ich nicht auf dem Notebook im Einsatz

nur Netzwerkadresse zu NAS und Desktop PC, beide momentan ausgeschaltet
USB-Sticks habe 2x, sind leer, offizielle direkt beim Hersteller erworben (Gefahr der versteckten Rootkits)

Hinweis, zum Desktop PC werde ich eine komplette Neuinstallation machen.

Hier nachfolgend die angewiesenen Schritte ausgeführt auf meinem Notebook:

Bitdefender --> Anti-Virus-Programm und Firewall deaktiviert OFF

Eset Online Scanner

Haken entfernt Entdeckte Bedrohungen entfernen

Haken gesetzt Archive prüfen

Erweitere Einstellungen Haken gesetzt Auf eventuell unerwünschte Anwendungen prüfen

! unverändert Haken standardmäßig vorbelegt Anti-Stealth-Technologie aktivieren

Geprüfte Dateien: 181.960
Prüfungsdauer: 5 Std. 58 Minuten

Eset Online Scanner deinstalliert wie vorgegeben beschrieben
Bitdefender --> Anti-Virus-Programm und Firewall aktiviert ON



SecurityCheck ausgeführt


FRST mit Optional Scan Haken auf Addition.txt, damit beide Logs kommen

Rechner neu gestartet



Folgend alle 4x Logs in Aufteilung

von Klaus mit bestem Dank im Voraus.

Auf Rückfrage ob noch Probleme bestehen, seit ich folgende GOOGLE CHROME EXTENSION installiert habe, Adblock Plus 1.8.1 und AdBlock 2.6.34, haben sich keinerlei Symptome mehr ergeben, alles läuft hervorragend, die Seiten bleiben ruhig, keine Tabs öffnen automatisch, es wird alles durch die Extensions geschützt.

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Fertig :)

Die Reihenfolge ist hier entscheidend.

1. Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
2. Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
   • Windowstaste + R > Combofix /Uninstall (eingeben) > OK
   • Alternative: Combofix.exe in uninstall.exe umbenennen und starten
   • Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
3. Downloade Dir bitte auf jeden Fall DelFix auf deinen Desktop:
   • Schließe alle offenen Programme.
   • Starte die delfix.exe mit einem Doppelklick.
   • Setze vor jede Funktion ein Häkchen.
   • Klicke auf Start.
   • Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
   • Starte deinen Rechner abschließend neu.
4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

Falls Du Lob oder Kritik abgeben möchtest kannst Du das hier tun :)

Hier noch ein paar Tipps zur Absicherung deines Systems.


Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.

• Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
• Windows Updates
  • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
  • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
• Gehe sicher das die automatischen Updates aktiviert sind.
• Software Updates
  Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
  Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.

Anti- Viren Software

• Gehe sicher immer eine Anti Viren Software installiert zu haben und das diese auch up to date ist. Es ist nämlich nutzlos wenn diese out of date sind.

Zusätzlicher Schutz

• MalwareBytes Anti Malware
  Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
  Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
  Ein Tutorial zur Verwendung findest Du hier.
• WinPatrol
  Diese Software macht einen Snapshot deines Systems und warnt dich vor eventuellen Änderungen. Downloade dir die Freeware Version von hier.

Sicheres Browsen

• SpywareBlaster
  Eine kurze Einführung findest du Hier
• MVPs hosts file
  Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
• WOT (Web of trust)
  Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.

Alternative Browser

Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.

• Opera
• Mozilla Firefox.
  • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
  • NoScript
    Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
    
  • AdblockPlus
    Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
    Es spart ausserdem Downloadkapazität.

Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )



Don'ts

• Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
• verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
• Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
• Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe

Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.

Hi schrauber,

vielen Dank für Nachricht zu den letzten Schritten. Ich war wieder auswärts unterwegs, daher komme ich erst jetzt dazu zu antworten, Danke.

Vom Tool FRST erstellte Fixlog.txt

Defogger und Combofix wurden nicht benutzt

delfix.exe heruntergeladen und wie vorgegeben gestartet mit 5x gesetzten Haken.

Mir ist etwas unterlaufen, wollte die Fixlog.txt anschliessend zusammen posten, leider hat delfix.exe dieses Fixlog.txt jetzt entfernt, wäre o.k. ?

Das Notebook ist nun wohl bereinigt, den Desktop PC werde ich vollständig neu installieren, daher brauchen wir diese Prozedur nicht erneut anwenden.

1. MalwareBytes Anti Malware werde ich vor jedem Herunterfahren bzw. mindestens 1x pro Woche laufen lassen und die Kaufoption mit Hintergrundwächter überlegen.

2. Spywareblaster dto.

3. Bitdefender Total Security ist bei mir im Einsatz sowie die Extension Bitdefender TrafficLight installiert wie auch Extensions Adblock Plus und AdBlock installiert.


Vielen Dank für alle anderen Tipps, die beachte ich schon immer.


Ich benutze bisher immer CCleaner, z.B. Bereinigung von Temp Files usw., aber ich werde es immer unterlassen jedliche Registry Cleanern zu starten, in Zukunft auch unterlassen bei CCleaner die Registry Fehler zu beheben, dort z.B. nicht mehr benutzete DLL und sonstige Verweise zu korrigieren.


Mein Lob oder Kritik
meine Antwort für das engagierte und erfolgreiche Bemühen meinen Rechner zu säubern ist mir eine Spende mit TOP-Bewertung wert. Ihr macht das ja in Eurer Freizeit und unentgeltlich und erfahren, vielen tausend Dank.

Klaus Strohmeier

Gern Geschehen :)