Nach Virusmeldung spinnt der Internet Explorer
 

Ein dickes Hallo erstmal!

Ich hab ein kleines Problem mit meinem Internet Explorer, und zwar öffnet dieser mir dauernd Werbe-Seiten, ob ich nun damit im Internet bin oder nicht. Eine ziemlich ätzende Geschichte wenn man am Gamen ist und auf einmal öffnet sich der Inet-Explorer und zeigt mir da irgend eine Werbung an.
Ich hab mit Avira (free) einen Suchlauf gestartet, erfolgreich, 2 Objekte gefunden (TR/Trash.Gen & TR/Atraps.Gen):pfui:. Hatte diese zuerst in Quarantäne verschoben und anschließend gelöscht. Dann habe ich mit MalewareBytes einen Vollständigen Scan ausgeführt, auch fündig geworden (siehe Log im Anhang).
Nach all dem Spass dachte ich es wäre vorbei - falsch gedacht!

Nun bitte ich um Hilfe... Werde im Anhang sowohl das Log von MB und HJT einhängen und hoffe das wird euch was weiter helfen.

MfG, Nosferatu91:)

Hallo Nosferatu91 :hallo:


Es sollte klar sein, dass die Bereinigung zeitaufwendiger ist als das Neuaufsetzen, deswegen sich bitte gleich überlegen ob man nicht doch Neuaufsetzen will. Neuaufsetzen ist außerdem sicherer als die Bereinigung, selbst ein Computer mit sauberen HiJackThis Log kann stark versucht sein.
Es ist wichtig, dass du genau das machst was man dir sagt. Es sollten keine zusätzlichen Programme installiert werden, wenn man es dir nicht sagt. Beachte bitte die NUBs. Auch wenn die Symptome nach den ersten abgearbeiteten Punkten verschwinden, heißt es noch lange nicht, dass der PC wirklich sauber ist.
Deswegen abwarten bis man dir sagt, dass der PC wirklich sauber ist. Am Besten die Anleitung sich ausdrucken. Alle Programme die in der Anleitung aufgeführt werden, sind Freeware Programme. Es steht bei den meisten Programmen eine Vollversion zur Verfügung, die man bezahlen muss. Bitte nur die Freeversionen nehmen, eine Vollversion ist unnötig!
Die Anleitung sollte in genau dieser Reihenfolge abgearbeitet werden.

Wichtig:
Bitte während der Bereinigung alle externen Medien wie, USB-Sticks, Speicherkarten, externe Festplatten an den PC anschließen.

Vista User:

• Alle Programme und Tools, die angeordnet werde, mit Rechtsklick anklicken und "als Administrator ausführen"
• Bitte mitteilen ob es sich um eine 64 Bit Version handelt, da viele Programme unter dieser Version nicht laufen

Deaktivieren der Systemwiederherstellung

Windows XP:

• Start => Ausführen => sysdm.cpl eingeben => "OK" drücken
• Wähle den Reiter "Systemwiederherstellung"
• Einen Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" setzen => "übernehmen" drücken
• Jetzt den PC booten, der Start kann eine Weile dauern
• Den Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" entfernen und "OK" drücken

• Windows Vista:
• Windows Vista Symbol anklicken
• In die Suche "Wiederherstellung" eingeben => das gefundene Tool starten
• Klicke auf den link systemwiederherstellung aktivieren - deaktivieren
• Klicke im nächsten Hilfefenster auf >> Klicken Sie hier, um "System" zu öffnen.<<
• Wähle "Computerschutz" => dann fortsetzen Auswahl* treffen, für welche datei die SWH aktiviert werden soll
• Button "übernehmen" drücken => sofort ein SWHP erstellen in dem du den Button "erstellen" drückst. Wenn du die Systemwiederherstellung wieder deaktivieren möchtest, dann die *Auswahl aufheben, das ausschalten bestätigen und den Button "übernehmen" drücken.

Erklärung
Im Verlauf der Infektion wurden auch infizierte Dateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.



Deinstalliere bitte alle Toolbars (ICQ, Google, Askbar...) und unnötige Software wie Spybot S&D, Spyware Doctor, Trojancheck, a-squared free, Zone Alarm, COMODO, eScan und Ad-Aware etc…
Außerdem sollte alles von Google (Toolbar, Updater...) entfernt werden.
Arbeitsplatz => Software => ausgewähltes komplett entfernen
Statt Zone Alarm und COMODO sollte die Windows Firewall benutzt werden:
Arbeitsplatz => Systemsteuerung => Netzwerk – und Internetverbindungen => Windows Firewall => Haken bei „aktiv“ setzen
davor sollte die Firewall deinstalliert werden. Ist eine Antiviren Suite mit integrierter Fireall installiert, kann diese bleiben.



CCleaner

• Downloade CCleaner und speichere die Datei auf dem Desktop
• Doppelklick auf die Instalationsdatei => mit "Ausführen" bestätigen" => "Deutsch" als Sprache wählen
• Auf "weiter >" klicken, falls die Lizenzbedingungen zustimmen, dann auf "annehmen" drücken
• Das angegebene Zielverzeichnis mit "weiter >" bestätigen
• Den Haken bei Yahoo Toolbar wegnehmen => dann "installieren" => auf "fertig stellen" klicken um die Instalation abzuschließen
• Mit Doppelklick CCleaner öffnen
• Den Browser schließen => auf "Analysieren" klicken => auf Starte "CCleaner"
• "Registry" wählen => auf "Nach Fehlern suchen" klicken => auf "Fehler beheben" klicken
• Diese Prozedur bei jedem Benutzerkonto durchführen
• Als letztes "Extras" wählen => auf " Als Textdatei speichern..." klicken => speichere die Textdatei auf dem Desktop um sie danach hier zu posten

In Zukunft nicht den MS Internet Explorer, sondern einen alternativen Browser wie z.B. Firefox oder Opera.
Der Internet Explorer sollte auschließlich für das Windows Update verwendet werden.
Nach der Bereinigung oder dem Neuaufsetzen sollte Firefox sicher konfiguriert werden mit NoScript



Das Service Pack (SP) kann man beim CCleaner oben nachschauen. Sollte bei XP nur das SP1 installiert sein, hat die Bereinigung keinen Sinn mehr und es kann Neuaufgesetzt werden.
Sollte bei vista das SP1 fehlen hat ebenfalls keinen Sinn mehr, das System sollte auch Neuaufgesetzt werden.

Aktualisieren des Systems:
Start => Alle Programme => Windows Update
Über die benutzerdefinierte Suche fehlende Updates herunterladen und installieren. Auch den Internet Explorer aktualisieren, Version 8 ist die aktuellste.



Konfiguriere die Ordneransicht vernünftig um => Ordneransicht


Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.

• Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
• Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
• Wähle E für Englisch im Sprachenmenü
• Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
• Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
• Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
• Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.



diese Datei bei Virustotal auswerten lassen:
bitte alles was Virustotal sagt hier einfügen auch die einzelnen Ergebnisse der Scanner



poste uns doch bitte den Fundbericht der Malware

Na hatte ich doch in den Anhang gehangen, oder meintest du was anderes? Also zunächst, ich hab erst mal alle Punkte abgearbeitet, aber als ich Navilog ansgeführt hab hat er mir dauernd eine Fehlermeldung angezeigt (siehe Bild im Anhang)! Ansonsten poste ich die logs (etc.), hoffe es ist vollständig!

MfG Nosferatu91

Und dann hier der rest. (Und nochmal das log von Malwarebytes):party:

Und dann nochwas: Du hattest was geschrieben von Firewall's, das ich die von Windows benutzen soll... Ich hab die von Windows aktiv, parallel dazu auch die von Ashampoo, und Avira als Anti-virus. Soll ich nun die Firewall von Ashampoo deinstallieren? (Evtl. weil sie ueberfluessig ist!?) Ich hab SP3 drauf, benutze den Inet-explorer 8, diesen aber eigentlich auch nicht, denn wenn ich dort auf einen Link klicke zeigt er mir nur ein leeres Fenster an, auch oben in der Adressleiste erscheint keine Adresse oder es wird mir gesagt das die Navigation zur Webseite abgebrochen wurde... Ich hab nun Lunascape 5 Beta, oder soll ich doch auf Opera gehen? (Firefox ist nichts für mich.)

Also ganz ruhig wir kümmern uns nacher darum. :)
IE 8 :daumenhoc
Avira :daumenhoc
Ashampoo Firewall bitte deinstallieren und dafür die Windows Firewall nehmen
SP 3 :daumenhoc
nimm Opera

so dann:



Diese Datei bei Virustotal auswerten:
oder weist du was das ist?



Dieses hier fixen:


Zeige doch bitte den Bericht von Avira, das habe ich gemeint. Suche ihn bitte mit der Meldung TR/Trash.Gen & TR/Atraps.Gen etc.

Also hab nun Opera als Standard gesetzt. Ashampoo Firewall deinstalliert. Du kannst ja in meinem HJT-Log sehen was installiert ist (hoffe ich), kannst du mir sagen ob noch eine Toolbar installiert ist? In meiner Softwareliste ist keine mehr aufgeführt aber mein Lunascape hatte glaub ich eine angezeigt zum Schluss (Inet-Explorer nicht und Opera auch nicht) :Boogie:

iywki.exe sagt mir garnichts, hab es ueberpruefen lassen (wie immer im Anhang) und die Einträge gefixt, anschliessend ein neues Log erstellt!

Das von Avira speichert er ja das Log des Suchlaufes, nur diese sind so riesig! Was soll ich damit machen oder meinst du nicht die Scanberichte wo er sie fand? Und wenn doch zeig mir bitte ein Beispiel welchen Teil du davon genau brauchst. :snyper:

MfG, Nosferatu91

[P.s.: Neuaufsetzen kommt bei mir nicht in Frage, zuviele dateien die verloren gehen würden da ich keine möglichkeit hab diese irgendwo zu speichern!]

Grrr ich bin grad an einem anderen PC wo kein Avira drauf ist. Ich glaub du gehst rechts unten auf das Avira Symbol dann erscheint das Hauptmenü. Link ist eine Option Bericht dort klickst du drauf und suchst den mit der Meldung und postest ihn hier.

ich schau mir in nächster zeit das HJT Log an, derweilst machst du das:

Gmer

http://www.chip.de/ii/183398422_fb183cfed7.gif

• Donwloade Gmer
• Entpacke es auf dem Desktop
• Trenne dich physikalisch vom Internet (Lan Kabel ziehen)
• Schließe bitte alle Anwendungen, auch das Antivirusprogramm
• Starte den Scan mit Gmer mit "Scan", mache in der Zeit nichts auch keine Mausbewegungen und Tastatureingaben
• Ist der Scan fertig, klicke auf "Copy" und poste dann hier deine Anwort in dem du den Log reinkopierst
• Beende Gmer mit "OK"

EDIT: ich hab jetzt nur mal kurz das Log überflogen, aber ich dachte du hast die AshampooFirewall deinstalliert?

Hab ich auch, aber sorry, mein Fehler, musste neu starten und habe dies nicht getan. :heulen:

Ich sag dann mal ganz frech: Bis gleich! :D

Also nach meinem kleinen Fehler dann nochmal ein neues Log, und nochmals entschuldigung! Werde dann sofort das mit Gmer machen. Ich geh aber über Lan und WLAN, muss ich bei der WLAN-Karte einfach die Verbindung trennen?

MfG, Nosferatu91

[E-mail ist raus]

Also, jetzt das gmer log (mein bildschirmschoner ist währenddessen angegangen, schlimm?)!

Das ist egal


Rufe das Programm bitte erneut auf und wähle die Option 2

• Das Programm wird nun deinen Rechner neustarten. Schließe also alle Fenster und bestätige den Neustart.
• Sollte der Rechner nicht neustarten, tue dies bitte manuell.
• Nach dem Neustart läuft der Fix zuende. Bitte einfach abwarten, bis NaviFix beendet ist und keine Fenster öffnen.
• Es öffnet sich erneut ein Fenster mit dem Scanergebnis. Speichere das Ergebnis ab und schließe den Editor. Nun sollten deine Desktopsymbole wieder erscheinen
• Das Scanergebnis bitte hier posten.

Sollten die Desktopsymbole nicht von selbst wieder erscheinen, rufe mit [Strg][Alt][Entf] den Taskmanager auf und wähle unter Prozesse => Neuer Task ausführen aus. Gib dort explorer ein.


bitte fixe diese Einträge bie HJT:

Malwarebytes' Anti-Malware

• Downloade Malwarebytes' Anti-Malware >>hier<< oder falls Malware verhindenr sollte dass der Link nicht geht versuche es mit diesem
• Installiere Anti-Malware unter dem vorgegebenen Pfad
• Vor jedem Scan solltest du Malwarebytes' Anti-Malware updaten, indem du die Option "Update" wählst => klicke auf den Button "Suche nach Aktualisierungen"
• Gehe nun wieder zurück zu "Scanner" und führe einen Vollständigen Suchlauf durch! => klicke nun auf "Scan"
• Klicke alle Laufwerke an => drücke "Scan starten"
• Lasse alle Funde löschen!
• Poste anschließend das enstandene Logfile

SUPERAntiSpyware

• Downloade SASW >>hier<<
• Installiere das SASW für alle Benutzer mit den vorgegebenen Installationseinstellungen
• Starte es und klicke auf "Check for Updates...". Nachdem dem Update erscheint ein Protokollfenster, schließe es mit "close"
• Klicke im Hauptmenü auf "Preferences", wähle den Reiter "General and Startup", bei dem Kästchen "Start SUPERAntispyware when Windows starts" sollte kein Haken sein
• Wähle nun den Reiter "Scanning Control" und setze Haken bei:
  
• Close browseres before scanning
  
• Scan for tracking cookies
  
• Resolve Links/Shortcuts during scan (.Ink)
  
• Scan Alternate Data Streams
  
• Use Kernel Direct File Access (recommended)
  
• Use Kernel Direct Registry Access (recommended)
  
• Use Direct Disk Access (recommended)
  
• Display scan option in Explorer context (right-click) menu

Wechsel in den abgesicherten Modus:

• Starte den PC neu
• Drücke beim Hochfahren mehrmals die Taste [F8]
• Es erscheint ein Windows-Menü, navigiere dich mit den Pfeiltasten zu der Option abgesicherter Modus
• bestätige mit der Eingabetaste

• Starte nun im abgesichertem Modus SASW
• Klicke im Hauptmenü den Button "Scan your Computer..."
• Wähle in der Scan Location alle Festplatten und externe Datenträger aus
• Klicke auf "Perform Complete Scan" und gehe auf "weiter"
• Achte darauf dass die Funde in der Box markiert sind, danach klicke auf "weiter"
• Das Log findest du unter "Preferences..." => "Statistics/Logs" => klicke das Log an => "View Log..."
• Poste nun das Log

dann einen neuen HJT LOG

Wo soll ich denn bei Gmer die Option 2 wählen? Oder meinst du hiermit Navilog? Denn bei gmer gibt es doch keine Option 2 O.O...

Oh nein ich mein Navilog
das war ein bisschen unverständlich von mir tut mir leid :kloppen:

hallo, ich habe auf meinen anderen Pc ein Problem seit gestern mit
jexplorer.exe ich komme nicht mehr ins Internet.
Alfredrobert