|
Win7: Webseiten werden mit Werbung verlinkt; Suchmaschinen-ergebnisse sind infiziert (monstermarketplace.com) Hallo liebes Trojaner-board-Team!! ich habe seit ca. 3-6 Tagen Probleme mit meinem PC. Auf diversen Websites werden die unterschiedlichsten Wörter als Verlinkung angezeigt (auch total Absurdes, Satzfetzen wie "auf den": Sie suchen nach auf den? monstermarketplace.com! ) und ich vermute auch, dass meine Suchmaschine infiziert wurde. Es ist sehr nervig, denn wenn ich nur mit der Maus über eine dieser Verlinkungen komme (teilweise 10 auf einer Seite) öffnet sich ein kleiner Reiter, der erst durch Schließen wieder verschwindet. Ausserdem ist mein PC langsamer und die Maus hängt gelegentlich. Google-suchen zu diesem Problem kamen mir komisch vor, ich habe in den Suchergebnissen mehrere unterschiedliche Websites gefunden, alle mit dem fast identischen, grammatikalisch fürchterlich schlecht übersetzten Text, einem ähnlichen Aufbau, einer vermeindlichen Problembeschreibung von monstermarketplace.com, sowie eine Anleitung zum Entfernen im Browser mit anschließendem Downloadbutton für ein Programm, dass das Problem behebt. Wie gesagt, alles ähnlich. Auch hatte ich auf Online-Store-seiten kleine ähnliche Popups mit "Deal" oder "Deal des Tages" und Werbung. AVIRA meldet keinen Fund, Spybot S&D habe ich heute morgen drüberlaufen lassen, auch ohne erkennbare Funde und das Problem besteht weiterhin. CD/DVD-Emulatoren habe ich nicht installiert. Den Scan mit GMER konnte ich nur mit aktivem AvIRA Antivir ausführen, es ließ sich nicht beenden (Sie haben keine Berechtigung etc..) Da ich gehört habe, dass mit diesem Trojaner nicht zu spassen ist, bitte ich um Eure Hilfe! Vielen Lieben Dank! |
Hallo und :hallo: Zitat:
Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner, sind die mal fündig geworden? Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520 Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs in CODE-Tags posten! Relevant sind nur Logs der letzten 7 Tage bzw. seitdem das Problem besteht!  Lesestoff:Posten in CODE-Tags Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
|
Hallo, danke für die rasche Antwort. Nein, es ist kein gewerblich genutztes System. Ich bin Student. Wie oben geschrieben, hat AVira keinen Fund gemeldet. Spybot hat einige Zugriffe gefunden, hier der Logfile: Code: Search results from Spybot - Search & DestroyCode: Search results from Spybot - Search & Destroy |
Adware/Junkware/Toolbars entfernen 1. Schritt: adwCleaner Downloade Dir bitte  AdwCleaner auf deinen Desktop.
2. Schritt: JRT - Junkware Removal Tool Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
3. Schritt: Frisches Log mit FRST Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop:  FRST 32-Bit | FRST 64-Bit(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
|
vielen Dank, hier die logs: Code: # AdwCleaner v3.001 - Report created 01/09/2013 at 18:53:15Code: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~FRST Logfile: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 01-09-2013--- --- --- Code: Additional scan result of Farbar Recovery Scan Tool (x64) Version: 01-09-2013 |
Lad mal die aktuelle Version vom adwCleaner => http://filepony.de/download-adwcleaner/ Nochmal ausführen, alles löschen und Log posten |
Code: # AdwCleaner v3.002 - Bericht erstellt am 02/09/2013 um 11:52:47 |
Da wurde nix mehr gefunden. Werbung immer noch da? Mit welchen Browsern? |
ja leider immer noch. ich verwende google chrome ich kann sie zwar vielleicht mit adblock entfernen oder deaktivieren, aber das wird ja das Problem ansich nicht beheben :/ |
AFAIK muss man den Googlebrowser manuell bereinigen. Schmeiß mal alle Addons aus dem Browser raus die da nicht hingehören |
kann man das Ausmaß der (möglichen) Bedrohung abschätzen? Ich denke, wenn der Trojaner so hartnäckig ist und auf diese Weise nicht gefunden werden kann, spricht das wohl für ihn. Internet Explorer (den ich sonst nicht verwende) meldet beim Start: "Ein Programm auf dem Computer hat die Einstellung für den Standardsuchanbieter für Internet Explorer beschädigt. Diese Einstellung wurde von Internet Explorer auf den ursprünglichen Suchanbieter zurückgesetzt: Bing.." was ich bisher feststellen konnte, tritt das Problem mit Werbung im IE nicht auf. |
edit: falsch gepostet |
ich sehe gerade - "Plus-HD-3.8" ist als Addon wieder eingetragen. Das habe ich schon zu Beginn mal entfernt, dachte zuvor, das gehört zu Youtube. Habe es aber nicht wieder installiert. Das war auch der "Übeltäter", der bei einem Scan zuvor mal gefunden wurde.. habe es jetzt wieder ausgeschalten, Werbung ist gerade weg.. mal schauen wie lange noch |
edit: falsch gepostet |
Zitat:
|
Sry, ich glaub ich hab mich hier völlig getan und im Fenster mit einem Fall vertauscht :headbang: Vergiss mal meine Aussage mit dem ZeroAccess, das war nicht dein Rechner :D |
hier mal mbam Code: Malwarebytes Anti-Malware 1.75.0.1300eset kommt sofort.. soll ich nach dem scan mit MBAM die gefundenen dateien entfernen? Eset läuft immer noch.. |
Ja die Funde mit MBAM immer enfernen |
ok eset ist nun endlich durch, zeigt keinen Fund |
Sieht soweit ok aus :daumenhoc Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat. Info: Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie ) Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird. Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme? |
Nein, ich glaube soweit ist alles in Ordnung. Ich bedanke mich echt GANZ HERZLICH für die tolle, umfangreiche, schnelle und überaus KOMPETENTE Hilfe!! Ein riesen Lob an diese tolle Seite und ein noch grösseres an die tollen, motivierten Kompetenzteam-mitarbeiter :) Lieben Dank, cosinus, Du hast mir wirklich sehr geholfen!! Toller Service, thumbs up!!! lg, Sue |
Sry nochmal für die Verwechslung :D Dann wären wir durch! :daumenhoc Falls du noch Lob oder Kritik loswerden möchtest => Lob, Kritik und Wünsche - Trojaner-Board Die Programme, die hier zum Einsatz kamen, können alle deinstalliert werden. Helfen kann dir dabei delfix: Die Reihenfolge ist hier entscheidend.
Bitte abschließend noch die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP:Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Start, Systemsteuerung, Windows-Update PDF-Reader aktualisieren Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast) Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers: Prüfen => Adobe - Flash Player Downloadlinks findest du hier => Browsers and Plugins - FilePony.de Alle Plugins im Firefox-Browser kannst du auch ganz einfach hier auf Aktualität prüfen => https://www.mozilla.org/de/plugincheck Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind. Java-Update Veraltete Java-Installationen sind ein großes Sicherheitsrisiko, daher solltest Du die alten Versionen deinstallieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software (bzw. Programme und Funktionen) und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
Ergänzung: reicht es, wenn ich die zip datei von der von dir verlinkten Seite oben öffne und als Administrator ausführe? AVIRA hat beim öffnen der Datei gemeldet, dass zu meiner Sicherheit der Zugriff auf die Windows Host-Datei blockiert wurde. Ich habe den Zugriff jetzt gestattet und nochmals mvps ausgeführt, habe antivir die Berechtigung jetzt aber nicht mehr entzogen. Stellt das eine Sicherheitslücke dar? lg |
Müsste eigentlich passen. Wichtig ist nur, dass Avira die Aktion erlaubt.Du kannst auch manuell die Hosts-Datei bearbeiten, das ist nichts weiter als ne einfache Textdatei Aber Avira muss nicht unbedingt sein ;) Lesestoff:Warum wir Avira nicht mehr empfehlen Avira liefert seit einiger Zeit mit der Standardinstallation die Ask Toolbar mit aus. Diese Toolbar ist Voraussetzung dafür, dass der Webguard zuverlässig funktioniert. Die Ask Toolbar ist dafür bekannt, dass sie das Surfverhalten des Benutzers ausspioniert, um damit in letzter Konsequenz Geld zu verdienen. Daher wird von uns auf diesem Board als "schädlich" eingestuft. Mehr Informationen. Eine Sicherheitsfirma, die dem Benutzer praktisch ungefragt schädliche Software "unterjubelt", scheidet für uns daher aus. Wir empfehlen daher allen Nutzern von Avira aufgrund dieser Geschäftspraktik, der teilweise äußerst schlechten Erkennungsrate und der überaus nervtötenden Werbung Avira zu deinstallieren und auf ein alternatives Produkt auszuweichen. Solltest du dich zu einem Wechsel entscheiden, empfehlen wir dir nach der Deinstallation mit dem Avira-Cleaner alle Reste zu entfernen. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 11:05 Uhr. |
Copyright ©2000-2025, Trojaner-Board
