|
Windows7 Professional, Browser Hijack mit Bobyzoom, Stamplive, Axonan und Co Liste der Anhänge anzeigen (Anzahl: 4) Moin moin, ja ich weiß, man sollte nicht wahllos Sachen installieren etc. Aber einmal nicht genau hingeschaut, somit falsche Quelle gewählt und das falsche angeklickt, folgten nun die Folgefehler. Entstanden durch eine erneute Installation von Windoof irgendwann im Januar, Verbaseln des damaligen Keys und suchen nach einer Alternative ohne Neukauf. Naja den Neukauf habe ich heute dann erledigt und dann gleich nen Upgrade dazu gekauft, wenn ich denn schon Geld ausgebe... Back to Topic Ich hab mir wohl meinen Browser kapern lassen. Das meiste hab ich schon selber mit Malwarebytes, Adwarescan und meinem lieben Avast hinbekommen. Doch mein aktuelles Problem, bekommen die leider auch nicht hin (die finden leider nicht einmal etwas). Fehlerbild: ständig wenn ich zum ersten mal auf einer Seite was anklicke (sei es ein Button, ein leerer Bereich oder was auch immer), öffnen sich folgende Links (leider nicht immer in der gleichen Reihenfolge) test1.sem-tracking-analytics.com/ stamplive.com hxxp://test1.sem-tracking-analytics.com/ hxxp://apx.axonan.com/prtt?tagId=t1&subid=10120001_0&g=DE&size=full&cb=1426709503990 (subid und das hinter cb wechseln) hxxp://redirect1.bestbuys.com/?key=ff44d98a6ecb54fc03700bf99b69b5d60c20e75b&gid=13 Das Ganze führt dann zu Seiten wie bestbuys.com oder tabletcommunity.de und so weiter (wer macht bitte ernsthaft auf solche Wege Werbung?). Weiters legen sich eine schöne Menge Banner auf die Sites (zum Glück durch BrowserPlugins nur noch an ihren Kreuzen zum Schließen zu erkennen). Zudem hab ich ab und an (kein Plan warum es plötzlich weniger wurde, ggf sind die ABP und Avast-Plugins im Chrome daran Schuld?) ab und an grün unterstrichene Links, die mir schön Werbung platzieren. Über die eingeblendete Info, komme ich zu einer Seite namens "intext.nav-links.com". Dort wird mir nur angeboten über ein Cookie (hmm vielleicht deswegen keine intext-Links mehr?) als "opt-out" zu kennzeichnen. Eine genauere Anleitung wird nicht gegeben was zum erneuten Auftreten nach Browserbereinigung führt. Diverse Startseiten-Changes hab ich bereits über gefährliches, aber eigenes Halbwissen entfernt. Bei der Suche nach weiteren Änderungen am System (nach der Deinstallation vermeintlich aller installierten unnötigen Programme über Revo) stieß ich auf einen Ordner namens "bobyzoom". Dieser weckte mein gesteigertes Interesse , da ich ihn aufgrund vermeintlich falscher Parameter nicht öffnen durfte und er sich wegen vermeintlich zu großer Größe für das Zielsystem (Aussage der Fehlermeldung) weder löschen noch umbenennen ließ. Bei der Durchsicht aller laufenden Prozesse stieß ich auf bz32.exe und bz64.exe sowie ein paar ihrer Begleiter. Den Dateipfad durfte ich nicht öffnen (es geschah einfach nichts), weswegen ich nach einer Suche beim Gockel die Eigenschaften mir anzeigen ließ. Diese verwiesen mich gleich wieder auf den besagten Ordner, ein Teufelskreis. Lange Rede, kurzer Sinn. Da ich kein IT-Ler bin und mich weder Google, nach die bisher beschriebenen Hilfsprogramme zum Erfolg führten, bin ich nun hier, um eure Hilfe zu erbitten. Natürlich komme ich nicht ohne Logs (hoffentlich die richtigen). Defogger habe ich auch schon durchlaufen lassen. Dummerweise sind die Logs zu lang weswegen ich sie hier anhänge FRST musste ich leider mit rar packen, was ich zu entschuldigen bitte. Danke und Greetz ravenscream |
Hi, Logs bitte immer in den Thread posten. Zur Not aufteilen und mehrere Posts nutzen. Ich kann auf Arbeit keine Anhänge öffnen, danke.  So funktioniert es:Posten in CODE-Tags Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
Bitte nur die FRST Logfiles. |
Moin und mea culpa. zum einen wegen der späten Antwort (gerade von der Arbeit) zum Anderen wegen der Anhänge. Ich wusste nicht, welcher Anweisung bei den ersten Schritten ich Folge leisten soll. Die mit "keine Anhänge, lieber verschiedene Posts" oder die mit "schreibe nicht selber in deine Beiträge, da sie sonst wie beantwortet, also in Arbeit angesehen werden"... Ich entschied mich für letzteres.... However... hier beginnt die Welt der beiden Logs Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 11-03-2015Code: ==================== Internet (Whitelisted) ==================== |
FRST Part III Code: ==================== Three Months Created Files and Folders ======== |
frst IV Code: C:\Windows\system32\UIRibbon.dllCode: C:\Windows\SysWOW64\mscms.dll |
FRST VI and last Code: C:\Windows\system32\rdpcfgex.dllCode: Additional scan result of Farbar Recovery Scan Tool (x64) Version: 11-03-2015Sorry nochmal. Und danke für die Hilfsbereitschaft. Wenn mehr Infos benötigt werden, liefer ich die, falls ich das schaffe, gerne! Update... Kein Plan was passiert ist. Mit einem mal spamte mich MBAM mit Blockmeldungen zu (zu Bobyzoom) und ich dacht mir "Hey, lässt einfach nochmal nen Thread-Scan laufen und schaust, was passiert" Nach dem letzte Clear-Scan hatte ich nichts installiert und so dachte ich, dass sich evtl die MBAM Datenbank aktualisiert hat und nun fand MBAM plötzlich wieder ein paar Dinge. Ich löschte diese und nach einem weiteren Neustart, ließ sich der Bobyzoom-Ordner plötzlich löschen. Aktuell treten keinerlei der vorherigen Beschwerden auf. Und ja, die MBAM-Datenbank lasse ich vor jedem Suchlauf auf Aktualisierungen prüfen. Soll ich das nun als gelöst betrachten oder soll ich zur Sicherheit noch irgendwas tun? Danke trotzdem für die Mühen, ich hielt es aber für wichtig, diese Neuigkeiten mitzuteilen. |
hi, Scan mit Combofix
|
Done :) Code: ComboFix 15-03-14.03 - ravenscream 20.03.2015 11:43:40.1.4 - x64 |
Downloade Dir bitte  Malwarebytes Anti-Malware
Downloade Dir bitte  AdwCleaner auf deinen Desktop.
Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
und ein frisches FRST log bitte. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:01 Uhr. |
Copyright ©2000-2025, Trojaner-Board
