Windows 7: Junkware (PUP): Script.Adware.DealPly.G (Engine B) Liste der Anhänge anzeigen (Anzahl: 1) Hallo zusammen, ich habe mir wohl einen Virus auf den PC eingefangen. Das Aktivierenprogramm meldet immer eine “Junkware“. Daher bitte ich euch um eure Hilfe. G Data zeigt folgende Info an: Junkware (PUP): Script.Adware.DealPly.G (Engine B) Junkware (PUP) beim Laden von Web-Inhalten gefunden. Adresse: hxxp://i.yandjs.info/yand/javascript.js Status: Der Zugriff wurde verweigert. WICHTIG: Ich bin in am PC k e i n e besonders gute Nutzerin, daher bitte ich schon hier vorab um euer Verständnis. Schöne Grüße Susi Code: Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version:17-12-2015 Code: Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version:17-12-2015 |
:hallo: Mein Name ist Jürgen und ich werde Dir bei Deinem Problem behilflich sein. Zusammen schaffen wir das...:abklatsch:
Hinweis: Ich kann Dir niemals eine Garantie geben, dass wir alle schädlichen Dateien finden werden. Eine Formatierung ist meist der schnellere und immer der sicherste Weg, aber auch nur bei wirklicher Malware empfehlenswert. Adware & Co. können wir sehr gut entfernen. Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis Du mein clean :daumenhoc bekommst. Los geht's: Schritt 1 Downloade Dir bitte AdwCleaner auf deinen Desktop.
Schritt 2 http://deeprybka.trojaner-board.de/m...mbamlogo4a.pnghttp://deeprybka.trojaner-board.de/m...mbamlogo4b.png
Schritt 3 http://filepony.de/icon/frst.pnghttp://deeprybka.trojaner-board.de/b...e/frst/sn1.PNG Bitte starte FRST erneut, markiere auch die checkbox http://deeprybka.trojaner-board.de/b...t/addition.pngund drücke auf Untersuchen. Bitte poste mir den Inhalt der beiden Logs die erstellt werden. |
Hallo Jürgen, vielen Dank für deine schnelle Antwort und das du mir hilfst!!! Ich habe hier noch folgendes gelesen: “Alle zu verwendenen Programme sind auf dem Desktop abzuspeichern und von dort zu starten!“ Das erste runtergeladene Programm “FRST“ steht auf meinem PC unter: Computer\C:\FRST , es gibt auch keine Verknüpfung auf dem Desktop. Es ist mit aufgefallen, dass G-DATA, laut Protokoll, das Programm “FRST“ in die Quarantäne verschoben hat. Ist das alles so richtig? Schöne Grüße Susi Hier Textdatei AdwCleaner: Code: # AdwCleaner v5.025 - Bericht erstellt am 17/12/2015 um 16:48:37 |
1. Dein GDATA ist in diesem Fall "doof". 2. FRST lag hier: "Gestartet von C:\Users\pacifik471163\Downloads" 3. Adwcleaner ist richtig weil hier: C:\Users\pacifik471163\Desktop\AdwCleaner_5.025.exe FRST neu laden und GDATA sagen, dass FRST "brav" ist. :D |
Hallo Jürgen, nach dem Neustart des PC finde ich im Programm Anti-Malware (MBAM) den gewünschten Verlauf und die Anwendungsprotokolle nicht. Die Angaben sind alle auf Englisch und strotz stöbern finde ich keine Protokolle. Vielleicht kannst du mir hier auf die “Sprunge“ helfen? Ich habe aber vor dem Neustart die Textdatei gesichert und füge diese vorab bei. Schöne Grüße Susi Code: Malwarebytes Anti-Malware |
Und Schritt 3 bitte...:daumenhoc |
Hier die neue FRST Textdatei Code: Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version:17-12-2015 |
Liste der Anhänge anzeigen (Anzahl: 1) Hier die neue G-DATA |
Bei Schritt 3 fehlt die FRST.txt... |
Sorry Jürgen, ich habe wohl versehentlich einen Text “unterschlagen“, daher nun beides im Nachgang. Schöne Grüße Susi Code: Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version:17-12-2015 Code: Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version:17-12-2015 |
Jetzt bitte Suchscan durchführen: Schritt 1 ESET Online Scanner
|
Hallo Jürgen, ich habe nun folgendes Problem: ESET Online Scanner meldet: Updates funktioniert nicht. Ist ein Proxy eingerichtete? Benutzereinstellungen für Proxy verwenden. Und in blauer Schrift: Einstellungen Proxysever Dort steht: 1. Proxy Adresse: 2. Port: 3. Benutzername: 4. Passwort: Schöne Grüße Susi |
Schritt 1 http://www.deeprybka.trojaner-board....rdprotect2.PNG Bitte lade Dir herdprotect von Reason Software (portable edition) auf Deinen Desktop.
|
Liste der Anhänge anzeigen (Anzahl: 2) Hallo Jürgen, es klappt leider nicht, siehe PDF-Anhänge. Schöne Grüße Susi |
Schritt 1 Downloade Dir HitmanProhttp://deeprybka.trojaner-board.de/b.../hitmanpro.pngauf Deinen Desktop: HitmanPro-32 Bit Version HitmanPro-64 Bit Version
|
Liste der Anhänge anzeigen (Anzahl: 3) …….. gelingt leider auch nicht, siehe PDF-Anhänge. Schöne Grüße Susi |
Verstehe das Problem gerade nicht. :D Du kommst doch ins Internet? Adwcleaner hat ja auch funktioniert? Blockiert GDATA da was? |
Liste der Anhänge anzeigen (Anzahl: 3) Hallo Jürgen, deine Vermutung war genau richtig, ich habe G-DATA soweit ich konnte deaktiviert und es erneut versucht. Mit herdProtect funktionier der Scan nun, aber es daaaaaaaauert…… Der Scan läuft nun schon seit gut 5 Stunden. Ich hoffe das er auch wirklich noch richtig läuft, denn am Symbol “Scanning criticals“ kann man keinen Fortschritt erkennen, nur wenn ich die Maus abwechselnd auf die Anfangszeile stelle, steht am Ende des Pfad immer etwas anderes. Schöne Grüße Susi |
Liste der Anhänge anzeigen (Anzahl: 1) Hallo Jürgen, ob der Scan so richtig arbeitet, ich bin mir da nicht mehr so sicher. Woran erkenne ich, ob er (noch) richtig funktioniert? Schöne Grüße Susi |
Wenn sich die Dateien ändern, dann ist es OK. Geduld. |
Hallo Jürgen, es hat sich zwischenzeitlich einiges neu ergeben. Ich habe den Scan mit herdProtect abgebrochen, anschließend noch zweimal neu gestartet aber nach ca. 5 min. hängt sich das Programm immer wieder auf. Anschließend habe ich es mit dem Programm ESET Online Scanner erneut versucht und es funktionierte, wobei vorher G-DATA deaktiviert wurde. Schöne Grüße Susi Code: ESETSmartInstaller@High as downloader log: |
Prima. Funde sind alle irrelevant. http://www.trojaner-board.de/extra/lesestoff.pngGibt es jetzt noch Probleme mit dem PC? Wenn ja, welche? |
Liste der Anhänge anzeigen (Anzahl: 2) Hallo Jürgen, tut mir leid, aber das Problem mit den Meldungen von G-DATA und den sich immer wieder öffnenden Werbe-Webseiten ist nach wie vor noch vorhanden. Nun werden sogar am Bildschirm eine Art Werbebanner eingefügt, das kommt mir vor als würde es immer schlimmer. Der letzte Scan (ohne eingeschalteten G-DATA) hat auch ca. 4 Stunden gedauert. Da muss irgendwo noch immer so ein “Miststück“ fest sitzen. Aber das mit dem herdProtect funktioniert so nicht, oder du hast hier eine Idee. Schöne Grüße Susi |
Schritt 1 http://filepony.de/icon/google_chrome.png Reset: Code: chrome://settings/resetProfileSettings Dann mal bitte einen Adblocker installieren: https://chrome.google.com/webstore/d...dilifddb?hl=de Schritt 2 http://filepony.de/icon/frst.pnghttp://deeprybka.trojaner-board.de/b...e/frst/sn1.PNG Bitte starte FRST erneut, und drücke auf Untersuchen. Bitte poste mir den Inhalt des Logs. |
Liste der Anhänge anzeigen (Anzahl: 2) Hallo Jürgen, hier die gewünschten Infos. G-DATA ist wieder voll aktiviert, ich hoffe das war kein Fehler ACHTUNG: Seit dem der Adblocker installiert ist, sind momentan alle Werbemeldungen und Meldungen von G-DATA verschwunden!!!!!!!!!! Schöne Grüße Susi 1. Schritt: Ohne Addition.text Code: Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version:17-12-2015 2. Schritt: Mit Addition.text Code: Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version:17-12-2015 |
Zitat:
|
Hallo Jürgen, ja, es sieht momentan seeeeeehr gut aus!!!!!!!!! Ich habe aber einige Fragen: 1. Ist der Virus eventuell doch noch irgendwo auf dem PC. 2. Kann ich bedenkenlos Daten zur Sicherung vom PC auf eine externe Festplatte laden, oder besteht die Gefahr, dass der Virus sich mit überträgt. 3. Sollte ich besser alle wichtigen Daten herunterladen und den Rechner formatieren und neu “aufbauen“? Irgendwie traue ich dem “Braten“ noch nicht!!! 4. Soll ich sicherheitshalber noch weitere Programme scannen lassen? Schöne Grüße Susi |
Von Virus kann nicht die Rede sein. PUP gefunden! Was nun? - Anleitungen Es waren lediglich einige Dateien auf dem PC die unter diese Kategorie fallen. Dass GDATA Werbeseiten anmotzt ist sein gútes Recht, vielmehr seine Aufgabe. Rest machen wir morgen, ich habe auch mal Feierabend. :) |
Hallo Jürgen, ganz vielen vielen vielen Dank für deine Hilfestellung! Ich wünsche dir und deinen Lieben einen schönen Abend! Schöne Grüße Susi |
Hallo, im Chrome gibts noch ne seltsame Ext: CHR Extension: (Скидки всегда и для всех) Kennst Du das? |
Liste der Anhänge anzeigen (Anzahl: 2) Hallo Jürgen, nein, ich kann dir nicht sagen woher das kommt und was das bedeutet. Ich habe im Web geschaut, es ist russisch und wird übersetzt als: “Rabatte sind immer für alle“ !? Ich bin auch nicht der einzige, siehe bitte hier den Beitrag von niko72: http://www.trojaner-board.de/174284-...warnungen.html Schöne Grüße Susi |
Dann das Zeug bitte entfernen. |
Hallo Jürgen, wie komme ich nach “C:\Users\pacifik471163\.....usw.“? Wenn ich auf die Anzeige "Computer" gehe, bekomme ich nur folgendes angezeigt: Computer - Packard Bell (C:) - Benutzer - pacifik471163 ……usw.. Ich finde “C:\Users“ nicht. Schöne Grüße Susi |
Hi, Zitat:
|
Liste der Anhänge anzeigen (Anzahl: 3) Hallo Jürgen, ist die “Erweiterung“ die Datei die ich im PDF-Anhang “chrome - extensions_03.pdf“ beigefügt habe, also die Datei in der russischen Schrift? Schöne Grüße Susi |
Genau. :) |
Hallo Jürgen, Der Text: “Скидки всегда и для всех 1.23.28 Наше приложение поможет покупать только лучшие товары по самой выгодной цене“ ergibt bei Google-Übersetzer: “Rabatte sind immer für alle 1.23.28 Unsere app kaufen nur die besten Produkte zum besten Preis“ Keine Ahnung woher das kommt und was das bedeuten soll. Egal, habe es nun entfernt! Frage: Brauche ich die anderen Google-Erweiterungen, bis auf die neue Adblock Plus, überhaupt? Sonst entferne ich die gleich mit. Schöne Grüße Susi |
Zitat:
http://www.trojaner-board.de/extra/lesestoff.pngGibt es jetzt noch Probleme mit dem PC? Wenn ja, welche? Schritt 1 http://filepony.de/icon/frst.pnghttp://deeprybka.trojaner-board.de/b...e/frst/sn1.PNG Bitte starte FRST erneut, und drücke auf Untersuchen. Bitte poste mir den Inhalt des Logs. |
Hallo Jürgen, nein, es gibt seit dem Adblocker installiert ist keine Probleme mehr. Schöne Grüße Susi Hier die gewünschten FRST Code: Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version:17-12-2015 Code: Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version:17-12-2015 |
Schritt 1 http://filepony.de/icon/frst.pnghttp://deeprybka.trojaner-board.de/b...e/frst/sn4.PNG Drücke bitte die http://deeprybka.trojaner-board.de/b...ne/revo/w7.png + R Taste und schreibe notepad in das Ausführen Fenster. Klicke auf OK und kopiere nun den Text aus der Codebox in das leere Textdokument: Code: CloseProcesses:
Java 8 Update 45 bitte unbedingt deinstallieren und bei Bedarf mit der aktuellen Version ersetzen. http://deeprybka.trojaner-board.de/b...ndeeprybka.gif Wir haben es geschafft! :abklatsch: Die Logs sehen für mich im Moment sauber aus. Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:und/oder das Forum mit einer kleinen Spende http://www.trojaner-board.de/extra/spende.png unterstützen. :applaus: Es bleibt mir nur noch, Dir unbeschwertes und sicheres Surfen zu wünschen und dass wir uns hier so bald nicht wiedersehen. ;) http://deeprybka.trojaner-board.de/b...cleanupneu.png Cleanup: (Die Reihenfolge ist hier entscheidend) Falls Defogger verwendet wurde: Erneut starten und auf Re-enable klicken. Falls Combofix verwendet wurde: http://deeprybka.trojaner-board.de/b.../combofix2.pngCombofix deinstallieren
Alle Logs gepostet? Dann lade Dir bitte http://filepony.de/icon/tiny/delfix.pngDelFix herunter.
Hinweis: DelFix entfernt u.a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst. Starte Deinen Rechner abschließend neu. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein, kannst Du diese bedenkenlos löschen. http://deeprybka.trojaner-board.de/b...ast/schild.png Absicherung: Beim Betriebsystem Windows die automatischen Updates aktivieren. Auch die sicherheitsrelevante Software sollte immer nur in der aktuellsten Version vorliegen: Browser Java Flash-Player PDF-Reader Sicherheitslücken (z.B. hier) in deren alten Versionen werden dazu ausgenutzt, um beim einfachen Besuch einer manipulierten Website per "Drive-by" Malware zu installieren. Ich empfehle z.B. die Verwendung von Mozilla Firefox statt des Internet Explorers. Zudem lassen sich mit dem Firefox auch PDF-Dokumente öffnen. Aktiviere eine Firewall. Die in Windows integrierte genügt im Normalfall völlig. Verwende ein Antivirusprogramm mit Echtzeitscanner und stets aktueller Signaturendatenbank. Meine Kauf-Empfehlung: http://deeprybka.trojaner-board.de/eset/ESS.png ESET Smart Security Zusätzlich kannst Du Deinen PC regelmäßig mit Malwarebytes Anti-Malware scannen. Optional: http://filepony.de/icon/noscript.png NoScript verhindert das Ausführen von aktiven Inhalten (Java, JavaScript, Flash,...) für sämtliche Websites. Man kann aber nach dem Prinzip einer Whitelist festlegen, auf welchen Seiten Scripts erlaubt werden sollen. http://filepony.de/icon/malwarebytes_anti_exploit.pngMalwarebytes Anti Exploit: Schützt die Anwendungen des Computers vor der Ausnutzung bekannter Schwachstellen. Lade Software von einem sauberen Portal wie http://filepony.de/images/microbanner.gif. Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen, fürs Programm, irrelevanten Ergänzungen. Um Adware wieder los zu werden, empfiehlt sich zunächst die Deinstallation sowie die anschließende Resteentfernung mit Adwcleaner . Abschließend noch ein paar grundsätzliche Bemerkungen: Ändere regelmäßig Deine wichtigen Online-Passwörter und erstelle regelmäßig Backups Deiner wichtigen Dateien oder des Systems. Der Nutzen von Registry-Cleanern, Optimizern usw. zur Performancesteigerung ist umstritten. Ich empfehle deshalb, die Finger von der Registry zu lassen und lieber die windowseigene Datenträgerbereinigung zu verwenden. |
Liste der Anhänge anzeigen (Anzahl: 3) Hallo Jürgen, das mit dem kopieren und einfügen bekomme ich hin, aber mit dem weiteren Verlauf habe ich noch das alte Problem. Wie schon zuvor geschrieben: wie komme ich nach “C:\Users\pacifik471163\.....usw.“? Wenn ich auf die Anzeige Computer gehe, bekomme ich nur folgendes angezeigt: Computer - Packard Bell (C:) - Benutzer - pacifik471163 ……usw.. Ich finde “C:\Users“ nicht. Schöne Grüße Susi |
Benutzer = Users |
Hallo Jürgen, beim deinstallieren von Java 8 Update 45 will mein PC während der Deinstallation eine Verbindung zur “Aktualisierung“ mit Java herstellen. Soll ich da zustimmen? Schöne Grüße Susi Hier die Fixlog.txt Code: Entferungsergebnis von Farbar Recovery Scan Tool (x64) Version:17-12-2015 |
Ja, mach mal. Hauptsache die alte Version kommt runter. |
Hallo Jürgen, das Programm Java 8 Update 45 ist nun entfernt. Zum Cleanup habe ich folgende Programme sichtbar auf dem Desktop: 1. AdwCleaner_5.025 2. FRST64 3. mbam-setup-2.2.0.1024 4. Malwarebytes Anti-Malware 5. HitmanPro_x64 6. esetsmartinstaller_deu 7. herdProtectScan_Portable Welche müssen deinstalliert werden? Welche sind künftig sinnvoll und sollte ich ab und zu durchführen? Schöne Grüße Susi |
Es steht doch alles beschrieben. :) MBAM sollte man behalten. Mit ESET regelmäßig scannen. Alles andere kann weg. Bzgl. Deiner Anfrage: http://www.trojaner-board.de/108422-...-anfragen.html |
Professionelle Hilfeleistung! Herzlichen Dank an deeprybka!!! Hallo Jürgen, nochmals vielen Dank für deine Geduld (ich war bestimmt nicht einfach) und deine Hilfe. Ich werde das Portal bestens weiterempfehlen!!! Schöne Grüße Susi |
Gerne. Alles Gute. :) |
Hallo Jürgen, habe versucht Malwarebytes Anti-Malware (MBAM) erneut durchzuführen, jedoch gelingt die Aktualisierung nicht. Das Programm befindet sich unter: Computer/C:/Programme Fiels (x86)/ Malwarebytes Anti-Malware, die Verknüpfung liegt auf dem Desktop. Ich öffne die Verknüpfung mit der rechten Maustaste und starte das Programm mit der rechten Maustaste unter “Als Administrator ausführen“. Das Programm öffnet sich und ich gehe auf: Datenbank Version - Nach Aktualisierung suchen. Dann bekomme ich die Meldung: “Verbindung zum Aktualisierungsserver fehlgeschlagen“ Ich habe das alte (1.Download) Programm komplett deinstalliert und wieder neu installiert, aber ohne Erfolg Was mache ich falsch? Danke. Schöne Grüße Susi |
Keine Ahnung. Es ist jetzt auch nicht erforderlich schon wieder einen Scan zu machen. GDATA hat ja sämtliche Tools blockiert. Ist er deaktiviert. |
Hallo Jürgen, ich möchte gerne (nach schon langer Zeit) das Programm Malwarebytes Anti-Malware (MBAM) durchzuführen, jedoch gelingt es mir nicht. Ich habe als erstes sämtliche Funktionen des GDATA deaktiviert. MBAM (Verknüpfung liegt auf Desktop) dann nur per Rechtsklick als Administrator gestartet. Das Programm öffnet sich und ich klicke auf “Jetzt Durchsuchen“, der Scan läuft dann auch aber bleibt im Modus “Auf Aktualisierung prüfen“ hängen, bis zu 30min.. Was mache ich falsch? Danke. Schöne Grüße Susi |
Ist denn bei den Firewall-Regeln bei GDATA irgendwas eingetragen? Ich kenne GDATA nicht und verwende es auch nicht. Bei manchen Programmen gelten aber die Firewall-Regeln selbst bei Deaktivierung weiter. Das ist aber kein Malware-Problem, mithin nicht meine Baustelle. :) |
Alle Zeitangaben in WEZ +1. Es ist jetzt 07:42 Uhr. |
Copyright ©2000-2024, Trojaner-Board