Windows 10: Adware
 

Hallo zusammen,

ich entschuldige mich gleich im Vorraus für mein bisher planloses Vorgehen, ich hätte gleich hier her kommen sollen :rolleyes:

Ich hab hier ein Notebook einer Freundes mit Windows 10 64 Bit welches auf allen Seiten sowohl im Firefox als auch Internet Explorer Werbung eingeblendet hat. Außerdem haben Tools wie GeForce Experience keine Verbindung für Updates herstellen können. Ich hab dann einmal Malwarebytes Anti-Malware rüberlaufen lassen und die Funde entfernen lassen. Danach schien alles in Ordnung und er hat das Notebook wieder mitgenommen. Eine Woche später kam dann raus das die Adware scheinbar nicht vollständig entfernt wurde. Ich hab dann mit Malwarebytes Anti-Malware, AdwCleaner und Desinfec't versucht den Rechner sauber zu kriegen. Anfangs relativ erfolglos, denn selbst nachdem kein Tool mehr etwas fand wurde immer noch Werbung eingeblendet. Heute bin ich dann nach der Anleitung aus einem älteren Thread dieser Seite vorgegangen (Anti-Malware, AdwCleaner und Junkware Removal Tool in der Reihenfolge und dabei die AdwCleaner Einstellungen wie hier beschrieben hxxp://anleitung.trojaner-board.de/adwcleaner-anleitung-browser-viren-entfernen_24 )
Außerdem habe ich Firefox deinstalliert und die verbleibenden Ordner in Program Files und %appdata% gelöscht und daraufhin noch mal neu installiert. Mit KMSpico hab ich dann noch ein Crack gefunden der jetzt ebenfalls gelöscht ist. In den älteren Logs ist der noch drinne.
Nun scheint zwar alles in Ordnung aber so richtig traue ich der Sache nicht, weshalb ich euch bitten möchte das ganze nochmal anzusehen. Da ich erst so planlos vorgegangen bin werden das jetzt recht viele Logfiles.

Zuerstmal die FRST Logs vom jetztigen Zustand
FRST.txt
Addition.txt

Nun die Ergebnisse des heutigen Säuberungsvorgangs.

Zuerst lief desinfec't, den Vollständigen Log muss ich zippen, aber gefunden wurde eine Adware in /media/Windows/Users/s.herzog/AppData/Local/Temp/ICSW1.18/ICSW1.18_0C1F1L1G1L1B0R1P2X0S1M1T1C1P1.18.exe, welche ich durch das Löschen von AppData/Local/Temp/* entfernt habe.
Außerdem eine Adware in der Quarantäne von AdwCleaner, KMSpico, was ich inzwischen gelöscht habe, und zwei nur von Avira entdeckten Funde in der Recovery. Mit denen wusste ich nichts anzufangen bzw hab mich nicht getraut da dran rumzufuschen. Die Ergebnisübersicht als CSV kommt gleich, die details siehe Angehängte ZIP files. Verteilt auf zwei Files, da es mit der maximal erlaubten Dateigröße kollidierte.
Danach Malwarebytes Anti-Malware (mbam-log-2016-03-25 (17-15-27).txt)
AdwCleaner S
AdwCleaner C
JRT



Das waren die Sachen von heute.

Und nun den Kram seit ich das Notebook zum erstenmal in die Hände kriegte:

Malwarebytes:
mbam-log-2016-03-21 (16-38-40)
mbam-log-2016-03-21 (13-03-05)
mbam-log-2016-03-19 (00-53-26)
mbam-log-2016-03-19 (00-26-34)
mbam-log-2016-03-19 (00-17-49)
mbam-log-2016-03-14 (19-18-13)
mbam-log-2016-03-12 (21-18-38)
mbam-log-2016-03-12 (19-23-51)
mbam-log-2016-03-11 (19-45-05)




AdwCleaner:
AdwCleaner[S1]
AdwCleaner[C1]
AdwCleaner[S2]
AdwCleaner[S3]
AdwCleaner[S4]
AdwCleaner[C2]



Sooooo, das müsste es gewesen sein. Falls sich jemand dieser Sache annehmen sollte, VIELEN DANK im Vorraus.

Viele Grüße,
Bccc1

:hallo:
Mein Name ist Rafael und ich werde dir bei der Bereinigung helfen.

Damit ich dir optimal helfen kann, halte dich bitte an folgende Regeln:

• Bitte lies meine Posts komplett durch bevor du sie abarbeitest
• Wenn ein Problem auftauchen sollte oder dir etwas unklar ist, unterbreche deine Arbeit und beschreibe es so genau wie möglich.
• Bitte kein Crossposting
• Installiere oder Deinstalliere keine Software ohne Aufforderung
• Bitte verwende nur die Tools, welche hier im Thread erwähnt werden und führe sie nur gemäß Anweisung aus
• Bitte antworte innerhalb von 24h um eine sinnvolle Bereinigung zu ermöglichen
• Poste die Logs immer in CODE-Tags (#-Button), zur Not die Logs einfach aufteilen
• Wichtig: Nur weil dein Problem mit einem Schritt plötzlich behoben ist, bedeutet das nicht, dass dein PC auch sauber ist. Mache solange weiter, bis ich dir sage, dass dein PC "clean" ist
• Wenn ich dir nicht binnen 36h antworte, sende mir bitte eine persönliche Nachricht!

Los geht's :abklatsch:

Ganz ruhig haha

Schritt: 1
Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.


Schritt: 2
Bitte lade dir CKScanner von diesem Link: CKScanner

• Speichere es auf deinem Desktop
• Mache einen Rechtsklick auf CKScanner.exe und wähle "Als Administrator ausführen"
• Wähle "Search For Files"
• Wenn der Scan fertig ist, klicke auf "Save List To File"
• Öffne die "CKFiles.txt" auf deinem Desktop und poste mir deren Inhalt in der nächsten Antwort.

Führe das Tool nur ein Mal aus!

Hallo Rafael, vielen Dank für die Hilfe.

Schritt 1 / TDSSKiller.3.1.0.9_26.03.2016_10.58.13_log
Schritt 2 / ckfiles
Rein aus Interesse, warum soll das Tool nur einmal ausgeführt werden? Macht das mehr als nur zu scannen?

;)

Schritt: 1
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Schritt: 2

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hinweis: Dieser Scan kann schon einmal mehrere Stunden dauern...

Schritt: 3
Bitte starte wieder FRST, setze den Haken bei Addition und drücke auf Untersuchen. Poste bitte wieder die beiden Textdateien, die so entstehen.

Schritt 1 / Fixlog.txt
Schritt 2 läuft grade noch.

Schritt 2 / log.txt
Schritt 3 / FRST

FRST.txt

FRST Logfile:
--- --- ---


Addition.txt

Ich weiß nicht ob das hier her gehört, aber das Tool WD Backup lässt sich nicht deinstallieren. Die Deinstallationsroutine wird durchlaufen, eine Erfolgsmeldung ausgegeben und danach ist das Programm immer noch da.
Adware spezifisch kann ich aber keine Probleme mehr finden.

Schritt: 1
Lade Dir bitte von hier Revo Uninstaller (alternativ portable Revo Uninstaller) herunter.

• Installiere und starte das Programm. (Bebilderte Anleitung zu Revo Uninstaller)
• Klicke auf Optionen und wähle als Sprache Deutsch.
• Suche im Uninstallerfeld nach den Programmen:
  WD Backup
  
• Wähle die Programme nacheinander aus und klicke jedes Mal auf Uninstall.
• Wähle anschließend den Modus "Moderat" aus.
  
• Reste löschen:
  Klicke auf dann auf und dann auf .

 

Schritt: 2
Bitte starte wieder FRST, setze den Haken bei Addition und drücke auf Untersuchen. Poste bitte wieder die beiden Textdateien, die so entstehen.


Hat das geholfen?

Addition
FRST

Aus der Programme und Features Liste ist WD Backup zwar nun verschwunden, aber auch nach einem Neustart läuft es immer noch (Icon im Tray und WD App Manager und WDBackupService im Taskmanager).
Übrigens ist das erstellen eines Wiederherstellungspunktes als ersten Schrittes des Uninstallers fehlgeschlagen. Scheinbar ist da auch noch was im argen.

Schritt: 1
Downloade dir bitte http://www.imgdumper.nl/uploads6/51a...3de-delfix.png DelFix by Xplode

• Mache einen Doppelklick auf Delfix.exe um das Tool zu starten.
• Wähle nur die folgenden Optionen aus:
  • Activate UAC
  • Create registry backup
  • Purge System Restore
  • Reset system settings

Klicke auf "Run" und lasse das Programm arbeiten.
Das Logfile musst du mir nicht posten.

Schritt: 2
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Schritt: 3
Bitte starte wieder FRST, setze den Haken bei Addition und drücke auf Untersuchen. Poste bitte wieder die beiden Textdateien, die so entstehen.

Fixlog
FRST
Addition

Und hast du noch immer Probleme? :)

Nein, jetzt scheint alles in Ordnung zu sein. Vielen Dank dafür!
Heute morgen hatte ich vor der Arbeit keine Zeit mehr die Wirksamkeit der Maßnahmen zu prüfen, sonst hätte ich das schon in meinem vorherigen Post erwähnt.
Aus meiner Sicht ist das Thema damit erledigt. Oder gibt es noch irgendetwas das abschließend getan werden sollte?

Die Logs von deinem Rechner sehen jetzt für mich sauber aus: Herzlichen Glückwunsch - du bist Clean :daumenhoc



Zum Schluss müssen wir noch etwas aufräumen und ich gebe dir ein paar Hinweise mit auf den Weg:

Wichtig: Entfernen der verwendeten Tools
Die Reihenfolge ist hier entscheidend.

1. Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
2. Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
   • Windowstaste + R > Combofix /Uninstall (eingeben) > OK
   • Alternative: Combofix.exe in uninstall.exe umbenennen und starten
   • Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
3. Downloade Dir bitte auf jeden Fall DelFix auf deinen Desktop:
   • Schließe alle offenen Programme.
   • Starte die delfix.exe mit einem Doppelklick.
   • Setze vor jede Funktion ein Häkchen.
   • Klicke auf Start.
   • Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
   • Starte deinen Rechner abschließend neu.
4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

http://filepony.de/icon/tiny/malware...ti_malware.png Malwarebytes Anti-Malware und http://filepony.de/icon/tiny/eset_online_scanner.pngESET kannst du als Ergänzung zu deiner bestehenden Antivirus-Lösung auf dem Computer belassen und deinen Computer damit regelmäßig scannen.


Persönliche Empfehlungen
Das wichtigste zu erst:

• Aktiviere unbedingt die automatischen Updates von Windows und stelle auch sicher, dass diese regelmäßig installiert werden.
• Aktiviere immer eine Firewall - die in Windows integrierte reicht dazu vollkommen aus.
• Verwende immer ein Antivirenprogramm und stelle sicher, dass es sich regelmäßig aktualisiert.
  
  Wenn du kein Geld ausgeben möchtest, empfehle ich dir auf Windows 8.1 bzw. Windows 10 einfach den http://res1.windows.microsoft.com/re...7b7222e_14.png Defender zu benutzen. Solltest du noch Windows 7 verwenden, verwende als kostenlose Lösung die http://i1366.photobucket.com/albums/...psdnaytr4t.pngMicrosoft Security Essentials.
  
  Wenn dir etwas besserer Schutz mit Verhaltenserkennung etwas wert ist, um so auch optimalerweise ganz neue Schadsoftware zu erkennen, empfehle ich dir eine der beiden folgenden Lösungen:
  • http://filepony.de/icon/tiny/emsisoft_anti_malware.pngEmsisoft (25% Rabatt für Trojaner Board Mitglieder)
  • http://deeprybka.trojaner-board.de/eset/ESET_logo.pngESET Antivirus

Schutz vor unerwünschter Software
Adware ist zu einer Art permanenten Bedrohung geworden, weil immer mehr Programme versuchen, einem beim Installieren noch was anderes unterzujubeln - und wie schnell hat man da ein Häkchen übersehen?

Darum: pass auf, wenn du dir Software aus dem Internet herunterlädst! Viele Portale im Internet wie Chip, Softonic und Sourceforge versuchen häufig, dir Adware oder sonstige Downloader mit unerwünschten Programmen unterzujubeln. Downloade nach Möglichkeit immer direkt von der Herstellerseite oder alternativ von einem sauberen Download-Portal, wie von FilePony.de.
Lese dir dazu auch folgenden Artikel durch: CHIP-Installer - was ist das? - Anleitungen

Selbst wenn du ein Programm von einer seriösen Quelle heruntergeladen hast, ist das keine Garantie, dass dein Programm nicht doch versucht, unerwünschte Änderungen an deinem Computer vorzunehmen. So versuchen immer mehr Programme, durch modifizierte Installationsroutinen unerwünschte Programme mit auf deinen PC zu schleusen. Das klappt leider auch häufig, weil viele Anwender nicht lesen, was auf dem Bildschirm steht und stattdessen schnell durchklicken.
Deshalb: Wenn du ein Programm installierst, wähle immer die benutzerdefinierte Installation und schaue, was du da gerade eigentlich alles mit einem Klick auf "Ok" oder "Weiter" abnickst - entferne entsprechend die Haken bei Dingen, die du nicht möchtest. Wer lesen kann, ist klar im Vorteil!

Benutze keine Optimizer, Cleaner oder sonstige SpeedUp Wunder, da diese Tools fast nie einen auch nur messbaren Performancegewinn bringen.
Du kannst jedoch regelmäßig auf deinem PC die Datenträgerbereinigung ausführen, so gewinnst du belegten Speicherplatz zurück.

Aktiviere in deiner Virenschutzlösungen den "Schutz vor potentiell unerwünschter Software", um dich bestmöglich zu schützen.

Guter Trick: Wenn du den kostenlosen Windows Defender benutzt (ab Windows 8), kannst du einen vergleichbaren Schutz durch einen kleinen Trick auch nutzen! Lese dazu folgenden Artikel um dich mehr zu informieren: Windows mit verstecktem Adware-Killer
Zum aktivieren dieses "Tricks" lade einfach nur diese Datei und führe sie aus: MpEnablePlus.reg

Tipps, um dein System sicherer zu machen
Halte immer deine Plug-ins und Software, insbesondere deinen Browser aktuell. Deinstalliere wenn möglich Java und den Adobe Flashplayer von deinem Computer. Neuerdings benötigt man sie fast nie mehr und stellen darum nur mehr eine unnötige Sicherheitslücke auf deinem Computer dar. Wenn du sie doch unbedingt benötigst, halte sie aber unbedingt aktuell.

Weiters kannst du dir http://filepony.de/icon/tiny/malware...ti_exploit.pngMalwarebytes Anti-Exploit installieren. Es schützt gegen viele aktuelle Sicherheitslücken und erhöht so deine Sicherheit.

Passwörter
Ändere regelmäßig deine Passwörter! Zudem musst du sichere Passwörter benutzen, das bedeutet: mindestens 8 Zeichen, Groß- und Kleinbuchstaben und Sonderzeichen.
Ganz wichtig: benutze pro Account ein anderes Passwort!
Tipp: Benutze einen Spruch, den du dir leicht merken kannst, als Hilfe für ein Passwort! Zum Beispiel: Der Himmel ist blau und wenn es regnet?-grau ==> DHibuwer?-grau


Unterstütze uns und empfiehl uns weiter

Du kennst Freunde und Bekannte, die Probleme mit ihrem Computer haben? Schick sie doch zu uns auf das Trojaner Board, wir helfen gerne :daumenhoc

Wenn du uns mit einer Spende unterstützen möchtest, freuen wir uns sehr und dies kannst du hier tun: http://www.trojaner-board.de/79994-s...ndenkonto.html Herzlichen Dank dafür :party:

Wir machen diese Tätigkeit hier freiwillig, darum freue ich mich besonders über ein kurzes Danke, wenn du mit mir zufrieden warest oder sonst über Verbesserungsvorschläge - das kannst du gerne hier machen :)

Besuche und like unsere Facebook-Seite! http://3.bp.blogspot.com/--h4eLCX9kl...ike-symbol.png

:abklatsch: Danke für deine Mitarbeit und alles Gute! :abklatsch:

Bitte gib mir Bescheid, wenn du das alles gelesen hast und du keine weiteren Fragen mehr hast.