Windows 10: Umleitung auf Werbung und installieren von Schadsoftware, evtl Spyware
 

Guten Tag alle zusammen,

ich trage das oben genannte Problem schon seit rund 2-3 Monate mit mir herum, deswegen könnte das ein etwas längerer Post werden. :'D

Gleich mal vorneweg die Problemquelle (von der ich selbst aber erst vor einigen Tagen erfahren habe): Meine Schwester hat sich unerlaubterweise einen key generator heruntergeladen und damit auch das folgende Problem.

Was ist anfangs passiert?
1. Ständige Umleitung in Mozilla Firefox (MF) auf Werbung, entweder in neue Tabs oder gleich im aktuellen Tab selbst (und das trotz der Addons "Adblocker" und "NoScript")
2. Installieren von den Softwares "qksee" und YAC! Yet Another Cleaner
3. Änderungen der Standardapps, so konnte ich z. B. die App zum Öffnen von Fotos nicht mehr festlegen, oder MF als Standardbrowser etc
4. Irgendwann ließ sich MF nicht mehr ausführen, mir wurden Administratorenrechte zum Ausführen von Programmen entzogen etc

Ich hab nach einem Neustart erstmal Standardschritte unternommen, wie Addons und Einstellungen in MF überprüft, qksee und YAC deinstalliert und Kaspersky drüber laufen lassen (mit ausgeschaltetem Internet).
Ca. zwei Wochen später war alles so, als hätte ich nie etwas unternommen bzw. ein weiteres Problem kam hinzu: Mir wurde ständig Google Chrome aufgezwungen.

Also habe ich ein Tutorial zum Entfernen von qksee und YAC gemacht, inklusive Löschung aller relevanten keys in der registry, Neuinstallieren von MF im Abgesicherten Modus und nochmals Kaspersky drüber. Das Resultat:
1. Kein Entzug der Administratorenrechte mehr
2. Kein zwanghaftes Installieren von Google Chrome

Aber:
1. MF musste ich immer wieder neu installieren, weil es nicht mehr wollte
2. YAC und qksee kamen wieder
3. Standardapps wurden immer noch zurückgesetzt
4. Immer noch Umleitungen zu Werbeseiten u. Ä.
5. Neue Searchbar namens "SearchInme" (oder so) tauchte auf und verschwand nicht trotz Zurücksetzens von MF, Überprüfen der Addons, Neuinstallierens etc.

Also kam dann, wie gehabt ohne Internet, ein Anti-Rootkit-Programm von Malwarebytes zum Einsatz (ich weiß aber nicht, ob ich die logfiles noch finde, das ist ca. 2-3 Wochen her). Das Resultat war zwar, dass ich nicht mehr auf Werbeseiten umgeleitet wurde und die Searchbar verschwand, der Rest blieb aber gleich bzw. es tauchte noch eine Seite namens "nuesearch.com" auf, die als Standardseite in MF eingestellt wurde (aber wieder weg ist).

Gestern habe ich dann, nachdem ich MF deinstalliert hatte, nacheinander folgende Schritte unternommen:
1. Adwcleaner
2. Malwarebytes
3. Anti-Rootkit
4. Zum Abschluss nochmal Kaspersky (wobei das nach 30% immer stehen geblieben ist, auch nach dem dritten Startversuch, also kein vollständiger Scan; keine Ahnung wieso, beim letzten Mal, als ich's anwarf, lief alles wie am Schnürchen)

Wenn benötigt, schicke ich auch die logfiles unter Anweisung wo und wie ich sie finde. Von Kaspersky hätte ich halt noch Untersuchungsergebnisse von vor 5-6 Tagen (wenn man mir hilft, wo die zu finden sind), falls das was hilft, der Rest ist eben frisch von gestern sozusagen.

Außerdem hier noch die FRST:

Die Addition musste ich anhängen, weil der Eintrag sonst zu lang ist! Sorry!

Ich danke schon mal für eure Hilfe!

Viele Grüße
Death

:hallo:


Mein Name ist Matthias und ich werde dir bei der Bereinigung deines Computers helfen.


Bitte beachte folgende Hinweise:

• Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support unterbrechen bis jegliche Art von illegaler Software vom Rechner entfernt wurde.
• Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
• Solltest du mir nicht innerhalb von 3 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo. Solltest du einmal länger abwesend sein, so gib mir bitte Bescheid!
• Während der Bereinigung bitte nichts installieren oder deinstallieren, außer ich bitte dich darum!
• Bitte beachten: Download bei filepony.de: So ladet Ihr unsere Tools richtig!
• Alle zu verwendenen Programme sind auf dem Desktop abzuspeichern und von dort als Administrator zu starten!
• Einige Programme, die wir hier verwenden, können unter Umständen von deinem Antiviren- oder Anti-Malwareprogramm fälschlicherweise als Bedrohung eingestuft werden. Die Sicherheitsprogramme können aufgrund eines bestimmten Programmverhaltens nicht zwischen "gut" oder "böse" unterscheiden und schlagen Alarm. Dabei handelt es sich um Fehlalarme, welche du getrost ignorieren kannst. Gegebenenfalls musst du deine Sicherheitssoftware vor der Ausführung eines Programms deaktivieren, damit unsere Bereinigungsvorgänge nicht beeinträchtigt werden.

Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab und poste alle Logdateien in CODE-Tags:

Danke für deine Mitarbeit!





Zukünftig bitte beachten:
Leider hast du unsere Anleitung nicht richtig befolgt:
Bitte alle Tools direkt auf den Desktop downloaden bzw. dorthin verschieben und vom Desktop starten, da unsere Anleitungen daraufhin ausgelegt sind.
Zudem lassen sich dann am Ende der Bereinigung alle verwendeten Tools sehr einfach entfernen.
Alle Tools bis zum Ende der Bereinigung auf dem Desktop lassen, evtl. benötigen wir manche öfter.




Ich sehe noch einiges an Malware auf dem Rechner. Wir machen bitte zuerst nochmal folgendes:




Schritt 1

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Werkzeuge > Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel
  • "Prefetch" Dateien
  • Proxy
  • Winsock
  • Internet Explorer Richtlinien
  • Chrome Richtlinien
  • Chrome Einstellungen
• Bestätige die Auswahl mit Ok.
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen (auch dann wenn AdwCleaner sagt, dass nichts gefunden wurde) und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 2
Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 3

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Schritt 4

• Starte die FRST.exe erneut. Setze einen Haken vor Addition.txt und drücke auf Scan.
• FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort

• die Logdatei von AdwCleaner,
• die Logdatei von MBAM,
• die Logdatei von JRT,
• die beiden neuen Logdateien von FRST.

Hallo Matthias,

erst einmal vielen Dank für deine Hilfe!

Hier die Datei vom AdwCleaner:

Hier vom MBAM:
Hier JRT:
Hier FRST:
Ich weiß aber nicht, wieso die so kurz ist, aber das kommt raus...

Hier die Addition:
Ich hoffe, jetzt stimmt alles!

Servus,


gut gemacht! :daumenhoc

Aber wieso benutzt du bei AdwCleaner die lokale Datenbank?
Damit erhältst du nie die neuesten Signaturen... so solltest du es ändern:
1. Adwcleaner starten
2. Klicke auf Werkzeuge > Optionen
3. Wähle unter der Rubrik "Datenbank" --> Server aus
4. Bestätige mit Ok.

AdwCleaner bitte wie beschrieben nochmal ausführen.





Die FRST.txt ist leider auch unvollständig, daher können wir noch nicht weitermachen.

Bitte Schritt 4 nochmal ausführen und die Logdateien posten, dann kann es weitergehen. :)

Hey,

komisch eigentlich, dass er die lokale Datenbank genommen hat, es war schon auf Server voreingestellt seh ich grad. Hmm naja egal, jetzt sollte es ja passen.^^

Jetzt mal eine vollständige FRST, kA, wieso das gestern nichts geworden ist:

Die Addition musste ich leider wieder anhängen, weil der Eintrag zu lang war, sorry. >.<
Aber hoffentlich passt jetzt alles!

Servus,


sehr gut gemacht. :daumenhoc :daumenhoc




Wir entfernen die letzten Reste und kontrollieren nochmal alles. :)



Hinweis: Der Suchlauf mit ESET kann länger dauern.



Schritt 1
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Schritt 2

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 3
Downloade dir die passende Version von HitmanPro auf deinen Desktop: HitmanPro - 32 Bit | HitmanPro - 64 Bit.

• Starte die HitmanPro.exe
• Klicke auf
  
• Entferne den Haken bei
  
• Klicke auf
  und
• Akzeptiere die Lizenzbedingungen und klicke auf
• Klicke auf
  
  und auf
• Wenn der Scan beendet wurde, nichts löschen lassen etc. sondern wähle unten links auf der Button-Leiste
  und speichere die Logdatei auf Deinem Desktop.
• Schließe HitmanPro und poste mir das Log.

 

Schritt 4

• Starte die FRST.exe erneut. Setze einen Haken vor Addition.txt und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

http://www.trojaner-board.de/extra/lesestoff.pngGibt es jetzt noch Probleme mit dem PC? Wenn ja, welche?







Bitte poste mit deiner nächsten Antwort

• die Logdatei des FRST-Fix,
• die Logdatei von ESET,
• die Logdatei von HitmanPro,
• die beiden neuen Logdateien von FRST,
• die Beantwortung der gestellten Fragen.

Hallöchen :)

Und weiter geht's mit dem Fixlog:
Hier ESET (hat verdammt lang gebraucht, darum erst die späte Antwort):
Hier von Hitman:
FRST:
Die Addition musste ich wieder als zip anhängen.

Puh!
Vielen Dank, dass du dir die Mühe machst und dich durch das alles durchackerst!

Edit: Ach sorry, hab vergessen, die Frage zu beantworten. Bisher gab es keine Probleme mehr. Die Sache ist allerdings diese: Ich dachte bisher auch nach jedem unternommenen Schritt, dass das Problem behoben wäre. Mit Sicherheit könnte ich eigentlich erst in ein paar Wochen sagen, ob das Problem behoben ist oder nicht, weil es für gewöhnlich in dem Zeitraum wiederkommt. Es sei denn natürlich, du sagst mir, dass das absolut nicht der Fall sein kann, dass, was auch immer ich auf dem PC hatte, zurückkommt.
Aber ansonsten nein, hab ich keine Probleme momentan.

Servus,



sieht schon ganz gut aus. :daumenhoc :daumenhoc

Wir entfernen nur noch ein paar Reste, dann sollte alles passen.
Im Anschluss bitte ich dich, eine Datei hochzuladen.
Abschließend noch ein paar Tipps für die Zukunft.








Reste entfernen
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Die Fixlog von FRST gleich posten, da diese sonst mit DelFix (siehe weiter unten) automatisch entfernt wird!





Archiv hochladen

• Deaktiviere dein Anti-Viren-Programm.
• Gehe zum Ordner C:\FRST\Quarantine.
• Rechtsklicke auf den Ordner Quarantine und wähle > Senden an > Zip-komprimierter Ordner.
• Es wird eine zip-Datei mit dem Namen Quarantine.zip im Ordner FRST erstellt.
• Lade die Quarantine.zip im Upload-Channel hoch.
• Klicke dazu auf Durchsuchen, navigiere zu der zip-Datei ( C:\FRST\Quarantine.zip ) und klicke auf Öffnen.
• Klicke abschließend auf Hochladen.
• Vielen Dank für deine Hilfe.
• Aktiviere dein Anti-Viren-Programm wieder.

Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc
Zum Schluss müssen wir noch ein paar abschließende Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern.




http://deeprybka.trojaner-board.de/b...cleanupneu.png
Cleanup:
Alle Logs gepostet? Dann lade Dir bitte http://filepony.de/icon/tiny/delfix.pngDelFix herunter.

• Schließe alle offenen Programme.
• Starte die delfix.exe mit einem Doppelklick.
• Setze vor jede Funktion ein Häkchen.
• Klicke auf Start.

Hinweis:
DelFix entfernt u.a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
Starte Deinen Rechner anschließend neu. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein, kannst Du diese bedenkenlos löschen.




http://deeprybka.trojaner-board.de/b...ast/schild.png
Absicherung:
Beim Betriebsystem Windows die automatischen Updates aktivieren. Auch die sicherheitsrelevante Software sollte immer nur in der aktuellsten Version vorliegen:
Browser
Java
Flash-Player
PDF-Reader

Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim einfachen Besuch einer manipulierten Website per "Drive-by" Malware zu installieren.
Ich empfehle z.B. die Verwendung von Mozilla Firefox statt des Internet Explorers. Zudem lassen sich mit dem Firefox auch PDF-Dokumente öffnen.

Aktiviere eine Firewall. Die in Windows integrierte genügt im Normalfall völlig.




Sofern du noch unentschieden bist, verwende ein einziges der folgenden Antivirusprogramme mit Echtzeitscanner und stets aktueller Signaturendatenbank:

	Emsisoft	Microsoft Security Essentials	ESET
	http://filepony.de/icon/emsisoft_anti_malware.png	http://filepony.de/icon/microsoft_se...essentials.png	http://deeprybka.trojaner-board.de/eset/esetmd.png

Microsoft Security Essentials (MSE) ist ab Windows 8 fest eingebaut, wenn du also Windows 8, 8.1 oder 10 und dich für MSE entschieden hast, brauchst du nicht extra MSE zu installieren. Bei Windows 7 muss es aber manuell installiert oder über die Windows Updates als optionales Update bezogen werden. Selbstverständlich ist ein legales/aktiviertes Windows Voraussetzung dafür.




Zusätzlich kannst Du Deinen PC regelmäßig mit Malwarebytes Anti-Malware und ESET scannen.




Optional:
http://filepony.de/icon/adblock_firefox.pngAdblock Plus Kann Banner, Pop-ups, Videowerbung, Tracking und Malware-Seiten blockieren.
http://filepony.de/icon/noscript.png NoScript Verhindert das Ausführen von aktiven Inhalten (Java, JavaScript, Flash,...) für sämtliche Websites. Man kann aber nach dem Prinzip einer Whitelist festlegen, auf welchen Seiten Scripts erlaubt werden sollen.
http://filepony.de/icon/malwarebytes_anti_exploit.pngMalwarebytes Anti Exploit: Schützt die Anwendungen des Computers vor der Ausnutzung bekannter Schwachstellen.

Lade Software von einem sauberen Portal wie http://filepony.de/images/microbanner.gif.
Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen, fürs Programm, irrelevanten Ergänzungen.
Um Adware wieder los zu werden, empfiehlt sich zunächst die Deinstallation sowie die anschließende Resteentfernung mit Adwcleaner .




Abschließend noch ein paar grundsätzliche Bemerkungen:

• Ändere regelmäßig Deine wichtigen Online-Passwörter und erstelle regelmäßig Backups Deiner wichtigen Dateien oder des Systems.
• Lade keine Software von Chip, Softonic oder SourceForge. Die dort angebotene Software wird häufig mit einem sog. "Installer" verteilt, mit dem man sich nur unerwünschte Software oder Adware installiert.
• Der Nutzen von Registry-Cleanern, Optimizern usw. zur Performancesteigerung ist umstritten. Selbst Microsoft unterstützt sog. Registry-Cleaner nicht. Ich empfehle deshalb, die Finger von der Registry zu lassen und lieber die windowseigene Datenträgerbereinigung zu verwenden.

Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:und/oder das Forum mit einer kleinen Spende http://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Hey,

unglaublich, wie hartnäckig sich manche Programme halten, obwohl man sie schon vor Ewigkeiten entfernt hat.

Na hier ist jedenfalls der Fixlog:
Vielen Dank für die Tipps und Anmerkungen. Die halte ich selbst grundsätzlich immer ein und es ist auch immer alles auf dem neuesten Stand, aber es scheint so, als sollte man wirklich niemand anderes als sich selbst an den Computer ranlassen...

Wie auch immer, noch mal vielen lieben Dank für die Mühe, die du dir gemacht, hast, ich werd dir auf jeden Fall ein Feedback hinterlassen. :) :dankeschoen:

Ansonsten wäre so weit alles geklärt, du kannst mich also ruhig rausnehmen. Falls wieder was sein sollte, schreib ich. ;D :abklatsch:

Vielen Dank für den Upload. :)


Alles Gute!



Ich bin froh, dass wir helfen konnten :abklatsch:

In diesem Forum kannst du eine kurze Rückmeldung zur Bereinigung abgeben, sofern du das möchtest:
Lob, Kritik und Wünsche
Klicke dazu auf den Button "NEUES THEMA" und poste ein kleines Feedback. Vielen Dank! :)

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen.