Webseiten mit unerwünschten Links versehen
 

Auf meinen PC werden aufgerufene Webseiten im Browser mit illegalen Links versehen. Dabei werden einzelne Wörter ausgewählt und bekommen einen Link zu verschiedenen Webseiten.

Beispiel: "hxxp://www.onlinefocus24.com/, de.clickcompare.info/search/schweiz/ oder ext.datingarea.eu/86316/12-12/"

Dass es nur auf meinen PC passiert, habe ich überprüft.

Kann es sich um einen Virus oder Trojaner handeln?

Mein Virenscanner ist G DATA InternetSecurity 2013

Gruß, Hoffi

:hallo:

Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.


Gelesen und verstanden?

Addons überprüfen (Firefox)

• Klicke auf http://www.trojaner-board.de/picture...&pictureid=324 > Add-ons
• Überprüfe ob du ein Addon namens "Video Downloader" (oder ähnlich) installiert hast.
• Diese sind bekannt dafür, dass sie neuerdings mit Werbung gebündelt sind.
• Deinstalliere es und berichte ob das Problem weiterhin besteht.

Add-Ons von Real-Player, die in Frage kommen könnten, deaktiviert, aber keine Änderung des Problems.

Dann schauen wir eben mal tiefer:


Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!)
Deinstallation von Programmen

• Windows XP: Start > Systemsteuerung > Software > [Programmname] > Deinstallieren
• Windows Vista / 7: Start > Systemsteuerung > Programme und Funktionen > [Programmname] > Deinstallieren
• ggf. Neustart zulassen

Deinstalliere - falls du es nicht absichtlich installiert hast - alles was den Zusatz "Toolbar" enthält.

Gehe bitte die folgende Liste durch und deinstalliere die genannten Programme, falls vorhanden:
CCleaner oder andere Registry-Cleaner, TuneUp Utilities (inkl. Language Pack), Glary Utilities, Spybot S & D (inklusive Teatimer), Zonealarm Firewall, McAfee Security Scan, Spyware Hunter, Spyware Terminator, Java 6 (alle), Pokersoftware, xp-Antispy, Hotspot Shield, iLivid

Schritt 2:
AdwCleaner: Werbeprogramme suchen und löschen

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 3:
Temporäre Dateien löschen mit TFC

Bitte lade dir TFC auf deinen Desktop und starte es. Es wird automatisch alle temporären Dateien entfernen.

Schritt 4:
Scan mit DDS+ (mit attach)

Downloade dir bitte DDS (von sUBs) und speichere die Datei auf deinem Desktop.

dds.com

• Schließe alle laufenden Programme und starte DDS mit Doppelklick.
• Der Desktop wird verschwinden, das ist normal.
• Stelle folgendes ein:
  
  [X] dds.txt
  [X] attach.txt
  [ ] options for dds.txt
  
  
• Ändere keine Einstellung ohne Anweisung.
• Klicke auf Start.
• Es werden 2 Logfiles auf deinem Desktop erstellt.
  • dds.txt
  • attach.txt
• Poste die beiden Logfile hier, möglichst in CODE-Tags.

Ich habe alles abgearbeitet.
Im "Software" war nur McAfee Security Scan zu löschen. Andere waren nicht installiert. Java ist Version 7.x.
Danach habe ich die angegebenen Programme abgearbeitet und im Anhang sind die Dateien.

Das wichtigste: Es werden keine Webseiten mehr mit unerwünschten Links versehen.

Danke für die Hilfe.

Einen Gruß aus der Bierstadt Radeberg, Hoffi.

Gut! :daumenhoc

Soweit ich das sehe haben wir damit alles Schädliche entfernt. Um sicher sein zu können müssen jetzt noch ein paar Kontrollen machen und werden dann deinen Computer noch auf einen sicheren Stand bringen. Da diese Scans jetzt sehr lange dauern können bitte ich dich mir erst wieder zu schreiben, wenn du auch wirklich alles erledigt hast oder Probleme auftreten sollten.

Schritt 1:
Quick-Scan mit Malwarebytes

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 2:

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte poste das Logfile hier oder teile mir mit, dass nichts gefunden wurde.

Hinweis: Der Scan kann sehr lange (einige Stunden) dauern! :kaffee:

Schritt 3:
Scan mit SecurityCheck

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Hallo, benötigst Du noch weiterhin Hilfe ?

Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten.

Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

Hallo ryder,
leider benötige ich noch weitere Hilfe.
Nachdem ich "Malwarebytes" durchgeführt habe (siehe Anhang) und zwei gefundene Dateien gelöscht wurden, stellte ich zufällig fest, dass die unerwünschten Links wieder aufgetaucht sind. Nun ist die Frage: Weiter machen mit TFC und DDS? Oder alles noch einmal durchführen? Oder welche Alternative?
Gruß, Hoffi

Bitte erstmal weitermachen und das hier prüfen:

Addons überprüfen (Firefox)

• Klicke auf http://www.trojaner-board.de/picture...&pictureid=324 > Add-ons
• Überprüfe ob du ein Addon namens "Video Downloader" (oder ähnlich) installiert hast.
• Diese sind bekannt dafür, dass sie neuerdings mit Werbung gebündelt sind.
• Deinstalliere es und berichte ob das Problem weiterhin besteht.

Hallo ryder,
ich habe in den Add-Ons nichts gefunden, aber "Java (TM) Plattform SE 7 U15" deaktiviert, da hier Sicherheitsprobleme angezeigt werden. Hatte aber keinen Einfluss.

Rest abgearbeitet, im Anhang die TXT-Dateien.

Gruß, Hoffi

Lösche bitte die Eset-Funde und leere den Papierkorb danach.

Dein Problem tritt noch immer auf?

Update: Adobe Reader

• Deinstalliere deine alte Version von Adobe Reader (Systemsteuerung > Programme > Deinstallieren).
• Lade dir die aktuelle Version hier herunter: get.adobe.com/de/reader/
• Entferne dabei den Haken:
  http://www.trojaner-board.de/picture...&pictureid=320

- oder -

Probiere einen alternativen Viewer für pdf-Dokumente aus. Diese sind meist schlanker, schneller und schleusen sehr viel seltener Schädlinge ein. Mein Vorschlag:

• Lade dir den Foxit Reader von www.foxitsoftware.com/downloads/ .
• Starte die Installation und entferne dabei die folgenden Haken:
  http://www.trojaner-board.de/picture...&pictureid=321

Hallo, benötigst Du noch weiterhin Hilfe ?

Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten.

Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

Hallo ryder,
die Symptome sind noch vorhanden.
Ich habe den Adobe Reader auf Version XI aktualisiert. ESET alles gelöscht, aber wie oben gesagt, unerwünschte Links nach wie vor vorhanden.
Ein Partner von mir, Softwarespezialist, ist der Meinung, es würde von Java herkommen.

Soweit der Stand.

Java alleine macht sowas nicht. Wir schauen nochmal anders hin:

Kontrollscan mit OTL

• Starte bitte OTL.exe - falls noch nicht vorhanden: LINK
• Stelle sicher, dass "Alle Benuzter Scannen" angehakt ist!
• Drücke den Quick Scan Button.
• Poste die OTL.txt hier in deinen Thread.

Hallo ryder,
den Scan habe ich durchgeführt. Die OTL.txt-Datei musste ich teilen, einzeln war sie zu groß.

Jetzt muss ich nochmal zwischenfragen: Passiert das in allen Browsern oder nur in bestimmten?

Das ist interessant, darauf bin ich nicht gekommen, es passiert nur im Firefox. Weder im IE, Opera oder Google Crome ist dieser Fehler zu finden.

Gut :)

Nächster Test:
Starte Firefox über Menü > Hilfe > Mit deaktiverten Addons neu

Immer noch Links?

Nein, jetzt sind keine Verlinkungen mehr zu sehen.

Gut, dann liste mal bitte alle Addons auf, die du in Firefox hast.

AddOns-Liste

Adobe Acrobat 11.0.2.0

Google Earth Plugin 6.1.0.5001

Google Update 1.3.21.79

Google Updater 2.4.2432.1652

Java Deployment Toolkit 7.0.150.3 10.15.2.3

Logitech Device Detection 1.23.0.5

Microsoft® DRM 9.0.0.4503

Microsoft® DRM 9.0.0.4503

Nitro PDF Plug-In 2.0.0.29

Nokia Suite Enabler Plugin 1.0.0.1

QuickTime Plug-in 7.5.5 7.55.90.70

RealDownloader Plugin 1.3.0.208

RealNetworks(tm) RealDownloader Chrorne Background Extension Plug-In (32-bit)

RealPlayer Download Plugin 16.0.0.282

RealPlayer(tm) G2 LiveConnect-Enabled Plug-In (32-bit) 16.0.0.282

Shockwave Flash 11.6.602.171

Shockwave for Director 11.5.9.620

Silverlight Plug-In 4.0.50524.0

Windows Media Player Plug-in Dynamic Link Library 3.0.2.629

Windows Presentation Foundation 3.5.21022.8

Java(TM) Platform SE 7 U15 10.15.2.3 (deaktiviert)
(Java(TM) Platform SE 7 U15 ist bekannt dafür, Sicherheitprobleme zu haben. Verwenden Sie das Plugin mit Vorsicht.)

RealNetworks(tm) RealDownloader HTML5VideoShim Plug-In (32-bit) 1.3.0.208 (deaktiviert)

RealNetworks(tm) RealDownloader PepperFlashVideoShim Plug-In (32-b... 1.3.0.208 (deaktiviert)

In Ordnung. Ich habe die Plugins mit RealDownloader im Verdacht. Bitte deinstalliere Realplayer inklusive dem Downloader und teste ob es das war.

Ausserdem bitte, weil es mir erst gerade aufgefallen ist: Deals Plugin Extension - über Systemsteuerung deinstallieren.

Habe ich gemacht, auch den Deals Plugin Extension gelöscht.
Nun finde ich weniger Links, aber vereinzelt sind noch welche.

Ich werde mal den Firefox neu starten und dann neu probieren.

In Ordnung. Das scheint irgendwie was neues zu sein, zumindest kenne ich es noch nicht, daher müssen wir uns da mühsam rantasten. Danke für deine Geduld.

Danach bitte ein weiteres OTL Log.

Kontrollscan mit OTL

• Starte bitte OTL.exe - falls noch nicht vorhanden: LINK
• Stelle sicher, dass "Alle Benuzter Scannen" angehakt ist!
• Drücke den Quick Scan Button.
• Poste die OTL.txt hier in deinen Thread.

Im Anhang der neue OTL-Text.

Es sind auch wieder mehr unerwünschte Links.

Gut, ich bin gespannt, ob wir es jetzt erwischt haben:

Fix mit OTL

Warnung: Dieses Skript wurde nur für diesen User und diese spezielle Situation geschrieben. Auf anderen Computern ausgeführt kann es nachhaltige Schäden anrichten!
Hinweis: Wenn du deinen Benutzernamen unkenntlich gemacht hast, musst du wieder deinen richtigen Namen einsetzen, ansonsten wird das Skript nicht funktionieren.

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

Code:

---

:OTL
[2013.03.08 16:19:54 | 000,000,000 | ---D | M] ("Deals Plugin Extension") -- C:\Data\Hofmann\Anwendungsdaten\Mozilla\Firefox\Profiles\100jryyv.default\extensions\extension21806@extension21806.com
[2013.03.08 16:19:54 | 000,000,000 | ---D | M] (No name found) -- C:\Data\Hofmann\Anwendungsdaten\Mozilla\Firefox\Profiles\100jryyv.default\extensions\extension21806@extension21806.com\chrome
[2013.03.08 16:19:53 | 000,000,000 | ---D | M] (No name found) -- C:\Data\Hofmann\Anwendungsdaten\Mozilla\Firefox\Profiles\100jryyv.default\extensions\extension21806@extension21806.com\defaults
[2013.03.08 16:19:53 | 000,000,000 | ---D | M] (No name found) -- C:\Data\Hofmann\Anwendungsdaten\Mozilla\Firefox\Profiles\100jryyv.default\extensions\extension21806@extension21806.com\locale
[2013.03.08 16:19:53 | 000,000,000 | ---D | M] (No name found) -- C:\Data\Hofmann\Anwendungsdaten\Mozilla\Firefox\Profiles\100jryyv.default\extensions\extension21806@extension21806.com\skin
[2013.03.08 16:19:54 | 000,000,000 | ---D | M] (No name found) -- C:\Data\Hofmann\Anwendungsdaten\Mozilla\Firefox\Profiles\100jryyv.default\extensions\extension21806@extension21806.com\chrome\content\extensionCode
FF - prefs.js..extensions.enabledAddons: extension21806%40extension21806.com:0.89.43
IE - HKU\S-1-5-21-1614895754-261903793-725345543-1003\..\SearchScopes\{AC129BF9-68BF-4bc4-A1DC-ECB62712FF99}: "URL" = http://search.kikin.com/search/?q={searchTerms}
IE - HKU\S-1-5-21-1614895754-261903793-725345543-1003\..\SearchScopes\{FA89918B-0CBF-4E70-9342-F0EEBBD91CFA}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=OVO2&o=2160&src=crm&q={searchTerms}&locale=&apn_ptnrs=^A2H&apn_dtid=^YYYYYY^YY^DE&apn_uid=0dcadef6-1d0e-4ab8-a107-14ed94bb8a3d&apn_sauid=0A7CD58D-6EDA-4F03-BEE1-D78E27A9A1BC
@Alternate Data Stream - 24 bytes -> C:\WINNT:C9B9E287CB2E8360
@Alternate Data Stream - 187 bytes -> C:\Data\All Users\Anwendungsdaten\TEMP:BA7D0338
@Alternate Data Stream - 139 bytes -> C:\Data\All Users\Anwendungsdaten\TEMP:0DB6FB53
:commands
[emptytemp]

---

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop. ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
• Kopiere nun den Inhalt hier in deinen Thread, möglichst in Code-Tags.

Hinweis: Die Ausführung des Kommandos kann einige Minuten dauern und OTL scheint in dieser Zeit nicht zu reagieren. Bitte geduldig sein! :kaffee:

Hier das Ergebnis:

Fein, also wie schauts jetzt aus?

Hallo ryder,
es sind keine unerwünschten Links zu sehen.
Dank nochmals. :daumenhoc

Tschüß, Hoffi

Gut! :daumenhoc

Soweit ich das sehe haben wir damit alles Schädliche entfernt. Um sicher sein zu können müssen jetzt noch ein paar Kontrollen machen und werden dann deinen Computer noch auf einen sicheren Stand bringen. Da diese Scans jetzt sehr lange dauern können bitte ich dich mir erst wieder zu schreiben, wenn du auch wirklich alles erledigt hast oder Probleme auftreten sollten.

Schritt 1:
Quick-Scan mit Malwarebytes

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 2:

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte poste das Logfile hier oder teile mir mit, dass nichts gefunden wurde.

Hinweis: Der Scan kann sehr lange (einige Stunden) dauern! :kaffee:

Schritt 3:
Scan mit SecurityCheck

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.


Alternativer Link: SecurityCheck Download

Hallo, benötigst Du noch weiterhin Hilfe ?

Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten.

Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

Bitte etwas Geduld, ich habe auch noch andere Aufgaben zu erledigen. Spätestens Sonnabend starte ich die beiden angegebenen Programme.

so, ich habe die Programme durchgeführt.
Die Ergebnisse im Anhang.
Was mache ich mit den im ESET als infiziert gekennzeichneten Dateien?

Eset Funde einfach löschen.

Wo ist SecurityCheck?

Hallo, benötigst Du noch weiterhin Hilfe ?

Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten.

Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

Hallo Ryder,
ich danke Dir für Deine Hilfestellung. Auch wenn es langwierig war, es hat geholfen. Weitere Hilfe benötige ich nicht.
Gruß, Hoffi

Wir sind noch nicht fertig. Weitere Benutzung erfolgt auf eigene Gefahr.

Thema beendet.