Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   PUP.Bundleinstaller, Adware Shopper und Trojan.Downloader...am Ende meines IT-Lateins (https://www.trojaner-board.de/132629-pup-bundleinstaller-adware-shopper-trojan-downloader-ende-meines-it-lateins.html)

coyogini 23.03.2013 11:15
PUP.Bundleinstaller, Adware Shopper und Trojan.Downloader...am Ende meines IT-Lateins
 
hallo liebe wizards

ich bin leider kein IT-wizard und lerne seit 2 Tage gerade mehr über regedit,malwarebytes und Chamäleon, hijackthis..:confused:

Mein PC (Dell vista) wird immer schlimmer befallen, so dass ich nun auch über einen anderen schreiben muss. Pc läuft momentan im gesicherten Modus mit Netzwerk, aber diese Trojaner setzen immer mehr zu.

gemäss letztem malwarebyte-logfile habe ich; Trojan.Downloader inC:programfiles/downloader.downloader.exe. ich habe daraufhin MBAM chamäleon gestartet.
Gestern hatte ich noch 4 weitere, die nach Chamaleonspurlos verschwanden, dies waren:
adware shopper, PUP.Bundleinstaller.VG und PUP.Bundleinstaller.AG und PUM.Bad.Proxy.

Je mehr ich recherchiere zu allen diesen Viren, Trojanern (gegoogelt und auf diverse hilfeseiten gestossen, z.b. anvisoft hxxp://forums.anvisoft.com/viewtopic-45-2522-0.html
oder hxxp://blog.yoocare.com/remove-pup-bundle-installer-oi-virus-manually/
oder teesupport: hxxp://blog.yoocare.com/remove-pup-bundle-installer-oi-virus-manually/

mich schlau gemacht habe ich auch hier auf youtube(wie entferne ich manuell einen virus) How to get rid of PUP.Bundle.Installer.OI?

Je mehr ich recherchiere und Malwarebyte starte, desto schlimmer scheinen sich diese bugs dagegen zu wehren und alles verschlimmert sich.Tatsächlich wie Krebszellen..

ich habe mehrere male malwarebytes durchlaufen mit rootkit und chamäleon. und jetzt ist gar nix mehr in quarantäne???? aber die bugs noch da.tut mir leid, wenn ich echt ne Banause bin und es nicht besser erklären kann, aber grad drum bruach ich Hilfe.
Ich weiss wie ich ins regeditkommte, habe weiss nicht richtig, wie ich nach den entsprechenden registry keys suchen soll. löschen will ich schon gar nicht.
dasselbe auch im tsk manager..ich kann nur vermuten, welche prozesse (komische namen?) auf den trojaner/virus/rootikit hinweisen, kann's aber nicht richtig deuten und getrau mich nicht die prozesse zu stoppen.

Ich kann mir normalerweise mit sehr vielem helfen und beanspruche selten Hilfe, aber jetzt bin ich langsam verzweifelt.

Ich weiss, man braucht hier das logfile (das kann ich noch irgendwie liefern)...aber mien pc installiert kein defogger, OTL Gmer...oder ich bin langsam selber paranoid :lach:

bitte, ich wär unendlich dankbar, wenn mir jemand helfen könnte, wie ich diese bugger loswerde. extrem dankbar.

lg
coyogini

M-K-D-B 23.03.2013 11:41
:hallo:


Mein Name ist Matthias und ich werde dir bei der Bereinigung deines Computers helfen.


Bitte beachte folgende Hinweise:
  • Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden. Es können mehrere Analyse- und Bereinigungsschritte erforderlich sein.
    Abschließend entfernen wir wieder alle verwendeten Programme und ich gebe dir ein paar Tipps für die Zukunft mit auf den Weg.
  • Bei Anzeichen von illegaler Software wird der Support ohne Diskussion eingestellt.
  • Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab.
  • Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
  • Führe nur Scans durch, zu denen du von mir oder einem anderen Helfer aufgefordert wirst.
  • Bitte kein Crossposting (posten in mehreren Foren).
  • Installiere oder deinstalliere während der Bereinigung keine Software außer du wirst dazu aufgefordert.
  • Solltest du mir nicht innerhalb von 3 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
    Solltest du einmal länger abwesend sein, so gib mir bitte Bescheid!
  • Alle zu verwendenen Programme sind auf dem Desktop abzuspeichern und von dort zu starten!
    Ich kann Dir niemals eine Garantie geben, dass auch ich alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.
    Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.





Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einem USB Stick:
Farbar Recovery Scan Tool 32-Bit-Version
Farbar Recovery Scan Tool 64-Bit-Version

Scanne jetzt nach der bebilderten Anleitung.

- oder verwende die folgende -

Kurzanleitung:

Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.

Über den Boot Manager
  • Starte den Rechner neu auf.
  • Während dem Hochfahren drücke mehrmals die F8 Taste
  • Wähle nun Computer reparieren.
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD
  • Lege die Windows CD in dein Laufwerk.
  • Starte den Rechner neu auf und starte von der CD
  • Wähle die Spracheinstellungen und klicke "Weiter".
  • Klicke auf Computerreparaturoptionen !!
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen Eingabeaufforderung
  • Gib nun bitte notepad ein und drücke Enter.
  • Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer
    Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt.
  • Schließe Notepad wieder
  • Gib nun bitte folgenden Befehl ein.
    e:\frst.exe bzw. e:\frst64.exe
    Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Gegebenfalls anpassen.
  • Akzeptiere den Disclaimer mit Yes und klicke Scan
Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

coyogini 23.03.2013 12:08
Lieber Matthias

Gaaanz HERZLICHEN Dank...im voraus! Für Deine Zeit, deine Motivation und dein Knowhow!

Ich melde mich grade vom anderen Laptop und werde die benötigten Dateien von hier aus aufs USB speichern. Der betroffene Laptop ist momentan grad am hänge..Maus und Tastatur gefroren. Ich werde jetzt alles soweit möglich vorbereiten und meld mich wieder.

ich scheue keine Arbeit- hab schon 2 Tage schlaflos hinter mir. Ich bin aber echt ne IT-Banause, zwar neugierig und clever, aber keine Ahnung vom Tiefgang und PC-Mechanismen....Ich hoffe es wird für dich nicht zuviel und hab absolutes Verständnis, falls du nicht magst...grad jetz am Weekend.

So oder so, bin dankbar für alles- und weiss nicht, wie ich mich erkenntlich zeigen kann.

Sonnige Grüsse

Matthias

bevor ich starte (hab jetzt farbar auf usb) kleine Zwischenfrage: wollte grad noch meine dokumente und bilder auf externe festplatte speichern. die ist leider auch voll...murphy's law im moment. ich nehme an, dass der ganze pc frisch aufgesetzt wird und ich demzufolge alle persönlichen dateien verliere, oder?

lg
coyogini

M-K-D-B 23.03.2013 17:05
Servus,



Zitat:
Zitat von coyogini (Beitrag 1033627)
ich nehme an, dass der ganze pc frisch aufgesetzt wird und ich demzufolge alle persönlichen dateien verliere, oder?
Den PC setzen wir nur dann neu auf, wenn es gar nicht mehr anders geht.

Beim Ausführen von FRST werden keine persönlichen Dateien gelöscht.

Ich warte auf die Logdatei.

coyogini 23.03.2013 18:27
Hallo Matthias

so, bin sowohl über Bios als auch über Windows CD rein.

>schritt 3 start in die Systemwiederherstellung
über F8 komm ich zwar zu den erweiterten Startoptionen, aber die Option "Computer reparieren" fehlt. alle anderen sind vorhanden, aber nie die Reparatur-Option.
HAbs dann mit F12 über Bios versucht- über internal HDD,auch über USB storage device,aber nixgeht.

Mit der CD gehts auch nicht.

Dachte echt, diese ersten Schritte könnte sogar ich machen, aber ich komm ja nich mal auf SChritt 2. "Start des Computersin die erweiterten Startoptionen.

Kanns an meinem alten Laptop liegen (Dell Inspiron 1520, Versionn Bios 12.10.2007,Prozessor intel core TM 2 duo Prozessor.)
PS. der Laptop hatte schon im 3. Monat nach Kauf einen Totalabsturz...mussste Festplatte ersetzen und hab alle Dokus inkl. Masterarbeit verloren. im 2012 hatte ich noch denAntivirusdoktor. dachte mir, ich hätt den mühsam entfernen können? Vielleicht hat er sich wieder aktiviert?

kann ich farbar-scan auch sonst starten?

lg

M-K-D-B 23.03.2013 18:29
Servus,



komisch... das ist doch ein Vista Rechner, oder? :wtf:




Kannst du deinen Rechner jetzt wieder im normalen Modus oder im abgesicherten Modus mit Netzwerkunterstützung starten?

coyogini 23.03.2013 18:35
Ja...

hab nochmals im bios nachgekuckt. german vista home premium. inbetriebnahme november 2007..

kann wieder "normal" als auch in anderen optionen (abgesichert, und mit netzwerk) starten.

ach, vergessen....
hab gestern noch avira installiert, plus MBAM Chamäleon. hab über euch noch dieses hijackthis scan gemacht.-kann's sein, dass es das blockiert?

soll ich prnt screen von malwarebyte-logfile schicken? oder kannst du dich bei mir mit diesen "magic hands" einloggen?

sorry, stell wahrscheinlich die naivsten Fragen...:headbang:

M-K-D-B 23.03.2013 19:11
Servus,



führe bitte die folgenden Schritte im normalen Modus durch. Sollte es hier nicht klappen, verwende bitte den abgesicherten Modus.







Schritt 1
Downloade dir bitte DDS ( von sUBs ) von einem der folgenden Downloadspiegel und speichere die Datei auf deinem Desktop.

dds.com
dds.exe
  • Starte bitte dds mit einem Doppelklick.
  • Der Desktop wird verschwinden, das ist normal.
  • Setze bitte einen Haken bei
    • dds.txt ( Sollte angehakt sein )
    • attach.txt
    Ändere keine Einstellungen ohne Anweisung
  • Wenn der Scan beendet ist, wird DDS 2 Logfiles auf deinem Desktop erstellen:
    • dds.txt
    • attach.txt
Bitte poste beide Logfiles in deiner nächsten Antwort.





Schritt 2
Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.
  • Starte das Tool mit Doppelklick.
  • Klicke nun auf den Disable Button, um die Treiber gewisser Emulatoren zu deaktivieren.
  • Defogger wird dich fragen "Defogger will forcefully terminate and disable all CD Emulator related drivers and processes... Continue?" bestätige diese Sicherheitsabfrage mit Ja.
  • Wenn der Scan beendet wurde (Finished), klicke auf OK.
  • Defogger fordert gegebenfalls zum Neustart auf. Bestätige dies mit OK.
  • Defogger erstellt auf dem Desktop eine Logdatei mit dem Namen defogger_disable.txt. Poste deren Inhalt mit deiner nächsten Antwort.
Klicke den Re-enable Button nicht ohne Anweisung!





Schritt 3
Bitte lade dir GMER Rootkit Scanner GMER herunter: (Dateiname zufällig)
  • Schließe alle anderen Programme, deaktiviere deinen Virenscanner und trenne den Rechner vom Internet bevor du GMER startest.
  • Sollte sich nach dem Start ein Fenster mit folgender Warnung öffnen:
    WARNING !!!
    GMER has found system modification, which might have been caused by ROOTKIT activity.
    Do you want to fully scan your system ?
    Unbedingt auf "No" klicken.
  • Entferne rechts den Haken bei: IAT/EAT und Show All
  • Setze den Haken bei Quickscan und entferne ihn bei allen anderen Laufwerken.
  • Starte den Scan mit "Scan".
  • Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!


Tauchen Probleme auf?
  • Probiere alternativ den abgesicherten Modus.
  • Erhältst du einen Bluescreen, dann entferne den Haken vor Devices.






Bitte poste mit deiner nächsten Antwort
  • die beiden Logdateien von DDS,
  • die Logdatei von DeFogger,
  • die Logdatei GMER.

coyogini 24.03.2013 08:34
Hallo Matthias

Schritt 1: DDS als zipfiles im anhang. Ist zwar kleine Datei, aber ich war mir nicht sicher und habs trotzdem gezippt. Hoffe so ok?

Schritt 2: Defogger bis finished und ok. Kein Neustart, aber auch keine
eine Logdatei mit dem Namen defogger_disable.txt auf meinem Desktop. Defogger bleibt beim pop-up-Fenster "..... If you are using in conjonction with Malware Removal Professional, pleasse wait...until they have finished assisting you before clicking Re-enable."

Ich will's nicht "sabotieren" also stopp ich hier mal bevor ich zu Schritt 2 mit gmer übergehe.

Sonntagsgrüsse

M-K-D-B 24.03.2013 10:33
Servus,


schließe DeFogger einfach, poste mir die Logdatei von DeFogger (sofern dann vorhanden).
Außerdem bitte auf jeden Fall GMER starten und ebenfalls die Logdatei posten. :)

Nur durch das Schließen von DeFogger kann nichts passieren. ;)

coyogini 24.03.2013 11:33
namaste ;-)

coyogini 24.03.2013 11:36
matthias

gmer als zip

und bei defogger ist immer noch nix auf desktop- das einzige, was ich finde ist: ntuser.dat.Log1 ..

sonntagsgruss
c ;-)

coyogini 24.03.2013 11:39
defogger/ntuser.dat.Log1 ...kann's nicht anhängen - Meldung: wird verwendet ?!
ich lass es nochmals durchlaufen- macht Spass, duh;-)

M-K-D-B 24.03.2013 11:41
Servus,


diese beiden Dateien brauche ich nicht mehr. Lass sie auf dem Desktop liegen, nichts damit machen!




Lesestoff:
Banking-Trojaner
Wenn du mit diesem Computer beispielsweise Onlinebanking machst, dann solltest du zumindest dein Passwort von deiner Bank ändern lassen, wenn du ein ansonsten sicheres Verfahren wie beispielsweise "chip-TAN-comfort" nutzt. Hast du noch alte TAN-Bögen auf Papierbasis? Dann ist es höchste Zeit dich bei deiner Bank zu melden und notfalls das Konto temporär sperren zu lassen. Der Sperrnotruf 116 116 von www.sperr-notruf.de kann Tag und Nacht dafür benutzt werden.







Scan mit Combofix
WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link
  • WICHTIG: Speichere Combofix auf deinem Desktop.
  • Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
  • Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
  • Wenn Combofix fertig ist, wird es ein Logfile erstellen.
  • Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).
Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

coyogini 24.03.2013 11:49
ok. soll ich nun combofix starten?

M-K-D-B 24.03.2013 11:52
Zitat:
Zitat von coyogini (Beitrag 1034095)
ok. soll ich nun combofix starten?
Ja, aber denk dran:

Alle offenen Programme und Virenscanner vorher beenden, gar nichts am Rechner machen!

coyogini 24.03.2013 11:55
hatte ich vorher nicht alle gestoppt?
hab avira, firewall, defender geschlossen. hab ich was vergessen?

M-K-D-B 24.03.2013 12:24
Zitat:
Zitat von coyogini (Beitrag 1034100)
hatte ich vorher nicht alle gestoppt?
hab avira, firewall, defender geschlossen. hab ich was vergessen?
Mit Programmen meine ich auch Internet Browser, etc. schließen.
So sollte es funktionieren.

Sollte ComboFix trotzdem meckern, einfach mit der Bereinigung fortfahren.


Meld dich wieder, wenn du die Logdatei von ComboFix hast.

coyogini 24.03.2013 16:49
hier kommt gmer. FYI: hatte alles ausgeschaltet, da hat sich Avira wieder selber eingeschaltet und gmer mich aufgefordert es zu schliessen. hab ich gemacht. es hörte nicht auf zu piepsen.

he, nochmals danke, Matthias...

M-K-D-B 24.03.2013 19:43
Servus,



ok, so geht es weiter:




Schritt 1
Downloade Dir bitte AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf ? > Optionen.
  • Setze einen Haken bei Disable Ask Detection und bestätige mit Ok.
  • Klicke auf Löschen.
  • Bestätige jeweils mit Ok.
  • Dein Rechner wird neu gestartet, je nach Schwere der Infektion auch mehrmals - das ist normal. Nach dem Neustart öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt. (x = fortlaufende Nummer)





Schritt 2

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

  • Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
  • Drücke eine beliebige Taste, um das Tool zu starten.
  • Je nach System kann der Scan eine Weile dauern.
  • Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
  • Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.







Schritt 3
Starte bitte OTL.exe.
Wähle unter
Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.
Poste die OTL.txt und die Extras.txt hier in deinen Thread.





Bitte poste mit deiner nächsten Antwort
  • die Logdatei von AdwCleaner,
  • die Logdatei von JRT,
  • die beiden Logdateien von OTL.

coyogini 25.03.2013 08:20
Guten Morgen Matthias

die nächsten Logfiles:
AdwCleaner,
JRT,
OTL (und Extras)

Zwischenfrage: nach AdwCleaner- sollten diese lästigen Popups/adds nicht verschwunden sein? habe noch immer diese Werbung von appround.net

Dankbare Grüsse

C.

M-K-D-B 25.03.2013 15:00
Servus,




Zitat:
Zitat von coyogini (Beitrag 1034698)
Zwischenfrage: nach AdwCleaner- sollten diese lästigen Popups/adds nicht verschwunden sein? habe noch immer diese Werbung von appround.net
Kein Tool erkennt 100%.
Wo bzw. in welchem Browser kommt diese Werbung von appround.net?




Schritt 1
Bitte lasse die Datei aus der Code-Box bei Virustotal überprüfen.
  • Klicke auf Wählen Sie eine
  • Kopiere nun folgendes in die Suchleiste
    Code:
    C:\Programme\XingHaoLyrics\lrcspal.dll
  • und klicke auf Öffnen.
  • Klicke auf Scannen!.
  • Warte bitte bis die Datei vollständig hochgeladen wurde. Solltest Du folgende Meldung bekommen
    Zitat:
    Diese Datei wurde bereits von VirusTotal analysiert...
    klicke auf Neu analysieren.
  • Warte bis dir das Analysedatum angezeigt wird und der Scan abgeschlossen ist.
  • Kopiere den Link aus deiner Adresszeile und poste ihn hier.





Schritt 2
Lade SystemLook von jpshortstuff vom folgenden Spiegel herunter und speichere das Tool auf dem Desktop:
SystemLook (32 bit)
  • Doppelklicke auf die SystemLook.exe, um das Tool zu starten.
  • Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
    Code:
    :filefind
    *babylon*
    *crawler*
    *imeshweb*
    *Search_Results*
    *Search Results*
    *conduit*
    *babylon*
    *delta*

    :folderfind
    Conduit*
    searchqu*
    Babylon*
    DataMngr*
    delta*
    ilivid*
    Softonic*
    crawler*
    imesh*
    fbphotozoom*
    TornTV*
    PackageAware*

    :regfind
    Conduit
    searchqu
    Babylon
    DataMngr
    delta LTD
    ilivid
    Softonic
    crawler
    imesh
    fbphotozoom
    TornTV
    PackageAware
  • Klicke nun auf den Button Look, um den Scan zu starten.
  • Der Suchlauf kann einige Zeit dauern.
  • Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, poste diese in deinen Thread.
  • Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.





Bitte poste mit deiner nächsten Antwort
  • die Beantwortung der gestellten Frage,
  • den Link zu VirusTotal,
  • die Logdatei von SystemLook.

coyogini 25.03.2013 19:51
Hoi Matthias

zu deiner Frage:Wo bzw. in welchem Browser kommt diese Werbung von appround.net?

Ich benutze immer Mozilla Firefox. Ist das deine Frage? Die popups kommen auf google, Tageszeitungen, youtube,facebook, bevor ich in mein gmail-Konto will. Es sind diverse (appround.net, yieldmanager.com, redirect.gamespipe.com und solche die ich nicht identifizieren kann, bzw. keine Quellenangaben haben, oder so komisch ihre URL mutieren oder verschlüsseln, Bsp. yielmanager, diese Biester). WEnn ich dich richtig verstehe, sollte ich diese durch Virustotal scannen lassen. Habe ich gemacht, aber keine wirklichen Resultate bzw. ich kann nicht deuten. Meine Antwort fällt auch deswegen länger aus, weil ich nicht sicher war, ob ich deine Frage richtig verstehe und erläutere, weil ich nicht weiss, ob all diese popups zum Problem beisteuern oder nur Symptome sind. Also

Schritt 1
Virustotal-Scan von popups/URL's:

1)https://ad.yieldmanager.com

https://ad.yieldmanager.com/rw?title=New%20offer%21&qs=iframe3%3FvxgAAB6%2EPgBWNAgBAAAAAOc%2ESQAAAAAAAgAQAAAAAAAAAP8AAAACE8onWgAAAAAAD8QZAAAAAAAPUF8AAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAD8UxcAAAAAAAICAwAAgD8AAAAAAAAAAEAAAAAAAAAAQAAAAAAAAAAAAACgw9buB0AAAAAAAAAAAAAAoMPW7gdAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAABmLb7U4mqZDUvltvWFKa9Pzl%2E9ya%2D2p%2DSreZBVAAAAAA%3D%3D%2C%2Chttps%253A%252F%252Fwww%2Egoogle%2Ech%252F%2CB%253D10%2526I%253D1060%25252d1035%2 526S%253D0%25255ffirefox%2526Z%253D0x0%2526%5Fsalt%253D239256145%2526e%253D751166%2526r%253D1%2526y%253D28%2Cb4aff260%2D956f%2D11e2%2Dbe1f%2D1b7f35458 0a9%2C1364231777987
Antwort : Der Inhalt der URL-Antwort konnte nicht empfangen werden oder es ist ein Text-Format (HTML, XML, CSV, TXT, etc.), daher wurde es nicht in die Warteschlange für den Antivirus-Scan eingereiht.

2) redirect.gamespipe.com:
Normalisierte URL: hxxp://redirect.gamespipe.com/r2.php?url=hxxp://lp.empire.goodgamestudios.com?country=de&pid=759&camp=1&gid=12&cid=3273868&tid=159
Datei-Scan: Der Inhalt der URL-Antwort konnte nicht empfangen werden oder es ist ein Text-Format (HTML, XML, CSV, TXT, etc.), daher wurde es nicht in die Warteschlange für den Antivirus-Scan eingereiht.

3) appround.net:
Normalisierte URL: https://appround.net/
Erkennungsrate: 0 / 36
Analyse-Datum: 2013-03-25 17:37:10 UTC ( vor 0 Minuten )
Datei-Scan: Der Inhalt der URL-Antwort konnte nicht empfangen werden oder es ist ein Text-Format (HTML, XML, CSV, TXT, etc.), daher wurde es nicht in die Warteschlange für den Antivirus-Scan eingereiht

4) popup auf facebook- ist ne ad über amerika-green-card und eine mit so schiessenden Monstern ...finde aber keine quellenangaben, aber habe das resultat mal copy-paste gespeichert. brauchst du das? falls ja, kopier ic beim nächsten beitrag rein?


Schritt 2
Scan mit SystemLook anbei als .zip


...komm mir mit meinen inputs langsam selber vor wie hartnäckiger virus...will mir gar nicht vorstellen, wieviel Zeit & Energie du für mich und andere investierst..an Wochen- wie auch Feiertagen und Freizeit...DANKE DANKE DANKE!!! and that's not enough thanks..

M-K-D-B 26.03.2013 14:00
Servus,


du solltest bei VirusTotal nicht die Internetseiten kontrollieren, sondern die Datei
Zitat:
C:\Programme\XingHaoLyrics\lrcspal.dll
Bitte genau lesen, was ich schreibe.

Lies dir bitte meine letzte Antwort nochmal genau durch und lass die o. g. Datei bei VirusTotal überprüfen. Davon möchte ich einen Link haben, sonst nichts!



Zum anderen hast du die Logdatei von SystemLook nicht angehängt. Bitte nacholen. :)

coyogini 26.03.2013 16:30
seruvs

hab dich richtig gelesen, aber falsch 1 und 2 kombiniert..schlafmankokarmakomatös..sorry..

hier der link(falls es das ist was du meinst? https://www.virustotal.com/de/file/ac7a374693bacde63685a8cb8cf124e34d4d0bd4683214b34aece3c82c42c1c4/analysis/1364311260/

ups, und noch systemlook (yep, hochladen war wohl nicht mehr drin)..

lg
c.

M-K-D-B 26.03.2013 17:53
Servus,


hast du diese Browser-Erweiterung bewusst selber installiert?

C:\Programme\XingHaoLyrics\lrcspal.dll

coyogini 26.03.2013 20:36
nope- sicher nicht bewusst. Ich weiss nicht mal genau, was ne browsererweiterung ist, auch wenn ich jetzt gerne drüber rätsle..was ist dieses xingyiaoping?

M-K-D-B 27.03.2013 10:27
Servus,



Zitat:
Zitat von coyogini (Beitrag 1035700)
nope- sicher nicht bewusst. Ich weiss nicht mal genau, was ne browsererweiterung ist, auch wenn ich jetzt gerne drüber rätsle..was ist dieses xingyiaoping?
alles klar. :rofl: Dann wird das auch mit entfernt.

Browsererweiterungen oder Add-ons sind kleine Programme, die die Funktionen deines Internetbrowsers erweitern können. Es gibt natürlich auch schädliche Erweiterungen und solche, die sich unbewusst auf deinem Rechner installieren.


Wir entfernen jetzt erstmal weiter:





Schritt 1
  • Folge folgendem Pfad: Start -> Systemsteuerung -> Software / Programme deinstallieren
  • Suche in der Liste Software mit dem folgenden Namen
    • LyricsPal
    und deinstalliere das Programm.
  • Solltest du am Ende der Deinstallation zu einem Neustart aufgefordert werden, so führe diesen durch.
  • Sollte es Probleme mit der Deinstallation geben, so lass es mich bitte wissen.





Schritt 2

Fixen mit OTL

  • Starte bitte die OTL.exe.
  • Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code:
:OTL
FF - prefs.js..browser.search.defaultthis.engineName: "Search"
FF - prefs.js..extensions.enabledItems: {e9911ec6-1bcc-40b0-9993-e0eea7f6953f}:2.5.8.6
FF - prefs.js..extensions.enabledItems: {872b5b88-9db5-4310-bdd0-ac189557e5f5}:2.7.0.14
FF - prefs.js..extensions.enabledItems: {4B3803EA-5230-4DC3-A7FC-33638F3D3542}:1.3
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\fbphotozoom@installdaddy.com: C:\Program Files\fbphotozoom\fbphotozoom14.xpi
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\lrcspal@xinghao.net: C:\Program Files\XingHaoLyrics\FF\ [2013.03.21 09:15:49 | 000,000,000 | ---D | M]
[2013.03.21 09:15:49 | 000,000,000 | ---D | M] ("LyricsPal") -- C:\PROGRAM FILES\XINGHAOLYRICS\FF
O2 - BHO: (LyricsPal) - {A3DAEB01-4C15-4AC6-A689-6406FD954EE0} - C:\Programme\XingHaoLyrics\lrcspal.dll (XingHao Software)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No CLSID value found.
[2013.03.21 09:15:49 | 000,000,000 | ---D | C] -- C:\Program Files\XingHaoLyrics
[2010.03.20 17:33:44 | 002,131,336 | ---- | C] (Ask.com                                                      ) -- C:\Program Files\Common Files\AskToolbarInstaller.exe
@Alternate Data Stream - 140 bytes -> C:\ProgramData\TEMP:30FD0CBD
@Alternate Data Stream - 121 bytes -> C:\ProgramData\TEMP:DFC5A2B2
@Alternate Data Stream - 115 bytes -> C:\ProgramData\TEMP:1CA73D29
@Alternate Data Stream - 102 bytes -> C:\ProgramData\TEMP:430C6D84

:files
c:\program files\windows ilivid toolbar
C:\program files\1clickdownload
C:\Users\Corinne\AppData\Roaming\Mozilla\Firefox\Profiles\yqbzbd9p.default\CT1460988
C:\Users\Corinne\AppData\Roaming\Mozilla\Firefox\Profiles\yqbzbd9p.default\CT2269050

:reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{74F125E6-4387-4FC6-B856-F4B9DCF6EB58}"=-
"{8B048806-099B-4378-BB35-CE164B3EC3CA}"=-
"TCP Query User{8F7AA438-1A33-4C7A-8DC2-9641255365FD}C:\program files\1clickdownload\1clickdownload.exe"=-
"UDP Query User{E93B03AA-3564-4145-82E5-E2432DF2888B}C:\program files\1clickdownload\1clickdownload.exe"=-

[-HKEY_CURRENT_USER\Software\BI]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C430996F-4AA8-4AA8-81DE-F54432CD5786}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{AD79BAD6-9504-4F09-ACEC-7B319584A4C1}]
[-HKEY_USERS\S-1-5-21-1681480420-307595169-1651927566-1000\Software\BI]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{BA319B03-2FC5-4576-B645-75B6A4332F97}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome\Extensions\mpieaakhacmfleokhjcjnpcnmnmpfkid]
[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions]
"fbphotozoom@installdaddy.com"=-

:Commands
[emptytemp]
  • Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
  • Schließe bitte nun alle Programme.
  • Klicke nun bitte auf den Fix Button.
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
    ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
    Kopiere nun den Inhalt hier in Deinen Thread






Schritt 2
Starte bitte OTL.exe und drücke den Quick Scan Button.
Poste die OTL.txt hier in deinen Thread.





Wie läuft dein Rechner momentan? Gibt es noch Probleme? Wenn ja, welche?





Bitte poste mit deiner nächsten Antwort
  • die Logdatei des OTL-Fix,
  • die Logdatei des neuen OTL-Scans,
  • die Beantwortung der gestellten Fragen.

coyogini 27.03.2013 11:19
Hallo Matthias

wow...ein Quantensprung im Vergleich zu vor dem fix!

PC hängt nicht mehr, Internet läuft wieder normal ohne diese popups und lästigen Umleitungen auf delta, ask, erc. Alles scheint "cleaner/befreiter"..als er ob der PC wieder richtig atmen könnte!!! DANKE!

also noch anbei die :

Logdatei des OTL-Fix
die Logdatei des neuen OTL-Scans (OTL2)

Sonnige Grüsse
c.

M-K-D-B 27.03.2013 11:27
Servus,



das hört sich gut an. :)


Wir kontrollieren nochmal alles:






Schritt 1

Fixen mit OTL

  • Starte bitte die OTL.exe.
  • Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code:
:Commands
[emptytemp]
  • Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
  • Schließe bitte nun alle Programme.
  • Klicke nun bitte auf den Fix Button.
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
    ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
    Kopiere nun den Inhalt hier in Deinen Thread






Schritt 2
  • Starte Malwarebytes' Anti-Malware, klicke auf Aktualisierung --> Suche nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.





Schritt 3

ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset






Schritt 4
Downloade Dir bitte SecurityCheck und:

  • Speichere es auf dem Desktop.
  • Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
  • Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.
Poste den Inhalt bitte hier.





Bitte poste mit deiner nächsten Antwort
  • die Logdatei von OTL,
  • die Logdatei von MBAM,
  • die Logdatei von ESET,
  • die Logdatei von SecurityCheck.

coyogini 27.03.2013 18:14
Matthias

die Logdatei von OTL
die Logdatei von MBAM
die Logdatei von ESET
die Logdatei von SecurityCheck

als zips attached.

lg
C.

M-K-D-B 27.03.2013 18:18
Servus,



Wenn du keine Probleme mehr hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc
Zum Schluss müssen wir noch ein paar abschließende Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern.





Schritt 1
Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
  • Downloade dir bitte die neueste Java-Version von hier:
    Java Download (32 bit)
  • Speichere die Datei auf deinem Desktop.
  • Schließe alle laufenden Programme. Speziell deinen Browser.
  • Starte die Datei. Diese wird die neueste Java Version ( Java 7 Update 17 ) installieren.
  • Entferne den Haken bei "Installieren Sie die Ask-Toolbar ..." während der Installation.
  • Wenn die Installation beendet wurde
    Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
  • Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.
schneller Plugin-Test: PluginCheck





Schritt 2
Deinstalliere bitte deine aktuelle Version von Adobe Reader
Start--> Systemsteuerung--> Software / Programme deinstallieren--> Adobe Reader
und lade dir die neue Version von Hier herunter-
Entferne den Hacken für den McAfee SecurityScan bzw. Google Chrome.





Schritt 3
Sofern verwendet, starte DeFogger und klicke auf Re-enable.
Gegebenenfalls muss dein Rechner neu gestartet werden.





Schritt 4
Downloade dir bitte delfix auf deinen Desktop.
  • Schließe alle offenen Programme.
  • Starte die delfix.exe mit einem Doppelklick.
  • Setze vor jede Funktion ein Häkchen.
  • Klicke auf Start.
  • DelFix entfernt u. a. alle verwendeten Programme und löscht sich abschließend selbst.
  • Sollten noch Programme, die wir verwendet haben, vorhanden sein, so lösche diese bitte per Hand.





Schritt 5
Hier noch ein paar Tipps zur Absicherung deines Systems.


Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.
  • Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
  • Windows Updates
    • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
    • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
  • Gehe sicher das die automatischen Updates aktiviert sind.
  • Software Updates
    Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
    Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.


Anti- Viren Software
  • Gehe sicher immer eine Anti Viren Software installiert zu haben und das diese auch up to date ist. Es ist nämlich nutzlos wenn diese out of date sind.


Zusätzlicher Schutz
  • MalwareBytes Anti Malware
    Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
    Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
    Ein Tutorial zur Verwendung findest Du hier.
  • WinPatrol
    Diese Software macht einen Snapshot deines Systems und warnt dich vor eventuellen Änderungen. Downloade dir die Freeware Version von hier.


Sicheres Browsen
  • SpywareBlaster
    Eine kurze Einführung findest du Hier
  • MVPs hosts file
    Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
  • WOT (Web of trust)
    Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.


Alternative Browser

Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.
  • Opera
  • Mozilla Firefox.
    • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
    • NoScript
      Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
    • AdblockPlus
      Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
      Es spart ausserdem Downloadkapazität.

Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )



Don'ts
  • Klicke nicht auf alles, nur weil es Dich dazu auffordert und schön bunt ist.
  • Verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
  • Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
  • Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe.
Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.



Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

coyogini 27.03.2013 20:01
Lieber Matthias

Ich hab die letzten Schritte ausgeführt und alles scheint so, als ob nie was gewesen wäre. Ich hoffe es bleibt so und drum folge ich nun auch deinen sehr hilfreichen Empfehlungen.

((kl. Anmerkung:beim Installieren von Adobe undJava wurde ich nicht danach gefragt, ob ich ask und Google Chrome mitinstallieren will. Es erscheint jedoch auch noch nicht...)

:applaus::applaus:

letze Frage aus Neugier: was genau hab ich mir denn eingefangen?

Und was am Wichtigsten ist:

I am humbly speechless and very very very thankful...merci vell Mal, mille grazie, muchas gracias et merci beaucoup.

Du kannst dir nicht vorstellen, in welchem Masse du mir geholfen hast. Die Situation war wirklich arg existentiell - ohne Übertreibung. Ich bin nicht nur IT-technisch für deine professionelle Hilfe dankbar, sondern das ganze Prozedere war auch auf anderen Ebenen sehr lehr-und hilfreich.

Du hast mich klar, präzise und immer zuverlässig durch die Anleitungen geführt. Das nenn ich Professionalität. Nebst der fachlichen und sachlichen Begleitung spielt aber noch ein andere Faktor. Probleme spielen auch auf der emotionalen Ebene. Deine fachliche Kompetenz hat mir auch wieder die innere Sicherheit gegeben, mein PC-Problem lösen zu können.

Unser ganzes Leben steckt "virtuell" in unserem PC, wir erledigen Arbeiten, kreieren darauf Projekte, regeln unser Internet-Banking...Ohne PC geht gar nix mehr. Wenn alles rund läuft, sind wir dankbar. Wenn die Bits & Bytes aber ihre eigenen Wege gehen und alles an einem seidenen Faden hängt, verfluchen wir unsere Abhängigkeit von diesem Ding. Ich war an diesem Punkt und befürchtete, dass sich meine Vergangenheit in Nichts auflöst und die Pläne und Visionen meiner Zukunft ebenso.

Drum, unendlicher Dank, für deine Professionalität, die meine innere und äussere Sicherheit wieder hergestellt hat. Was du und das TB-Team hier kostenlos offeriert, ist Kunst, wirkt auf mich sehr altruistisch motiviert und für mich gar nicht selbstverständlich.

Es war ein Glücksfall auf euch zu stossen.

GANZ HERZLICHEN DANK-unendlich. Und sobald ich monetär wieder flüssig bin, werde ich mich erkenntlich zeigen. Dieses Projekt muss man unterstützen!

:dankeschoen:

Coyogini

M-K-D-B 27.03.2013 22:49
Servus,



Zitat:
Zitat von coyogini (Beitrag 1036277)
letze Frage aus Neugier: was genau hab ich mir denn eingefangen?
Du warst zum einen mit einem Trojaner infiziert, der Bankdaten ausspioniert.
Des weiteren hattest du jede Menge Adware und unerwünschte Software auf deinem Rechner.


Ich bedanke mich für deine netten Worte. Es freut mich immer sehr, wenn ich helfen konnte. :abklatsch:


Alles Gute!



Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:37 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131