Trojaner-Board - EASYLIFE.COM verschwindet nicht

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - EASYLIFE.COM verschwindet nicht (https://www.trojaner-board.de/133257-easylife-com-verschwindet.html)

EASYLIFE.COM verschwindet nicht

Hallo,

nachdem ich ein Plugin heruntergeladen haben, hat sich die Seite easylife.com bei mir festgesetzt. Norton 360-Meldung: Bedrohung erkannt und blockiert. Seite erscheint aber immer noch bei Aufruf von Google, welche ich dann wegdrücke. Zunächst habe ich den AdwCleaner verwendet, in der Hoffnung diese Hilfe hier nicht in Anspruch nehmen zu müssen. Dieser hat auch den Ordner C\Programm Files\Easy Life gelöscht (lt Protokoll).

Seite ist aber - wie gesagt - immer noch da.

Nächste Schritte, wie in der Anleitung beschrieben:
1. mit Defogger gescannt. Kein Neustart erbeten.
2. mit OTL gescannt.
3. mit Gmer zunächst nicht weitergemacht, da mir nicht klar ist, ob vor oder nach download von Gmer das Antivirenprogramm deaktiviert werden muss.

Ich würde mich sehr über Hilfestellung freuen.

thomas

:hallo:

wo sind die Logs?

Hallo t'john,

danke für deine Antwort. Es wird glaube ich schwierig. Die andere OTL.txt ist um 10 kb zu groß, als dass ich sie laden könnte.

Die Sache mit dem nächsten Schritt/darauffolgenden Deaktivieren habe ich wie gesagt noch nicht gemacht.

Was ich gemacht habe: Malwarebyte durchlaufen lassen. Keine infizierten Objekte gefunden.

Was ich zwischenzeitlich auch (Hinweis eines Bekannten/Programmierer) vor Ort gemacht habe, ist das Durcharbeiten einer Checkliste von www.im-infected.com/hijacker/search-easylifeapp-com.html

Danach war die Seite, die sich aufgebaut hat, verschwunden. Frage bleibt, ob das System wirklich sauber ist.

Jetzt würde ich mich freuen, wenn es dir nicht zu kompliziert erscheint, mir zu helfen.

Danke.

Bitte so vorgehen: Zippen

Bitte nichts selbst machen.

Downloade dir bitte

Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

Starte bitte die mbar.exe.
Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
Klicke auf den CleanUp Button und erlaube den Neustart.
Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
Nach dem Neustart starte die mbar.exe erneut.
Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Logs posten.

Hallo,

ich hoffe, es ist zur Zufriedenheit. Das ich es schaffe, hätte ich nicht gedacht, da ich zur Zeit auch noch einen anderen Abwehrkampf (jur. Art) führen muss; deshalb kann ich auch nicht immer in kürzeren Abschnitten antworten.

Vielen Dank.

Hast du schon das Anti-Rootkit Logfile?

Fixen mit OTL

Starte bitte die OTL.exe.
Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code:

:OTL
 

O4 - HKLM..\Run: [CIS_{81EFDD93-DBBE-415B-BE6E-49B9664E3E82}] "C:\Users\wir\AppData\Local\Temp\cis73FC.exe" --PostUninstall {81EFDD93-DBBE-415B-BE6E-49B9664E3E82} File not found 

MOD - [2013.04.06 19:35:40 | 000,320,512 | ---- | M] () -- C:\Users\wir\AppData\Local\Temp\_MEI34523\win32com.shell.shell.pyd 
 

:Files 

C:\Users\wir\AppData\Local\Temp\_MEI34523\

ipconfig /flushdns /c

:Commands

[emptytemp]

Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
Schließe bitte nun alle Programme.
Klicke nun bitte auf den Fix Button.
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
Kopiere nun den Inhalt hier in Deinen Thread

Inklusive Neustart alles ausgeführt. Die OTL-Datei mit movedfiles kann ich nicht finden: nicht im Desktop, nicht im Verzeichnisbaum. Wo könnte die sein?

Wenn mit Anti-Rootkit Logfile das Ergebnis von Malwarebyte gemeint ist, dachte ich, ich hättes es geschickt. Anbei hoffentlich das richtige.

Herzliche Grüße
thomas

( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)

GGf. Fix wiederholen.

Ich habe den Fix nochmals wiederholt, neugestartet; auf dem Desktop keine Meldung; alle mit Dateisuche gefundenen Dateien OTL ... sind nicht die gesuchte; nur die beiden Berichte des Scans.

Na gut! :daumenhoc

Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

dann:

Downloade dir bitte

aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS-Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

danach:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

danach:

Downloade Dir bitte

SecurityCheck und:

Speichere es auf dem Desktop.
Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Hallo,

es geht gut voran. Eine Frage: beim Herunterladen von ESET Online Firewall/Virenscanner ein, beim Scannen aus? Der lädt ja runter und fängt dann gleich an. Kann ich gleich von Beginn des Downloads alle Sicherungen rausnehmen? Verbindung zum Internet die ganze Zeit bestehen lassen?

Danke

Zitat:

Kann ich gleich von Beginn des Downloads alle Sicherungen rausnehmen?

Zitat:

Verbindung zum Internet die ganze Zeit bestehen lassen?

ja.

Hallo t'john,

ich kann nur wieder der Hoffnung Ausdruck verleihen, dass alles gut ist.

Bei aswMBR.exe konnte ich mich nicht "als Administrator ausführen", kein Rechtsklick möglich. Programm dann so heruntergeladen und arbeiten lassen.

Danke.

Aktualisiere:

Adobe Reader: Adobe Reader - Download - Filepony (Alternativen: PDF Tools)

Java deaktivieren

Aufgrund derezeitigen Sicherheitsluecke:

http://www.trojaner-board.de/122961-...ktivieren.html

Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: PluginCheck

Windows Repair Tool (AIO)

Downloade Windows repair tool
Entpacke das Zip und starte Repair_Windows.exe
Klicke auf Start repairs Tab dann: Start

folgende Punkte auswählen

Register System Files
Repair WMI
Repair Windows Firewall
Remove Policies Set By Infections
Repair Windows Updates
Repair Important Windows Services
Set Windows Services To Default Startup

Auswählen: Restart System When Finished
Dann Start Button klicken.

Hallo,

alles durchgeführt. Wie in der verlinkten Beschreibung empfohlen, ebenfalls Java Plugin global im Browser deaktiviert. Hier der Check:

PluginCheck

Der PluginCheck hilft die größten Sicherheitslücken beim Surfen im Internet zu schliessen.
Überprüft wird: Browser, Flash, Java und Adobe Reader Version.
Chrome 26.0.1410.64 ist aktuell
Flash (11,7,700,179) ist aktuell.
Java ist nicht Installiert oder nicht aktiviert.
undefined

Anmerkungen
- nach Deaktivierung von Java Plugin, Neustart, zunächst keine Verbindung zum Internet, Fehler 100, beim 2. Versuch möglich
- Verbindungsfehler gab es in letzter Zeit häufiger bei einigen Seiten
- bei AIO hieß es "Restore Important ...", hat wohl die gleiche Bedeutung wie "Repair" wie in geposteter Anleitung
- während AIO hat Windows auf Aktivierung von Sicherheitscenter u. Firewall hingewiesen; gehört anscheinend zum Systemcheck, erwähne es nur der Vollständigkeit halber

Erwarte weitere Anweisungen. Danke.