Avira meldet ADWARE/DomaIQ.24569 + Defogger-Download blockiert
 

Hallo!
Ich habe gestern einen Scan mit Avira durchgeführt, nach dem eine URL blockiert wurde. Avira hat ADWARE/DomaIQ.24569 gefunden und in Quarantäne verschoben:

Jetzt weiß ich nicht, was zu tun ist und würde diese Adware gerne wieder loswerden, also wollte ich zunächst defogger herunterladen (wie in eurer Anleitung beschrieben). Das Problem ist: Als ich auf Download geklickt habe, hat Avira einen Virus auf dieser Webseite gemeldet und die URL blockiert, sodass ich nichts herunterladen konnte. Reagiert Avira da hysterisch oder ist es möglich, dass auf der defogger-Seite wirklich ein Virus ist?

Wie soll ich jetzt weiter vorgehen?

Vielen Dank schon mal!

Hallo,

Du hast sehr wahrscheinlich nicht den Download-Link erwischt, sondern einen Download-Button von einem Werbebanner! Schau nochmals genau auf der Seite, wo der Downloadlink für defogger (und die anderen Tools) ist, und lass dich nicht von diesen Werbebannern täuschen.

Tatsächlich, danke! Ich habe inzwischen einen Adblocker installiert und dann auch nur noch den richtigen Download-Link gesehen.

Hier frst.txt:


FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---


Addition.txt:

Nachdem GMER fertig war, wollte ich das Ergebnis natürlich speichern. Angeblich wurde die Datei auch auf dem Desktop gespeichert, aber da ist sie nicht. Auch mit der Suche finde ich sie nicht. Als ich versucht habe, erneut auf dem Desktop zu speichern, kam die Meldung, dass die Datei schon existiert. Ich weiß jetzt nicht so recht, was ich falsch mache...

Ich habe dann mit der Copy-Funktion die Ergebnisse einfach in ein Text-Dokument kopiert:

Müssen die Programme im Admin-Profil durchgeführt werden? Dann muss ich es noch mal machen.
Ich habe in den Logs den Computernamen zu "B" geändert und den Namen des Admin-Profils zu "M".

Hallo,

Ja mit Admin-Rechten ist besser. Wiederhole den FRST-Scan bitte (kannst du aus dem gleichen Konto machen, aber mit Recktsklick -> als Administartor starten.)

Ok, hier noch mal FRST:


FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---


Addition.txt wurde jetzt beim zweiten Durchlauf nicht mehr erstellt.

Ok.


Schritt 1

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 2

Starte noch einmal FRST.

• Ändere keine der Voreinstellungen und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, werden ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
• Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

AdwCleaner Logfile:
--- --- ---


FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---



Scheinbar habe ich versehentlich die Avira-Toolbar entfernt, sodass jetzt der Avira-Browserschutz nicht mehr funktioniert. Ich habe dann Avira neu installiert, die Toolbar / Browserschutz ist aber immer noch weg. Wie komme ich wieder an die Toolbar? Habe schon gegoogelt, aber keine Downloadmöglichkeit gefunden.

Hi,

Wie kann ich den Avira Browser Schutz wieder aktivieren?

Wie läuft der Rechner sonst?


Schritt 1

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 2


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Danke, das habe ich gemacht, aber leider funktioniert der Browser-Schutz immer noch nicht.

Gut, er lief aber vorher auch gut. In Firefox funktionieren jetzt Dinge, die vorher lange Zeit nicht mehr funktioniert haben, zB werde ich jetzt immer gefragt, ob das Passwort gespeichert werden soll, wenn ich mich irgendwo anmelde. Allerdings öffnen sich bei jedem Firefox-Start 5 Tabs, in denen mir zur Nutzung von Firefox und zum Download von Add-Ons gratuliert wird, das finde ich etwas seltsam. Adblock Plus musste ich jetzt zum 3. Mal installieren, das verschwindet immer.

Nachdem ich auf "Entferne Auswahl" geklickt hatte, kam eine Meldung von Avira mit der Nachricht, dass die Registry vor einem verdächtigen Angriff geschützt wurde und dass ich einen Suchlauf starten soll. Soll ich? Liegt das an Malwarebytes?

Schritt 2 habe ich noch nicht gemacht:

Sorry, das verstehe ich nicht. Alle meine USB-Sticks und externen Festplatten? So viele Anschlüsse habe ich gar nicht.

Das ist nicht so wichtig. Steck einfach diejenigen an, die du grad noch mitprüfen willst.

Ich glaube, es wurde ein Trojaner gefunden -win32/startpage:

Hi,

Nein, das ist nichts schlimmes. Du hast einfach offenbar der VLC-Player nicht von der Originalseite (videolan.org), sondern von einer anderen (z.B. vlc.de) heruntergeladen und deshalb hat es noch unerwünschte Werbung drin, was ESET bemängelt. Software immer direkt beim Hersteller downloaden.


Schritt 1

Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware zur Infizierung per Drive-by Download missbraucht werden können.

Die aktuelle Version ist Java 7 Update 40.

• Gehe zu

  Start --> Systemsteuerung --> Programme und Funktionen (bei Vista / Win 7)
  Start --> Systemsteuerung --> Software (bei Win XP)

  und deinstalliere alle älteren Java-Versionen.

In wenigen Fällen wird Java wirklich benötigt. Auch werden immer wieder neue, noch nicht geschlossene Sicherheitslücken ausgenutzt.
Überleg dir also, ob du eine Java-Installation wirklich brauchst.
Falls du Java weiterhin verwenden möchtest, dann:

• Lade dir die neueste Java-Version herunter.
• Schliesse alle laufenden Programme, speziell den Browser.
• Starte die heruntergeladene jxpiinstall.exe und folge den Anweisungen.
• Entferne während der Installation den Haken bei "Installieren Sie die Ask-Toolbar ...".

Überprüfe dann mit diesem Plugin-Check (mit dem Firefox hier), ob nun alle deine verwendeten Versionen aktuell sind und update sie anderenfalls.



Cleanup

Zum Schluss werden wir jetzt noch unsere Tools (inklusive der Quarantäne-Ordner) wegräumen, die verseuchten Systemwiederherstellungspunkte löschen und alle Einstellungen wieder herrichten. Auch diese Schritte sind noch wichtig und sollten in der angegebenen Reihenfolge ausgeführt werden.

1. Starte defogger und drücke den Button Re-enable.
2. Bei MBAM würd ich dir unbedingt empfehlen, es zu behalten und wöchentlich einen Quick-Scan durchzuführen. Wenn du es nicht weiter verwenden möchtest, kannst du es jetzt normal über die Systemsteuerung deinstallieren.
3. Auch den ESET Online Scanner kannst du behalten, um ab und zu (monatlich) für eine Zweitmeinung dein System damit zu scannen. Falls du ESET deinstallieren möchtest, dann kannst du das ebenfalls über die Systemsteuerung tun.
4. Downloade dir bitte auf jeden Fall DelFix auf deinen Desktop.
   • Schliesse alle offenen Programme.
   • Starte die delfix.exe mit einem Doppelklick.
   • Setze vor jede Funktion ein Häkchen.
   • Klicke auf Start.
   • DelFix entfernt u.a. alle von uns verwendeten Programme und löscht sich anschliessend selbst.
5. Wenn jetzt noch etwas übriggeblieben ist, dann kannst du es einfach manuell löschen.

>> OK <<
Wir sind durch, deine Logs sehen für mich im Moment sauber aus. :daumenhoc

Ich habe dir nachfolgend ein paar Hinweise und Tipps zusammengestellt, die dazu beitragen sollen, dass du in Zukunft unsere Hilfe nicht mehr brauchen wirst.

Bitte gib mir danach noch eine kurze Rückmeldung, wenn auch von deiner Seite keine Probleme oder Fragen mehr offen sind, damit ich dieses Thema als erledigt betrachten kann.




Epilog: Tipps, Dos & Don'ts





Wenn du möchtest, kannst du das Forum mit einer kleinen Spende unterstützen.
Es bleibt mir nur noch, dir unbeschwertes und sicheres Surfen zu wünschen und dass wir uns hier so bald nicht wiedersehen. ;)

Vielen Dank für deine Hilfe! :dankeschoen:

Java und Cleanup ist erledigt. Es funktioniert alles ganz gut, nur eine Sache nicht: Der Avira Browserschutz, weil immer noch die Toolbar fehlt. Ich habe schon mehrfach Avira deinstalliert und neu installiert, auch mal als Admin, auch Firefox komplett neuinstalliert, aber immer kommt die Meldung, dass die Toolbar fehlt und deshalb der Browserschutz nicht aktiviert werden kann. Auch googeln hat mir noch nicht geholfen...
Könnte es sein, dass der neu installierte Adblock Plus für Firefox diese Toolbar blockiert? Oder hast du eine andere Erklärung?

Darf ich diesen Thread noch mal wiederbeleben?
Nachdem ich heute eine Email meines Emailanbieters bekam, in der stand, dass eine meiner Email-Adressen mit Passwort unter den gestohlenen Datensätzen befindet, habe ich erneut mit Avira und danach mit ESET gescannt.
ESET hat wieder die gleiche VLC-Player-Datei als win32/Startpage-Trojaner bezeichnet; da ich die Datei damals nicht gelöscht hatte.

Seid ihr euch sicher, dass das nur harmlose Werbung ist und kein Trojaner? In diesem Thread hier: http://www.trojaner-board.de/130967-...-gefunden.html
wurde nämlich anders damit umgegangen.

Ich kenne mich leider nicht damit aus, also entschuldigt bitte, dass ich nochmals nachfrage ;).

Vielen Dank schon mal!