Werbevirus Oxy
 

Hallo erstmal,

ich bräuchte eure Hilfe weil ich sehr warscheinlich den Oxy Virus auf meinem PC habe.
Kann die Programme "Oxy" und "Pilefile reminder" von LADY'S WOOD 2013 UNLIMITED nicht unter Programme und Funktionen entfernen obwohl ich der Administrator bin.
Auch wenn ich den PC starte öffnet sich immer ein Programm von Oxy, welches ich schließe doch danach öffnen sich noch 3 weitere und dann ist es vorbei.
Am Anfang war auch so eine Oxy Startseite bei mir in Google Chrome drin, die ich wieder unter Einstellungen entfernt habe und die dazu gehörige Erweiterung auch.
Habe auch einen Malwarebytes Anti-Malware Durchlauf gemacht und dabei sehr viel entdeckt.(im Anhang)

Windows 7 Ultimate 64 bit SP1
AMD Athlon II X2 250
4,0 GB RAM
AMD Radeon HD 6800 Series

Hallo Vime, :hallo:

mein Name ist Jonas und ich werde dir bei deiner Bereinigung helfen. Diese kann mit viel Arbeit für dich verbunden sein. Bevor wir anfangen können, lies bitte die Bereinigungsregeln und Hinweise:
Wenn du alles gelesen hast, kann es losgehen. Bitte speichere alle Programme auf dem Desktop und führe sie von dort aus. :)



Schritt 1
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Poste folgende Logfiles in deiner nächsten Antwort:

• FRST-Scan

Dankeschön für die schnelle Antwort,
Ich habe schön öfters meine Festplatte formatiert weil ich keine Lust hatte mich schwer mit einem Virus auseinander zu setzen.
Doch ich hab sehr viel gedownloadetes Material da wie z.B World of Warcraft, welches ich dann nur ungerne neu downloaden würde (zeitaufwendig mit einer 2k Leitung).
Hier sind die FRST Files


FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---



Ich hätte noch eine Frage, bin ich jetzt durch den Virus gefährdet, also das er mir E-Mail Daten oder auch Account Daten von diversen Spielen entnehmen kann ?

Hi,

Ich kann dich erstmal beruhigen. Es sieht danach aus, als ob du nur Adware auf dem Rechner hättest. Deswegen musst du deine Festplatte nicht formatieren und deine Daten sind soweit auch nicht gefährdet, aber neue Passwörter schaden keinem :).



Schritt 1
Bitte deinstalliere folgende Programme:

• Foxtab

Gehe dafür auf:

Windows XP: Start -> Systemsteuerung -> Kategorieansicht auswählen (falls nicht voreingestellt) -> Software
Windows Vista/7: Start -> Systemsteuerung -> Anzeige (oben-rechts) auf Kategorie stellen (falls nicht voreingestellt) -> Programme deinstallieren (Unterpunkt von Programme)
Windows 8: Suchen --> "Systemsteuerung" in das Suchfeld eingeben --> Systemsteuerung auswählen --> Programme deinstallieren (Unterpunkt von Programme)

und wähle die angegeben Programme aus. Drücke Entfernen (Windows XP) oder Deinstallieren (Windows Vista/7/8).

Schritt 2
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 3
Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop.
SystemLook (64 bit)

• Doppelklicke auf die SystemLook_x64.exe, um das Tool zu starten.
• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
  
  Code:

  ---

  :regfind
PileFile reminder
Oxy

  ---

• Klicke nun auf den Button Look, um den Scan zu starten.
• Der Suchlauf kann einige Zeit dauern.
• Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, poste diese in deinen Thread.
• Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

Schritt 4
Starte noch einmal FRST.

• Ändere keine der Voreinstellungen und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, wird ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
• Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

Poste folgende Logfiles in deiner nächsten Antwort:

• AdwCleaner-Scan
• SystemLook-Scan
• FRST-Scan

Als ich die Systemlookdatei posten wollte hing mehrmals mein Browser und er sendete meinen Post einfach nicht ab weil dort soviel Text vorhanden ist.
Soll ich dann die Systemlookdatei einfach in den Anhang packen?

Und danke dir nochmal Jonas, hast mich echt beruhigt :)

Kannst du machen, aber bitte wenns geht als Textdatei :).

Hey,

danke dir, die Files kommen sofort :D


FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---


Es gibt aber ein kleines Problemchen, denn die Systemlookdatei ist 7,02 mb groß, und die Maximalgröße bei txt Dateien liegt bei ungefähr 97,07 KB.
Egal ich versuchs wieder per Post hochzuladen

Ok wenn ich es versuche per Post hochzuladen, lädt er bis zu 100 %, will es dann abschicken und dann ist mein Bild in dem Tab nur noch weiß.
Hier der Link dazu http://www.trojaner-board.de/newrepl...reply&t=151756 :stirn:

Ok, egal, lassen wir erstmal mit dem hochladen. Das wäre sowieso nur gewesen, um die Einträge aus der Uninstall Liste zu entfernen, aber das können wir auch am Ende machen :).

Alles klar, wollte eigentlich nochmal fragen ob ichs irgendwo anders hochladen soll, aber mir solls recht rein :D

Achja mir ist gerade aufgefallen, das Google Chrome recht oft in den Prozessen an ist, obwohl ich es ausgeschaltet habe. Wenn ich die Prozesse dann beende starten sie automatisch nach ungefähr 5 Sekunden wieder. :O

Ok, dann so weiter :):



Schritt 1
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Schritt 2
Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 3

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 4
Starte noch einmal FRST.

• Ändere keine der Voreinstellungen und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, wird ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
• Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

Poste folgende Logfiles in deiner nächsten Antwort:

• FRST-Fix
• MBAM-Scan
• ESET-Scan
• FRST-Scan

Soo hier sind die nächsten Files :)





FRST Logfile:
--- --- ---

Ok, wenn du jetzt keine weiteren Probleme mehr hast, sind wir fertig :).



Schritt 1
Lade dir TFC (TempFileCleaner von Oldtimer) herunter und speichere es auf den Desktop.

• Öffne die TFC.exe.
  Vista und Win 7 User mit Rechtsklick "als Administrator starten".
• Schließe alle anderen Programme.
• Drücke auf den Button Start.
• Falls du zu einem Neustart aufgefordert wirst, bestätige diesen.

Updates
Internet Explorer 11

• Lade dir bitte den Internet Explorer 11 herunter und installiere diesen. Auch wenn du den Internet Explorer nicht primär verwenden solltest, ist es trotzdem wichtig, diesen aktuell zu halten.

Java Version 7 Update 51
Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

• Downloade dir bitte die neueste Java-Version von hier
• Speichere die jxpiinstall.exe
• Schließe alle laufenden Programme. Speziell deinen Browser.
• Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 51 ) herunter laden.
• Entferne den Haken bei "Installieren Sie die Ask-Toolbar ..." während der Installation.
• Wenn die Installation beendet wurde
  Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
• Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

• Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
• Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
• Klicke auf Dateien löschen....
• Gehe sicher das überall ein Haken gesetzt ist und klicke OK.
• Klicke erneut OK.

Adobe Reader Version XI (11.0.06)

• Deinstalliere bitte deine aktuelle(n) Version(en) des Adobe Readers.
• Lade dir die neuste Version hier herunter: Adobe - Adobe Reader herunterladen - Alle Versionen
• Entferne den Hacken für das optionale Programm "McAfee Security Scan Plus".

Adobe Flash Player Version 12.0.0.77

• Deinstalliere bitte deine aktuelle(n) Version(en) des Adobe Flash Players.
• Lade dir die neuste Version hier herunter: Adobe - Adobe Flash Player installieren
• Entferne den Hacken für das optionale Angebot "McAfee Security Scan Plus".

Cleanup
Falls du Malwarebytes Anti-Malware und den ESET Online Scanner nicht mehr behalten möchtest, kannst du diese über die Systemsteuerung deinstallieren. Ich empfehle dir, mindestens ein Programm zu behalten (näheres in den Tipps).

Windows XP: Start --> Systemsteuerung --> Kategorieansicht auswählen (falls nicht voreingestellt) --> Software
Windows Vista/7: Start --> Systemsteuerung --> Anzeige (oben-rechts) auf Kategorie stellen (falls nicht voreingestellt) --> Programme deinstallieren (Unterpunkt von Programme)
Windows 8: Suchen --> "Systemsteuerung" in das Suchfeld eingeben --> Systemsteuerung auswählen --> Programme deinstallieren (Unterpunkt von Programme)

Die Reihenfolge ist hier entscheidend.

1. Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
2. Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
   • Windowstaste + R > Combofix /Uninstall (eingeben) > OK
   • Alternative: Combofix.exe in uninstall.exe umbenennen und starten
   • Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
3. Downloade Dir bitte auf jeden Fall DelFix auf deinen Desktop:
   • Schließe alle offenen Programme.
   • Starte die delfix.exe mit einem Doppelklick.
   • Setze vor jede Funktion ein Häkchen.
   • Klicke auf Start.
   • Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
   • Starte deinen Rechner abschließend neu.
4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

In deinen Logfiles sehe ich im Moment keine schädlichen Einträge mehr, du bist in meinen Augen Clean. Für die Zukunft habe ich dir Tipps aufgeschrieben, damit du uns in nächster Zeit nicht mehr brauchst :).




Tipps - Frequently Asked Questions (FAQ)/Häufig gestellte Fragen



Wenn du die Arbeit des Trojaner-Boards unterstützen möchtest, kannst du gerne spenden :).

Ich wünsche dir eine schöne und malwarefreie Zeit :daumenhoc.

Danke dir für alles Jonas, kann mein PC endlich starten ohne dass ich von Oxy direkt gestört werde :D

Hätte noch eine Frage, und zwar wenn ich meinen PC wieder starte und Google Chrome öffne, ist immer noch die Startseite von oxy namens qone8 offen, weswegen ich bei jedem PC Start die Startseite meines Browsers ändern muss. Kannst du mir da irgend nen Rat geben ?

Auch ist qone8 nicht mehr als Startseite festgelegt erscheint aber trotzdem nach jedem Start

Nur bei Google Chrome? Mach bitte mal folgendes:



Schritt 1
Downloade dir bitte Shortcut Cleaner (by Grinler) auf deinen Desktop.

• Starte die sc-cleaner.exe mit einem Doppelclick.
• Bestätige die Meldung Shortcut Cleaner Finished am Ende des Suchlaufs mit Ok.
• Eine Logdatei wird sich öffnen (sc-cleaner.txt).
• Poste den Inhalt mit deiner nächsten Antwort.

Besteht das Problem immernoch?

Also, es im IE ist es auch als Startseite, obwohl bei Startseite www.google.com angegeben ist.


Soll ich dir den Link der Startseite mal schicken ? :D

Auf der Seite passiert nichts bis auf "Werbung", und wollte es ehrlich gesagt nich ausprobieren irgendwo drauf zu drücken, immer direkt neuen Tab gestartet.

Hartnäckig das Teil. Mach mal bitte folgendes:


Schritt 1
Öffne deinen Google Chrome Browser.

• Klicke auf das Chrome-Menü http://www.trojaner-board.de/picture...&pictureid=489 (rechts im Browser).
• Wähle nun "Einstellungen" in dem Menü aus.
• Scrolle nach unten und klicke "Erweiterte Einstellungen anzeigen" an.
• Nun werden dir weitere Optionen angezeigt. Wähle http://www.trojaner-board.de/picture...&pictureid=490 aus (letzter Punkt der Einstellungsmöglichkeiten).
• Ein Fenster wird geöffnet, in welchem du "Zurücksetzen" auswählst.
• Jetzt werden deine aktuellen Browsereinstellungen zurückgesetzt (Startseite, Suchseite, ...), Erweiterungen und Designs deaktiviert.

Schritt 2
Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden ).

• Doppelklick auf die OTL.exe
• Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimal Ausgabe
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Ist das Problem in Google Chrome noch vorhanden?



Poste folgende Logfiles in deiner nächsten Antwort:

• OTL-Scan

Ist in Google Chrome noch vorhanden.


Hab heut erste Mal PC gestartet, jetzt ist da erstmal Werbung : Ihr Windows in 3 Schritten reparieren. Microsoft Certified. Dürfen die sowas überhaupt in ihre Fake Werbung reinmachen :D

Ok, in dem OTL Logfile sehe ich auch nichts weltbewegendes, aber mache bitte folgendes:



Schritt 1
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Schritt 2
Synchronisierst du Google Chrome mit deinem Konto? Wenn ja, bitte das deaktivieren. Deinstalliere bitte deinen Google Chrome Browser vollständig und installiere diesen wieder.


Tritt das Problem weiterhin auf? Mach bitte einen Screenshot und hänge diesen hier an.

Hast du "DVDVideoSoft" heruntergeladen?

Noch eine Frage bevor ich Google Chrome deinstalliere.
Werden meine Lesezeichen gespeichert und beim neuinstallieren wieder verwendet ?
DvDVideoSoft nicht direkt sondern nur Free Youtube Downloader. Möchte nämlich gerne Musik hören ohne meinen Browser, weil ich nur eine 2k Leitung besitze.

Ne, deine Lesezeichen werden nicht gespeichert, aber ich hab noch eine Möglichkeit, bevor du Google Chrome deinstallierst. Probiere das mal aus, besteht das Problem weiterhin noch?



Schritt 1
Bitte lade dir zoek.exe von hier: http://hijackthis.nl/smeenk/

• Bitte deaktiviere während des Scans alle Virenscanner, da sie das Ergebnis beeinflussen können.
• Starte die zoek.exe mit einem Doppelklick.
• Achtung: Das folgende Skript wurde nur für diesen speziellen Fall geschrieben und sollte nicht 1:1 auf andere Computer übernommen werden.
• Kopiere den Text der folgenden Box in das Skriptfenster von zoek:
  
  Code:

  ---

  FFdefaults;
CHRdefaults;
iedefaults;
emptyclsid;
autoclean;

  ---

• Nun klicke auf "Run script" und sei geduldig bis das Skript durchgelaufen ist.
• Wenn das Tool fertig ist, wird sich eine Logdatei öffnen (ggf. erst nach einem Neustart). Das Log befindet sich aber auch noch unter c:
• Bitte poste mir das ZOEK-Log (möglichst in CODE-Tags - #-Symbol im Antwortfenster klicken)

Schritt 2
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Muss dich echt mal loben Jonas, antwortest so schnell und bekommst alles hin, die Startseite ist futsch. Mann eh du hasts drauf :D

Danke für dein Lob, aber den Tipp mit Zoek habe ich von einem Kollegen bekommen ;). Ist die Webung in allen Browsern verschwunden?

Hast du noch weitere Fragen?

Jup ist überall weg, bin dir überaus dankbar :)
Auch wenn der Support hier perfekt ist, hoffe ich die nächste Zeit nicht hier zu landen :D
Sind auch keine weiteren Fragen mehr vorhanden.

Mit freundlichen Grüßen,
virusfreier Vime

Hallo Vime,

schön, dass wir dir helfen konnten :abklatsch:.

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht, damit erhalte ich keine Benachrichtungen über neue Antworten in diesem Thread. Solltest Du das Thema erneut brauchen, schicke mir bitte eine private Nachricht.

Jeder Andere bitte hier klicken und einen eigenen Thread erstellen.