Win 7 Infektion: Pop-Ups mit cdn.cloudwm.com, doppelt grün unterstrichene Textbausteine mit Werbung, einzelne Webseiten gehen nicht
 

Hallo zusammen,

ihr seid meine letzte Rettung, bevor ich mein System neu aufsetzen muss. Bis heute nachmittag lief noch alles problemlos. Als ich gerade mit Lightworks (Videobearbeitungsprogramm) gearbeitet hatte und Firefox 30 noch im Hintergrund geöffnet war, erschien eine Fehlermeldung, dass irgendetwas nicht installiert werden konnte. Erschien mir komisch, da ich gerade nichts installiert hatte und klickte es einfach weg (mit dem roten X in der Ecke, um auf Nummer sicher zu gehen).

Als ich mit dem Videoschnitt fertig war und es an den Upload bei youtube gehen sollte, war youtube nicht mehr erreichbar (Fehlermeldung im Browser: "Fehler: Datenübertragung unterbrochen"). Ich startete dann den Router neu und es ging immer noch nicht. Ich stellte dann fest, dass aber andere Seiten gingen. Nur youtube, gmail, google und weitere Seiten, die ich mehrmals täglich (quasi am häufigsten) nutze spuckten die Fehlermeldung aus. Ich checkte dann erstmal die Internetverbindung auf dem Laptop, da liefen alle Seiten reibungslos.

Um den Fehler auf den Firefox einzuschränken, probierte ich den Internet Explorer, aber da das gleiche Spiel:

- Pop-Ups, die zur URL "h**p://cdn.cloudwm.com/uploads/19/pop/pop.html?url=http%3A%2F%2F20d625b48e.se%2F%3Fplacement%3D400298%26redirect%26test" führen
- doppelt grün unterstrichene Textbausteine im Browser, die Vorschaubilder zu Werbeseiten ausspucken
- youtube, google, gmail und weitere "meistbesuchte" Seiten nicht verfügbar, während andere Seiten problemlos zu erreichen sind

Kaspersky hat nicht angeschlagen, Malwarebytes hat noch Reste vom "HD Streamer" gefunden, unter dem ich vor kurzem gelitten hatte. Ich hoffe, ihr könnt mir helfen, mein System noch zu retten..

:hallo:

Mein Name ist Sandra und ich werde Dir bei Deinem Problem behilflich sein.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig durch bevor Du beginnst. Wenn es Probleme gibt oder Du etwas nicht verstehst, dann stoppe mit Deiner Ausführung und beschreibe mir das Problem
• Führe bitte nur Scans durch zu denen Du von mir aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert.
• Poste die Logfiles direkt in deinen Thread in Code-Tags.
• Bedenke, dass wir hier alle während unserer Freizeit tätig sind, wenn du innerhalb von 2 Tagen nichts von mir hörst, dann schreibe mir bitte eine PM.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der schnellere und bei einem Befall durch Malware immer der sicherste Weg. Adware lässt sich in den allermeisten Fällen problemlos entfernen.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis Dir jemand vom Team sagt, dass Du clean bist.

Posten in Code Tags
Bitte füge die Logs immer in Code-Tags ein. Wenn Du das nicht machst, erschwert es mir sehr das Auswerten. Danke.
Dazu:

• Klicke über dem Antwortfenster auf die Raute #, dann steht dort in eckigen Klammern [] CODE /CODE.
• Zwischen den beiden code-Bausteinen fügst Du dann deine Logfiles ein. Also CODE Logfile /CODE
• Wenn die Logs zu lang sein sollten, dann teile sie bitte auf und poste sie dann hier in Deinem Thread, notfalls in mehreren Antworten.

Schritt 1
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Hallo Sandra und Danke für die schnelle Antwort.

Hier die FRS.txt:


FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---


Und hier die Additions.txt:

Hallo Railworker,

danke :)

Bitte verschiebe FRST noch auf dem Desktop.
Poste mir bitte noch die Logs vom Adwarecleaner und JRT, Hitmanpro hat auch nichts gefunden?

Wie sieht es nach folgenden Schritten aus?

Schritt 1
Bitte deinstalliere folgende Programme (falls vorhanden) :
Open AL
Dazu gehe auf:
den Windowsbutton in der Taskleiste --> Systemsteuerung --> Programme (Unterpunkt Programme deinstallieren) --> Programm auswählen --> entfernen

Falls du ein Programm nicht deinstallieren kannst, lade dir von hier den Revo-uninstaller herunter und deinstalliere es damit, wähle dabei den moderaten Modus.

Schritt 2
Bitte deaktiviere dein Anti-Viren-Programm, da es das Ergebnis beeinflussen oder ggf. die Bereinigung stören kann.
Bitte lade dir zoek.exe von hier: http://hijackthis.nl/smeenk/ und speichere die Datei auf deinem Desktop.

• Starte Zoek.exe mit einem Doppelklick.
• Achtung: Das folgende Skript wurde nur für diesen speziellen Fall geschrieben und könnte andere Computer beschädigen.
• Kopiere den Text der folgenden Box in das Skriptfenster von zoek:
  
  Code:

  ---

  iedefaults;
FFdefaults;
CHRdefaults;
emptyIEcache;
emptyFFcache;
emptyCHRcache;
autoclean;

  ---

• Nun klicke auf "Run script" und sei geduldig bis das Skript durchgelaufen ist.
• Wenn das Tool fertig ist, wird sich Notepad mit der Logdatei öffnen (ggf. erst nach einem Neustart). Das Log befindet sich aber auch noch unter c:\ .
• Bitte poste mir das ZOEK-Log (möglichst in CODE-Tags - #-Symbol im Antwortfenster klicken).

Schritt 3
Downloade dir bitte Shortcut Cleaner (by Grinler) auf deinen Desktop.

• Starte die sc-cleaner.exe mit einem Doppelclick.
• Bestätige die Meldung Shortcut Cleaner Finished am Ende des Suchlaufs mit Ok.
• Eine Logdatei wird sich öffnen (sc-cleaner.txt).
• Poste den Inhalt mit deiner nächsten Antwort.

Wow, das ging ja echt zügig mit deinem Feedback. Schonmal lieben Dank für deine Mühen! :)

OpenAL habe ich deinstalliert. HitmanPro oder Malwarebyte hatte bei der ersten Suche Rste von "HD Streamer" gefunden, jetzt bei weiteren Suchen wird alles als "sauber" angezeigt.

Hier der Log von FRST mit der Datei auf dem Desktop:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---



Der Log von ADWCleaner:

AdwCleaner Logfile:
--- --- ---
AdwCleaner Logfile:
--- --- ---



Und vom JRT:
Antivirenprogramm hatte ich deaktiviert. Hier der ZOEK-Log:


Und die SC-Cleaner.txt:

Hallo Railworker,

gut :)

Beantwortest du mir bitte noch meine Frage?
und mach nochmal ein neues Log mit FRST.

Schritt 1
Starte noch einmal FRST.

• Ändere keine der Voreinstellungen und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, wird ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
• Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

Oh, die hab ich total übersehen, sorry! :)

Bis jetzt hat sich nichts geändert. Google, gmail, etc. sind immer noch nicht erreichbar, während andere Seiten (wie das Forum -zum Glück) funktionieren. Wenn ich jedoch auf einen link klicke (da reicht der Klick auf den Anmeldebutton hier im Forum), wird im Hintergrund ein neues Fenster mit der cloudwm-Adresse aus meinem ersten Post geöffnet (wobei das jetzt, wie es scheint, nur kurz aufploppt und dann sofort wieder verschwindet). Auch die doppelt grün unterstrichenen, zufällig ausgewählten Textbausteine, die beim Drüberfahren ein Werbefenster öffnen, sind noch da. Das kleine Seitenladesymbol im Tab läuft auch ständig im Kreis (als würde die Seite noch nicht fertig sein mit Laden, obwohl sie es ist)

Ich hänge dir mal zwei Screenshot (mit Snipping Tool gemacht) an, direkt hier von der Seite, während ich den Text tippe:

[IMG]h**p://www.pic-upload.de/view-23912589/werbelink.jpg.html[/IMG]

[IMG]h**p://www.pic-upload.de/view-23912590/werbelink2.jpg.html[/IMG]

Und hier noch die FRST.txt nach dem aktuellen Durchlauf:


FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

Hallo Railworker

kennst du die extension web download compiler pro im firefox?

Teste bitte nochmal den Firefox und Chrome nach dem Fix.
Schritt 1

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Hallo Sandra,

bei der "web download compiler" Extension habe ich mich tatsächlich gefragt, was das sein soll und ob/ wieso ich sowas installiert habe. Also sage ich mal "nein, ich kenne die nicht".

Den Fix habe ich ausgeführt, Problem bleibt leider bestehen.

Hier die Fixlog.txt:

Hallo Railworker,

wie sieht es hiernach aus?
Schritt 1

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Hallo Sandra,

vielen vielen lieben Dank! Das scheint es gewesen zu sein. :)

Die grün unterstrichenen Textbausteine sind weg, alle Internetseiten funktionieren wieder und die Pop-Ups nach jedem link-klick sind auch weg. Bevor ich den Rechner wieder "voll" nutze, warte ich aber mal noch auf dein Feedback.

Hier die aktuelle Fixlog.txt:

Hallo Railworker,
Sehr schön! Lass uns dann gemeinsam meinem Kollegen Matthias danken. ;)

Wir machen noch einen Kontrollscan
Schritt 1
Da der Scan mit Eset sehr gründlich ist, kann er unter Umständen mehrere Stunden dauern :kaffee:

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

und ich brauche noch ein neues FRST
Schritt 2
Starte noch einmal FRST.

• Setze den Haken bei addition.txt und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, werden zwei neue Logfiles FRST.txt und addition.txt erstellt und auf dem Desktop (oder in dem Verzeichnis in dem FRST liegt) gespeichert.
• Poste den Inhalt dieser Logfiles bitte hier in deinen Thread.

Hallo Sandra,

dann auch ein Danke an Matthias :-) Wenn ich dem Forum eine kleine Spende zukommen lasse, hilft das ja euch allen, oder?

Hier erstmal das logfile von Eset:

FRST.txt:


FRST Logfile:
--- --- ---

und die addition.txt:

Zusätzlich habe ich mir mal Gedanken über meinen Virenschutz gemacht. Mit dem Kaspersky scheint es nicht wirklich zu funktionieren und da die Lizenz in 3 Monaten abläuft, steht entweder eine Verlängerung bzw. jetzt wahrscheinlicher, ein Wechsel an. Kannst du/ könnt ihr den von Eset (inkl. Firewall) empfehlen?

Hallo Railworker,

natürlich kommen Spenden uns allen zugute. ;)

bitte achte zukünftig vermehrt darauf, wo du dir Programme runterlädst, Chip zB. ist gerne eine Quelle für Adware oder auch Downloader, von daher lieber direkt beim Hersteller das Programms runterladen ;)

Eset ist gut :)

Schritt 1

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

OK
So wie ich es sehe, haben wir damit alles Schadhafte entfernt. Deine Logs sind sauber.
Abschließend räumen wir noch etwas auf, führen Updates durch und dann bekommst du noch etwas Lesestoff von mir.

Schritt 1

Falls Du Malwarebytes-Antimalware und den ESET-Onlinescan nicht mehr benötigst, kannst Du beide Programme einfach über die Programmdeinstallation deinstallieren.
Ich empfehle Dir aber zumindest Malwarebytes zu behalten, und damit einmal die Woche einen Kontrollscan zu machen.

Schritt 2
Downloade dir bitte delfix auf deinen Desktop.

• Schließe alle offenen Programme.
• Starte die delfix.exe mit einem Doppelklick.
• Setze vor jede Funktion ein Häkchen.
• Klicke auf Start.
• DelFix entfernt u. a. alle verwendeten Programme und löscht sich abschließend selbst.

Falls nach Delfix noch Programme aus unserer Bereinigung vorhanden sein sollten, kannst du diese nun bedenkenlos löschen.

Updates / Programme aktualisieren

• FlashPlayer

Dein FlashPlayer für den InternetExplorer (ActiveX) ist nicht mehr aktuell.

• deinstalliere die alten Versionen.
• Öffne mit dem InternetExplorer folgenden Link Adobe - Adobe Flash Player installieren
• Falls sich dort etwas anderes als der FlashPlayer noch zusätzlich mitinstallieren möchte, entferne den Haken dort

Aktualisierung einstellen
Stelle sicher, dass dein FlashPlayer nach Updates sucht. Den FlashPlayer kann man direkt bei der Installation so konfigurieren, dass er nach Updates automatisch sucht, nachträglich kann man das über folgenden Link machen:
Adobe - Flash Player: Einstellungsmanager - Globale Benachrichtigungseinstellungen

• Java

Dein Java ist nicht mehr aktuell.
Java ist eine große Sicherheitslücke auf deinem System, es werden immer wieder neue Schwachstellen entdeckt, die ausgenutzt werden um Rechner zu infizieren.
Sofern du Java nicht zwingend benötigst, solltest du es komplett deinstallieren.

Windows XP
Gehe auf:
Start --> Systemsteuerung --> Software --> Javaversionen auswählen --> entfernen
Windows Vista
Gehe auf:
Start --> Systemsteuerung -- > Programme --> Programme deinstallieren --> Javaversionen suchen --> entfernen
Windows 7
Dazu gehe auf:
den Windowsbutton in der Taskleiste --> Systemsteuerung --> Programme (Unterpunkt Programme deinstallieren) --> Javaversionen auswählen --> entfernen
Windows 8
Dazu drücke auf:
Windowstaste und X
dann:
Programme und Funktionen -->Javaversionen auswählen --> entfernen

Falls du Java doch unbedingt benötigst, dann

• Downloade dir bitte die neueste Java-Version von hier
• Speichere die jxpiinstall.exe
• Schließe alle laufenden Programme. Speziell deinen Browser.
• Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 65 ) herunter laden.
• Entferne den Haken bei "Installieren Sie die Ask-Toolbar ..." während der Installation.
• Wenn die Installation beendet wurde
  Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
• Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

• Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
• Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
• Klicke auf Dateien löschen....
• Gehe sicher das überall ein Haken gesetzt ist und klicke OK.
• Klicke erneut OK.

und sorge dafür, dass Java automatisch updated.
Dazu:

• öffne Java
• klicke auf den Reiter Update
• klicke auf: Benachrichtung ausgeben: Vor dem Download setze den Haken bei Automatisch nach Updates suchen
• klicke auf Erweitert
• ändere das Intervall mindestens auf wöchentlich

und schalte das Browser-Plugin aus.
Hier findest du eine Anleitung dazu.

Nun zum Schluss noch ein paar Tipps zur Absicherung deines Systems.

Aktualität des Systems
Es ist extrem wichtig, dass sowohl dein System als auch die darauf installierte sicherheitsrelevante Software (Flash Player, PDF-Reader und besonders Java, sofern vorhanden) aktuell sind.

• Bitte überprüfe, ob dein System Windows Updates automatisch herunter lädt
• Windows Updates
  • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
  • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
• Gehe sicher das die automatischen Updates aktiviert sind.

Antivirensoftware

• Gehe sicher immer eine Antiviren Software installiert zu haben und halte diese unbedingt aktuell.

Zusätzlicher Schutz

• MalwareBytes Anti-Malware
  Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On-Demand Scantool welches viele aktuelle Malware erkennt und auch entfernt.
  Aktualisiere das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
  Ein Tutorial zur Verwendung findest Du hier.

Alternative Browser

Andere Browser tendieren zu etwas mehr Sicherheit als der Internet Explorer, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.

• Opera
• Mozilla Firefox.
  • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
  • NoScript
    Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
    
  • AdblockPlus
    Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf einen Banner um diesen zu AdBlockPlus hinzuzufügen reicht und dieser wird nicht mehr geladen.
    Es spart ausserdem Downloadkapazität.

Systemleistung
Lösche regelmäßig deine temporären Dateien. Ich empfehle hierzu die Datenträgerbereinigung von Windows.
Windows Vista

• Klicke unten links auf das Vistasymbol
• Gehe auf Programme -> Zubehör -> Systemprogramme -> Datenträgerbereinigung
• Wähle nun Dateien von allen Benutzern des Computers aus und bestätige mit OK
• Setze den Haken bei den zu löschenden Dateien zusätzlich bei Temporäre Dateien
• Bestätige mit OK
• Bestätige dass du die Dateien unwiderruflich löschen möchtest

Windows 7

• Gehe auf das Windowsstartsymbol
• Gebe im Suchfeld Datenträgerrereinigung ein
• Setze den Haken zusätzlich bei Temporäre Dateien
• Bestätige mit OK

Windows 8

• Rechtsklicke in die untere linke Ecke deines Bildschirms
• Klicke auf Suchen
• Klicke auf Einstellungen
• Gebe im Suchfeld Datenträgerbereinigung ein
• Klicke in den Einstellungen auf der linken Seite nun auf Speicherplatz durch Löschen nicht erforderlicher Dateien freigeben
• Setze den Haken zusätzlich bei Temporäre Dateien
• Bestätige mit OK
• Bestätige dass du die Dateien unwiderruflich löschen möchtest

Halte dich fern von jeglichen Registry Cleanern.
Diese schaden deinem System mehr als dass sie es schneller machen.

Verhaltensregeln zum sichereren Surfen

• Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
• verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
• Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
• Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe
• Achte besonders bei der Installation von Programmen darauf, ob sich weitere Software mitinstallieren möchte, wähle wo immer es geht die benutzerdefinierte Installation und wähle alles ab, was nichts mit dem Programm zu tun hat, welches du dir installieren möchtest.

Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind.

Falls Du Lob oder Kritik abgeben möchtest, kannst Du das sehr gerne hier tun.

Wenn Du etwas für das Forum und unsere Arbeit spenden möchtest, so kannst Du das hier tun.