Browser öffnen auf Klick hin adware Seiten
 

Hallo,
ich hab mir anscheinend gestern einen Installer mit Adware runtergeladen. Es öffnet sich manchmal wenn ich Klicke, URLs wie diese "https://go.oclasrv.com/afu.php?zoneid=471151" aber sie sind einfach Weiß im Browser und haben den titel "afu.php (1x1)" oder auch "hxxp://foryourweb.net/" das erscheint selten wenn ich etwas in der url leiste eingebe und enter drücke. Ich habe mehrmals mit ADWCleaner und Malwarebytes gescannt und die haben auch mehrmals etwas gefunden. Alles wurde entfernt ausser das Hauptproblem. Die neuen Tabs öffnen sich immer noch wenn ich entweder Tweeten (twitter programm) oder einen Browser öffne oder einfach im Internet Browse. Ich mache gerade einen Scan von C:\ mit Webroot (habe gestern einen Key von einem Freund bekommen) und der dauert jetzt schon 5 Stunden. Er hat auch 35 Schädlinge gefunden.
Ich habe Windows 7 Ultimate (dazu auch Legasthenie also sorry für Fehler)
FRST Scan folgt

Beide Logs sind zu lang zum posten (FRST ist 120088 lang). Ich habe die hier hochgeladen https://www.kieran.pw/FRST/

Edit: Wenn da drin etwas von "DLC Unlocker 1.1" oder "vanitykeys.exe" steht, dann ist es nichts Illegales. vanitykeys ist ein programm für Burnout Paradise um anzuzeigen wie, welche Taste im Spiel heißt um Hotkeys zu installieren und der DLC Unlocker ist nicht illegal weil es keinen Weg mehr gibt die DLC zu kaufen, da der Store nicht mehr erreichbar ist. (Spiel ist zu alt) Kann die Dateien gerne auch hochladen wenn Sie sich vergewissern möchten.

:hallo:

Mein Name ist Dennis und ich werde dir bei der Bereinigung helfen.

Bitte beachte, dass es ein paar Regeln gibt:

• Bitte lies meine Posts komplett durch bevor du sie abarbeitest
• Wenn ein Problem auftauchen sollte, unterbreche deine Arbeit, poste die entstandenen Logs und schildere dieses so genau wie möglich.
• Bitte kein Crossposting
• Installiere oder Deinstalliere keine Software ohne Aufforderung
• Bitte verwende nur die Tools welche hier im Thread erwähnt werden
• Antworte innerhalb von 24h um eine sinnvolle Bereinigung zu ermöglichen
• Poste die Logs immer in CODE-Tags (#-Button), zur Not die Logs einfach aufteilen

Sollte ich nicht innerhalb von 48h antworten, schreibe mir eine PM!

Posten in CODE-Tags



Los gehts!

Bitte das FRST-Log aufteilen und hier in CODE-Tags posten, ich bräuchte auch jeweils das neueste Log von MBAM und AdwCleaner bitte.

FRST Logfile:
--- --- ---

ADWCleaner

AdwCleaner Logfile:
--- --- ---


Malwarebytes scannt noch

Hi,

bevor wir auch nur irgendwas machen: Du hast 2 AVs deinstalliert. Die können sich gegenseitig in die Quere kommen, das kann zu Performance- und Sicherheitsproblemen führen. Deinstallier mal eines von beiden. Sag mir bescheid, wenn du das gemacht hast.

Tritt das Problem übrigens in allen Browsern auf?

Reicht es nicht eins zu deaktivieren? Ich bin nämlich nicht derjenige der für die bezahlt hat. Webroot hab ich von einem Freund und Kaspersky von meinem Vater. Ich habe Kaspersky eigentlich immer beendet wenn Webroot offen ist

Hier malwarebytes log
Den webroot log kann ich leider nicht posten weil die .txt Datei alleine schon 3 MB groß ist xD Hab sie trotzdem mal hochgeladen https://www.kieran.pw/FRST/webroot.log

Ja es passiert auch im IE. Dauert halt nur lange bis es weider passiert. Diesmal war es "https://www.liveadexchanger.com/a/display.php?r=1064042" und malwarebytes hat es gesperrt.

Die gleiche Datei die malwarebytes eben gefunden hat und gelöscht hat ist nach dem restart wieder da. Ich lass Malwarebytes das nochmal löschen, starte neu und sende den log

PC neugestartet
Malwarebytes Log
Wenn ich zu schnell poste dann sagt bescheid

Hi,

reichen tut es zwar an und für sich schon eins zu deaktivieren, empfehlen würd ich aber trotzdem das andere zu entfernen.

Das ist aber leider das falsche MBAM-Log, ich brauch das hier :) Malwarebytes Anti-Malware Logfile finden - Anleitungen

Er findet immer den gleichen "übeltäter"

Hi,

Schritt # 1: FRST-Fix

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Schritt # 2: FRST

Und noch ein frisches FRST-Log bitte.



Schritt # 3: Bitte Posten

• Das Fixlog von FRST
• Das frische FRST-Log

Hi,

hast du das Problem noch?

Bin grade am beobachten. Ich geb dann ein Update.

EDIT: In Chrome öffnet sich manchmal eine Seite mit dem namen foryourweb.net wenn ich in der URL zeile etwas eingeben möchte. Auch Tweeten hat jetzt schon 2 mal nach dem Öffnen eine Seite die nicht twitter ist, angezeigt.

OK.

Ich habe grade mit einem Experten von dem Webroot Team telefoniert und er hat meinen PC ferngesteuert. Er hat es nicht gefunden und ist der Meinung, dass Tweeten dadurch Geld macht. (Ich weiß dass Tweeten keine Werbung schaltet und hab auch andere User gefragt) Wollte nur mal darüber berichten.

Ich hab ein Video bei dem ich gezielt den Popup erzwungen habe: https://youtu.be/U9OlPzYKrAs

Passiert das auch beim normalen Browsern oder nur bei dem Programm was du da verwendest?

Vorher ja. Aber das haben sie/du ja anscheinend nach dem Entfernen mit FRST behoben, denn es ist seit dem nichts mehr aufgepoppt.

Wir sind hier per du. Man hat genug formales Gschisti Gschasti im Leben, muss hier nicht sein :p

Aber so ganz versteh ich dich jetzt nicht. Also von vorne (:D): Hast du noch Probleme? Wenn ja, welche?

Aaaaaalso. Bis jetzt ist mir noch nicht wieder was im Browser passiert. (Denke mal das war durch den Entfernen Button in FRST)
ABER wenn ich Tweeten öffne, besteht eine 60-80% chance, dass sich in den nächsten 20 sekunden Werbung öffnet.

OK, versuch mal bitte Tweeten mit REVO zu deinstallieren, danach nehmen installieren. Das mit REVO geht so:

Lade Dir bitte von hier Revo Uninstaller (alternativ portable Revo Uninstaller) herunter.

• Installiere und starte das Programm. (Bebilderte Anleitung zu Revo Uninstaller)
• Klicke auf Optionen und wähle als Sprache Deutsch.
• Suche im Uninstallerfeld nach den Programmen:
  
  Tweeten
  
  
• Wähle die Programme nacheinander aus und klicke jedes Mal auf Uninstall.
• Wähle anschließend den Modus "Moderat" aus.
  
• Reste löschen:
  Klicke auf dann auf und dann auf .

 

Revo findet tweeten nicht. Aber geek uninstaller :confused:

Es fängt im Browser wieder an. Wenn ich etwas in der URL leiste eingeben will, dann erscheint manchmal eine Seite vom Virus/OderWieManDasNennt.
Ich habe nur Revo installiert und TweetDeck(Nicht tweeten. Hab geacht das steht damit in verbindung.) damit deinstalliert.

Man man man ist das nervig.

Hi,

OK häng nochmal bitte ein FRST-Log mit angehaktem Addition.txt an, und zusätzlich noch das da:

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.


Ich werd mir das dann sehr genau nochmal durchschauen, kann also länger dauern.

Hi,

Wenn SpyHunter nicht absichtlich drauf ist das bitte deinstallieren.

Schritt # 1: FRST-Fix

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Schritt # 2: FRST

Und noch ein frisches FRST-Log bitte.



Schritt # 3: Bitte Posten

• Das Fixlog von FRST
• Das frische FRST-Log

Ich habe grade gesehen, dass ich ein "Restore Point" von 3 Tage vor der Installation habe. Würde es helfen wenn ich auf den Zurücksetzen würde? Und werden dann nur Programma gelöscht oder auch (als Beispiel) Text Dateien?

Es scheint mir so als würde etwas immer mehr Sachen installieren, denn jetzt werden normale wörter als link markiert. Ich habe bis jetzt kein Programm installiert

Hi,

sehr eigenartig... Irgendwas seh ich da nicht. Wir probierens mal mit einem FRSTRE-Scan,

Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)

Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)

• Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 32-Bit | FRST 64-Bit
• Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.
• Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:

Über den Boot Manager:

• Starte den Rechner neu.
• Während dem Hochfahren drücke mehrmals die F8 Taste
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD (auch bei Windows 8 möglich):

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu und starte von der CD.
• Wähle die Spracheinstellungen und klicke "Weiter".
• Klicke auf Computerreparaturoptionen !
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen: Eingabeaufforderung

• Gib nun bitte notepad ein und drücke Enter.
• Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
  Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.
• Schließe Notepad wieder
• Gib nun bitte folgenden Befehl ein.
  e:\frst.exe bzw. e:\frst64.exe
  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.
• Akzeptiere den Disclaimer mit Ja und klicke Untersuchen

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).

Habs endlich ins Reparatur Menu geschaft xD Hoffe mal ich habs richtig gemacht

Hi,

wir machen mal das:

Schritt # 1: SpyHunterCleaner

Deaktiviere bitte dein Antivirenprogramm, da es die Entfernung von SpyHunter blockieren kann.
Bitte downloade SpyHunterCleaner und speichere die Datei auf dem Desktop. (Bebilderte Anleitung)

• Speichere alle Arbeiten und schließe alle noch offenen Programme und Browser.
• Starte die SpyHunterCleaner.exe.
• Drücke eine beliebige Taste, um den Entfernungsprozess zu starten.
• Wenn das Tool fertig ist, wird es automatisch einen Neustart durchführen.
• Nach dem Neustart sollte SpyHunter entfernt sein. Solltest du trotzdem noch Reste entdecken, so teile mir das bitte mit.

Schritt # 2: Frage

Ist die Datei absichtlich drauf?



Schritt # 3: FRST

Ein frisches FRST-Log, unbedingt Addition.txt anhaken und die auch posten.



Schritt # 4: Bitte Posten

• Rückmeldung auf meine Frage
• Das frische FRST-Log
• Die Addition.txt