Browser-Hijacker Search.gg im Firefox
 

Hallo,

ich wurde heute von meiner (zugegeben nicht ganz so technisch begabten) Mutter um Hilfe gebeten, nachdem sie gesehen hat, dass ihr Firefox-Browser sie nicht wie gewohnt bei Suchanfragen auf Google sondern eine Suchmaschine namens Searchgg weiterleitet.

Das Problem tritt auch nur im Firefox auf, nicht im ebenfalls installierten Chrome/Edge. Ich habe bereits Eset und Malwarebytes drüberrennen lassen aber beide liefern mir keine Ergebisse nach ihrem Scan.
Installiert ist ebenfalls noch Bitdefender IS 2019 (welcher ebenfalls die Füße still hielt bis jetzt).

Laut Angaben meiner Mutter hat sie weder irgendetwas heruntergeladen, noch installiert oder ähnliches. Wobei ich mir dann nicht erklären kann woher ominöses Searchgg herkommen soll...

Ich habe auch bereits im Firefox die about:config durchsucht, ob ich irgendetwas finde, welches dem nahekommen würde, ebenfalls die Add-Ons und Plugins aber gefunden habe ich trotzdem nichts.

Hat jemand hier noch eine Idee was ich versuchen könnte, um, wenigstens irgendetwas zu finden? Bisher liefen ja alle Scans ins Leere...

Vielen Dank im Vorraus für jede Hilfe.

Mit freundlichen Grüßen
Mandy aka. Arayane

:hallo:



Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.


Bitte vergewissere dich zuerst, dass du die folgenden Regeln und Hinweise für eine Analyse inklusive Bereinigung gelesen und verstanden hast:
Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?







Schritt 1
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Bitte poste mit deiner nächsten Antwort

• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt).

Hallo Matthias!
Danke für die schnelle Rückmeldung.
Leider kann ich erst spät antworten da ich den Großteil des Tages auf Arbeit war.

Hier sind die geforderten Logdateien..
FRST.txt
Addition.txt
Mit freundlichen Grüßen
Mandy aka. Arayane

Anscheinend hast du dir die verlinkten Hinweise nicht bzw. nicht richtig durchgelesen:
Wohin sollen alle Tools abgespeichert und dann gestartet werden? ;)



FRST bitte erneut, dies Mal vom richtigen Ort starten.

Tut mir leid für die kleine Panne, war mir um ehrlich zu sein auch nicht bewusst dass das so nen riesen Unterschied macht aber ich lerne immer gerne dazu. c:

Hier nochmal die Logs, diesmal vom Desktop:

FRST.txt
Addition.txt

Servus,




Spybot könntest du wieder deinstallieren... meiner Meinung nach hat es keinen Mehrwert





Schritt 1

• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
FF Extension: (Text MultiCopy) - C:\Users\Mandy\AppData\Roaming\Mozilla\Firefox\Profiles\6tl6frav.default\Extensions\{13623b47-de82-4226-85f8-d3ae343e619b}.xpi [2018-11-25]
C:\Users\Mandy\AppData\Roaming\Mozilla\Firefox\Profiles\6tl6frav.default\prefs.js
CMD: ipconfig /flushdns
CMD: netsh winsock reset
RemoveProxy:
EmptyTemp:
End::

  ---

• Starte nun FRST und klicke direkt den Entfernen Button. Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich die FRST/FRST64.exe befindet.
• Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2
Downloade Dir bitte AdwCleaner auf deinen Desktop (Bebilderte Anleitung).

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Einstellungen, scrolle nach unten und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • Tracing Schlüssel löschen
  • Prefetch-Dateien löschen
  • Proxy wiederherstellen
  • IE-Policies wiederherstellen
  • Chrome-Policies wiederherstellen
  • Winsock wiederherstellen
• Klicke nun auf Dashboard, dann auf Jetzt scannen und warte bis der Suchlauf abgeschlossen ist.
• Klicke nun auf Bereinigen & Reparieren und bestätige mit Jetzt bereinigen.
  
• WICHTIG:
  Sollte AdwCleaner nichts finden, klicke auf Grundlegende Reparatur ausführen und anschließend auf Jetzt bereinigen.
• Nach dem Neustart öffnet sich AdwCleaner automatisch. Klicke auf Log-Datei ansehen.
• Poste mir deren Inhalt der Log-Datei mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt. (xx = fortlaufende Nummer).

Schritt 3

• Starte die FRST.exe erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort

• die Logdatei des FRST-Fix (fixlog.txt),
• die Logdatei von AdwCleaner,
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt).

Hallo,

Hier sind die neuen Logs:

fixlog.txt
AdwCleaner Log
FRST.txt (neu)
Addition.txt (neu)
Lässt sich denn schon irgendwas nützliches aus den Logs rauslesen?

Mit freundlichen Grüßen

Mandy aka. Arayane

Ich habe eine FF-Erweiterung entfernt, die für das Problem verantwortlich gemacht werden kann.








Schritt 1
Bitte lade dir die passende Version von HitmanPro auf deinen Desktop: HitmanPro 32-Bit | HitmanPro 64-Bit

• Starte die HitmanPro.exe.
• Klicke auf Einstellungen.
• Entferne den Haken bei Nach Tracking-Cookies suchen und bestätige mit OK.
• Klicke auf Weiter.
• Akzeptiere die Lizenzbedingungen und klicke auf Weiter.
• Wähle Nein, ich möchte nur einen Einmalscan zur Überprüfung des Computers ausführen.
• Entferne den Haken bei Bitte informieren Sie mich per E-Mail... und klicke auf Weiter.
• Sobald der Scan beendet wurde, NICHTS löschen lassen, sondern wähle unten links auf der Button-Leiste Logdatei speichern.
• Speichere die Logdatei auf deinem Desktop ab und schließe HitmanPro wieder.
• Poste mir den Inhalt der Logdatei mit dieser nächsten Antwort.

http://www.trojaner-board.de/extra/lesestoff.pngGibt es jetzt noch Probleme mit Firefox und dem Hijacker?







Bitte poste mit deiner nächsten Antwort

• die Logdatei von HitmanPro,
• die Beantwortung der gestellten Fragen.

Hallo,

Soweit ich sagen kann scheint Firefox wieder okay zu sein, zumindest werden alle Suchanfragen wieder wie gewohnt über Google abgewickelt. c:

Hier nochmal das neue Logfile von Hitman:

Schritt 1

• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
DeleteQuarantine:
Reboot:
End::

  ---

• Starte nun FRST und klicke direkt den Entfernen Button. Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich die FRST/FRST64.exe befindet.
• Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2
Alle Logs gepostet? Dann lade Dir bitte das TBCleanUpTool herunter.

• Schließe alle offenen Programme.
• Rechtsklicke auf die TBCleanUp.bat und wähle Als Administrator ausführen.
• Solltest du die Meldung "Der Computer wurde durch Windows geschützt" erhalten, klicke auf Weitere Informationen und dann auf Trotzdem ausführen.
• Es öffnet sich ein schwarzes Fenster der Kommandozeile.
• Drücke eine beliebige Taste, um den Entfernungsprozess zu starten.
• Am Ende wird dein Rechner automatisch neu gestartet.

Hinweis:
Das TBCleanUpTool entfernt die verwendeten Programme, die Quarantäne unserer Scanner und löscht sich abschließend selbst.
Sollten jetzt noch Programme aus unserer Bereinigung übrig sein, die du nicht mehr verwenden möchtest, kannst du diese über die Systemsteuerung deinstallieren.











Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc

Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:
Vielleicht möchtest du das Forum mit einer kleinen Spende https://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:

Hinweise:
Bitte gib mir eine kurze Rückmeldung, sobald alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.
Zum Schluss müssen wir noch ein paar abschließende Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern.







Virenscanner + Firewall
Vorab sei erwähnt, dass man niemals die Schutzwirkung eines Virenscanners überbewerten darf! Kein Antivirusprogramm erkennt 100% der Schadsoftware.

Sofern du noch unentschieden bist, verwende MAXIMAL EIN EINZIGES der folgenden Antivirusprogramme mit Echtzeitscanner und stets aktueller Signaturendatenbank:

• Malwarebytes AntiMalware Premium (kostenpflichtig)
• Microsoft Security Essentials (kostenlos)

Microsoft Security Essentials (MSE) / Windows Defender (WD) ist ab Windows 8 fest eingebaut, wenn du also Windows 8, 8.1 oder 10 und dich für MSE/WD entschieden hast, brauchst du nicht extra MSE/WD zu installieren. Bei Windows 7 muss es aber manuell installiert oder über die Windows Updates als optionales Update bezogen werden. Selbstverständlich ist ein legales/aktiviertes Windows Voraussetzung dafür.

Verwende immer nur reine Virenscanner (keine Produkte mit "Suite", "Internet Security", "Endpoint" oder "Total Security" in Namen, denn diese bringen kontraproduktive Firewalls mit - die Windows-Firewall ist alles was benötigt wird)

Zusätzlich kannst Du Deinen PC regelmäßig mit Malwarebytes Anti-Malware (Free), AdwCleaner und mit dem ESET Online Scanner scannen.
Diese Programme sind alle kostenlos und stören nicht den Betrieb deines Antivirenprogramms.





Absicherungen
Beim Betriebsystem Windows ist es wichtig, die automatischen Updates zu aktivieren.
Auch sicherheitsrelevante Software sollte immer in aktueller Version vorliegen.

Das zeitnahe Einspielen von Updates ist erforderlich, damit Sicherheitslücken geschlossen werden. Sicherheitslücken werden beispielsweise dazu ausgenutzt, um beim einfachen Besuch einer manipulierten Website per "Drive-by" Malware zu installieren.

Besonders aufpassen bezüglich der Aktualität musst du insbesondere bei folgender Software - sofern diese überhaupt benötigt wird:

• Browser - Ich empfehle Mozilla Firefox
• Flash-Player
• Java
• Adobe Reader

Empfohlene Firefox-Addons (Erweiterungen)

https://addons.cdn.mozilla.net/user-...ied=1510319591uBlock Origin kann u. a. Werbung, Pop-ups, Tracking und Malware-Seiten blockieren.

https://addons.cdn.mozilla.net/user-...ied=1511295622HTTPS Everywhere sorgt dafür, dass Firefox immer, wenn möglich, verschlüsselte Verbindungen (HTTPS) verwendet statt HTTP. Wahlweise kann man darüber durch Setzen eines Häkchens auch alle unverschlüsselten Verbindungen blockieren, Firefox nutzt dann nur noch HTTPS und lädt nichts mehr über unverschlüsselte Verbindungen.

https://addons.cdn.mozilla.net/user-...ified=mcrushedNoScript verhindert das Ausführen von aktiven Inhalten (Java, JavaScript, Flash,...) für sämtliche Websites. Man kann aber nach dem Prinzip einer Whitelist festlegen, auf welchen Seiten Scripts erlaubt werden sollen. NoScript kann gerade bei technisch nicht allzu versierten Nutzern beim Surfen zum Nervfaktor werden; ob das Tool geeignet ist, muss jeder selbst mal ausprobieren und dann für sich entscheiden.





Grundsätzliches

• Ändere regelmäßig deine Online-Passwörter und erstelle Backups deiner wichtigen Dateien oder des Systems. Genaueres dazu findest du unten im Lesestoff zu Backups.
• Lade keine Software von Chip, Softonic, SourceForge, openoffice.de oder VLC.de.
  Die dort angebotene Software wird häufig mit einem sog. "Installer" verteilt, mit dem man sich nur unerwünschte Software (PUP) oder Adware installiert.
  Auf manchen Seiten wird direkt PUP / Adware zum Download angeboten.
• Halte dich von Seiten wie kinox.to & Co fern! Diese Seiten sind bekannt dafür, Schadsoftware zu verbreiten bzw. leiten auf infizierte Seiten weiter.
• Lade Software von einem sauberen Portal wie http://filepony.de/images/microbanner.gif oder direkt beim jeweiligen Hersteller / Entwickler.
• Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne die Haken bei allen optional angebotenen Toolbars oder sonstigen, fürs Programm, irrelevanten Ergänzungen.
• Der Nutzen von Registry-Cleanern, Optimizern, usw. zur Performancesteigerung ist umstritten bis nicht belegbar. Selbst Microsoft unterstützt sog. Registry-Cleaner nicht.
  Ich empfehle deshalb, die Finger von der Registry zu lassen und lieber die windowseigene Datenträgerbereinigung zu verwenden.

Hallo

Erstmal nochmal vielen vielen Dank für die schnelle und Zuverlässige Hilfe! Bin echt froh dass sich das Problem so schnell gelöst hat!

Hier nochmal das Abschließende Logfile:
Ich hätte nur nochmal eine Frage: Gab es während der ganzen Prozedur denn irgendwelche Anhaltspunkte woher dieses Addon jetzt nun kam? Durch einen Download oder ähnliches? Damit ich unter anderem wenn ich meiner Mutter den Laptop wieder überlasse evtl. mitteilen kann auf was sie in Zukunft noch mehr zu achten hat.

Davon abgesehen sind bei mir persönlich sonst keine Fragen mehr offen.

Mit freundlichen Grüßen

Mandy aka. Arayane

Schwer zu sagen... es handelte sich dabei wohl um eine sog. "erzwungene Installation" dieses Addons... dies kann beim Besuch manipulierter Webseiten passieren.

Durch die Verwendung der empfohlenen FF-Erweiterungen (siehe meine Hinweise weiter oben) kann man das weitestgehend vermeiden.







Ich bin froh, dass wir helfen konnten :abklatsch:

In diesem Forum kannst du eine kurze Rückmeldung zur Bereinigung abgeben, sofern du das möchtest:
Lob, Kritik und Wünsche
Klicke dazu auf den Button "NEUES THEMA" und poste ein kleines Feedback. Vielen Dank! :)

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.