Beim klicken auf Links werde ich manchmal auf beliebige Seiten geleitet.

[Doom Lord]

Moin

Es passiert ab und zu zwischendurch, dass ich auf Links von Vertrauensvollen Seiten klicke und auf völlig andere Websites verwiesen werde. Unzwar nicht direkt auf einer sondern auf mehre nacheinander.
Aufgrund meines langsamen Internets kann man aber bei der ersten schon immer zurück klicken. Bei manchen Webistes z.B. Ebay Kleinanzeigen tritt es sehr häufig auf.


Ich habe Spybot, AVG-Free und alle Windows Updates aktualisiert.

Das ganze tritt bei einem Vista Rechner auf und Firefox als Browser. Ob es beim Internet Explorer auch so ist weiß ich nicht.


Danach Googeln ist irgendwie schwierig weil ich den Begriff für so einen Virus? nicht kenne.


Warscheinlich wäre mir damit schon geholfen aber vielleicht weiß auch jemand gleich die komplettlösung zum Entfernen Vielen Dank schonmal!

 

[r0ck3r]

Wäre vielleicht sinnvoll, uns die Seiten zu nennen, auf die du geleitet wirst.... oder danach zu googeln.


Malwarebytes AntiMalware installieren und durchlaufen lassen! Am besten einen Screenshot der Ergebnisse machen, was bereinigt wird

 

[Copy07]

Lass mal Malwarebytes, MWAV und MCAfee Stinger drüberlaufen und poste die Ergebnisse

 

[Doom Lord]

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2014.05.05.07

Windows Vista x64 NTFS
Internet Explorer 7.0.6000.16386
Doom Lord :: DOOMLORD-PC2 [Administrator]

05.05.2014 17:41:15
mbam-log-2014-05-05 (17-41-15).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 265995
Laufzeit: 9 Minute(n), 17 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C} (PUP.Optional.Wajam.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35C-6118-11DC-9C72-001320C79847} (PUP.Optional.SweetPacks) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 1
HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Daten: 0T1D1L1Q1B0O0AtI0LtH1N -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Windows\Installer\1ab51e9.msi (PUP.Optional.SweetIM) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)


Das ist von Malwarebytes Schnellsuchlauf. Ich mache jetzt mal gleich im Anschluss den vollen und klick rum bist ich mal wieder irgendwo hin geleitet werde.

 

[Robby1234]

Hört sich ganz danach an http://praxistipps.chip.de/nationzoom-virus-entfernen-so-gehts_20339

 

[Doom Lord]

Nach wenigen Minuten rumklicken (Seitenwechsel bei Ebaykleinanzeigen) wurde ich verlinkt auf: http://adresse.gelbeseiten.de/11058009784#;tab=reiter_ueber_uns



Stinger lasse ich gleich danach laufen.



EDIT Nationzoo scheint es nicht zu sein jedenfalls finde ich es nach der Anleitung nicht

 

[ekin06]

Vielleicht ein (im Layout) falsch platzierter und somit unsichtbarer Werbebanner? Schon mal nen anderen Browser probiert?

 

[Doom Lord]

Das wäre echt eine Idee. Ein Werbebanner den ich nicht sehe wegen Werbeblocker aber dauernd anklicke vielleicht? Das wäre auch eine Erklärung warum es nur bei manchen Seiten verstärkt auftritt.

 

[r0ck3r]

Also es gibt auch Malware, die ein für dich unsichtbares Frame unter den Mauszeiger legt...

Es gibt so viele Möglichkeiten, dass es beim Virenbefall meist ratsam ist, die Kiste neu zu machen, um 100%ig sicher zu sein.

Klar gibt es für viele Schädlinge Anleitungen, aber zum einen weiß man nie, was im Hintergrund (vielleicht durch 0day Exploits o.ä.) noch alles eingeschleust wurde und zum anderen ist es heute fast schneller den Rechner neuzuinstallieren.

In Zeiten von SSDs und Image-Software werde ich mich garantiert nicht mehr dransetzen und einen von Viren befallenen Rechner versuchen sauber zu bekommen.

 

[Doom Lord]

Naja von Viren befallen *scheint* er nicht zu sein. Das ganze passiert vielleicht alle 30 Klicks und nur auf einigen wenigen Seiten. Ist auch schon länger so - wird anscheinend auch nicht mehr an Viren oder so von daher halte ich es schon für sinnvoll es mal zu probieren. Freilich wenn man vorsorgt und schön sein Image am Anfang erstellt usw. ist es kein Problem - bei dem Rechner aber blöderweise damals nicht geschehen.

Die meisten Viren mit denen ich zu tun hatte bekam ich gut weg nachdem ich erstmal wusste was genau es ist. Dieses Forum war mir dabei schon ein zwei mal sehr Hilfreich

 

[purzelbär]

Kannst dein System auch mal mit AdwCleaner überprüfen und bereinigen. Nach Abschluß wird im Verzeichnis C ein Ordner AdwCleaner angelegt den du löschen kannst.

 

[Doom Lord]

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2014.05.05.07

Windows Vista x64 NTFS
Internet Explorer 7.0.6000.16386
Doom Lord :: DOOMLORD-PC2 [Administrator]

05.05.2014 17:54:32
mbam-log-2014-05-05 (17-54-32).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 557430
Laufzeit: 2 Stunde(n), 7 Minute(n), 7 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 6
C:\Users\Doom Lord\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\PMI0BXNA\SPIdentifierImpl[1].exe (PUP.Optional.SearchProtect.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Doom Lord\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\QY631XV7\spstub[1].exe (PUP.Optional.Conduit.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Doom Lord\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\XUYWHNES\SPSetup[1].exe (PUP.Optional.Conduit.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Doom Lord\Favorites\Downloads\HSS-1.37-install-anchorfree-76-conduit.exe (PUP.Optional.Conduit.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Doom Lord\Favorites\Downloads\winamp5581_full_emusic-7plus_de-de.exe (PUP.Optional.OpenCandy) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\von der 2,5er\jannIs\windows 7 crack\Crack\New Windows 7 Loader 1.7.3 x86 and x64 by Daz\Setup\Windows 7 Loader.exe (Trojan.Agent.W) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)


Nach langem Malwarebytes Suchlauf. Gleich gehts weiter mti dem nächsten Tool






EDIT Stinger hat nichts mehr gefunden

McAfee Stinger Scan Results

McAfee® Labs Stinger™ Version 12.1.0.887 built on May 5 2014 at 15:33:44
Copyright© 2014, McAfee, Inc. All Rights Reserved.

AV Engine version v5610.1040 for Windows.
Virus data file v1000.0 created on May 5, 2014
Ready to scan for 6348 viruses, trojans and variants.

Scan initiated on Montag, Mai 05, 2014 20:15:26


Rootkit scan result : Clean.



Summary Report on Smart Scan
File(s)
TotalFiles:............ 8377
Clean:................. 8377
Not Scanned:........... 0
Possibly Infected:..... 0

Time: 00:09:00

Scan completed on Montag, Mai 05, 2014 20:24:26





AdwCleaner hat noch einiges gefunden aber ich glaube nichts woran es liegt...


# AdwCleaner v3.207 - Bericht erstellt am 05/05/2014 um 20:34:33
# Aktualisiert 05/05/2014 von Xplode
# Betriebssystem : Windows (TM) Vista Ultimate (64 bits)
# Benutzername : Doom Lord - DOOMLORD-PC2
# Gestartet von : C:\Users\Doom Lord\Favorites\Downloads\adwcleaner_3.2.0.7.exe
# Option : Löschen

***** [ Dienste ] *****

[#] Dienst Gelöscht : SystemStoreService

***** [ Dateien / Ordner ] *****

[!] Ordner Gelöscht : C:\ProgramData\FreeRIP
[!] Ordner Gelöscht : C:\ProgramData\ICQ\ICQToolbar
[!] Ordner Gelöscht : C:\ProgramData\speedypc software
[!] Ordner Gelöscht : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FreeRIP3
[!] Ordner Gelöscht : C:\Program Files (x86)\FreeRIP3
[!] Ordner Gelöscht : C:\Program Files (x86)\ICQ6Toolbar
[!] Ordner Gelöscht : C:\Program Files (x86)\Search Settings
[!] Ordner Gelöscht : C:\Program Files (x86)\Common Files\Plasmoo
[!] Ordner Gelöscht : C:\Windows\SearchProtect
[!] Ordner Gelöscht : C:\Windows\SysWOW64\SearchProtect
[!] Ordner Gelöscht : C:\Users\Doom Lord\AppData\Local\Software_Updater
[x] Nicht Gelöscht : C:\Users\Doom Lord\AppData\LocalLow\AVG Security Toolbar
[!] Ordner Gelöscht : C:\Users\Doom Lord\AppData\LocalLow\SweetIM
[!] Ordner Gelöscht : C:\Users\Doom Lord\AppData\Roaming\DesktopIconForAmazon
[!] Ordner Gelöscht : C:\Users\Doom Lord\AppData\Roaming\DriverCure
[!] Ordner Gelöscht : C:\Users\Doom Lord\AppData\Roaming\dvdvideosoftiehelpers
[!] Ordner Gelöscht : C:\Users\Doom Lord\AppData\Roaming\OCS
[!] Ordner Gelöscht : C:\Users\Doom Lord\AppData\Roaming\pdfforge
[!] Ordner Gelöscht : C:\Users\Doom Lord\AppData\Roaming\speedypc software
Datei Gelöscht : C:\END
Datei Gelöscht : C:\Users\Doom Lord\AppData\Roaming\Mozilla\Firefox\Profiles\m738a6h5.default\searchplugins\icqplugin.xml
Datei Gelöscht : C:\Users\Doom Lord\AppData\Roaming\Mozilla\Firefox\Profiles\m738a6h5.default\user.js
Datei Gelöscht : C:\Windows\System32\Tasks\Software Updater Ui
Datei Gelöscht : C:\Windows\System32\Tasks\Software Updater

***** [ Verknüpfungen ] *****


***** [ Registrierungsdatenbank ] *****

Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\LowRegistry\ICQ\ICQToolBar
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Main [ICQ Search]
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{1ED16E0A-E8C4-40A0-8BC2-79485D21F796}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{25A3A431-30BB-47C8-AD6A-E1063801134F}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{94496571-6AC5-4836-82D5-D46260C44B17}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{BC9FD17D-30F6-4464-9E53-596A90AFF023}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{CC5AD34C-6F10-4CB3-B74A-C2DD4D5060A3}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{0C58B7D1-D415-492B-A149-E976156BD3B8}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1ED16E0A-E8C4-40A0-8BC2-79485D21F796}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1ED16E0A-E8C4-40A0-8BC2-79485D21F796}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{25A3A431-30BB-47C8-AD6A-E1063801134F}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{855F3B16-6D32-4FE6-8A56-BBB695989046}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{95B7759C-8C7F-4BF1-B163-73684A933233}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35B-6118-11DC-9C72-001320C79847}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{855F3B16-6D32-4FE6-8A56-BBB695989046}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{EEE6C367-6118-11DC-9C72-001320C79847}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{014DB5FA-EAFB-4592-A95B-F44D3EE87FA9}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{25A3A431-30BB-47C8-AD6A-E1063801134F}]
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{CCC7A320-B3CA-4199-B1A6-9F516DD69829}]
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{CCC7A320-B3CA-4199-B1A6-9F516DD69829}]
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39}]
Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\CLSID\{1ED16E0A-E8C4-40A0-8BC2-79485D21F796}
Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1ED16E0A-E8C4-40A0-8BC2-79485D21F796}
Schlüssel Gelöscht : HKCU\Software\MGShareware
Schlüssel Gelöscht : HKCU\Software\OCS
Schlüssel Gelöscht : HKCU\Software\speedypc software
Schlüssel Gelöscht : HKLM\Software\ICQ\ICQToolbar
Schlüssel Gelöscht : HKLM\Software\MGShareware
Schlüssel Gelöscht : HKLM\Software\speedypc software
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{501451DE-5808-4599-B544-8BD0915B6B24}_is1
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{501451DE-5808-4599-B544-8BD0915B6B24}_is1
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{5F05C28D-DEA9-4AD6-A73A-064175988EAB}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{c3e85ee9-5892-4142-b537-bceb3dac4c3d}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{C878CD69-85DB-426B-81A3-E71175AAEB91}

***** [ Browser ] *****

-\\ Internet Explorer v7.0.6000.16386

Einstellung Wiederhergestellt : HKCU\Software\Microsoft\Internet Explorer\Main [ICQ Search]

-\\ Mozilla Firefox v28.0 (de)

[ Datei : C:\Users\Doom Lord\AppData\Roaming\Mozilla\Firefox\Profiles\m738a6h5.default\prefs.js ]

Zeile gelöscht : user_pref("icqtoolbar.allowSendURL", false);
Zeile gelöscht : user_pref("icqtoolbar.engineVerified", true);
Zeile gelöscht : user_pref("icqtoolbar.hiddenElements", "itb_options");
Zeile gelöscht : user_pref("icqtoolbar.history", "icq");
Zeile gelöscht : user_pref("icqtoolbar.installTime", "1290000069");
Zeile gelöscht : user_pref("icqtoolbar.newtab_state", "0");
Zeile gelöscht : user_pref("icqtoolbar.numberOfSearches", 0);
Zeile gelöscht : user_pref("icqtoolbar.skip_default_search", "no");
Zeile gelöscht : user_pref("icqtoolbar.suggestions", false);
Zeile gelöscht : user_pref("icqtoolbar.uninstStatSent", true);
Zeile gelöscht : user_pref("icqtoolbar.uniqueID", "128993306812899333581290000069053");
Zeile gelöscht : user_pref("icqtoolbar.usageStatstTimestamp", 1290000073);
Zeile gelöscht : user_pref("icqtoolbar.xmlEnableSuggestions", false);
Zeile gelöscht : user_pref("icqtoolbar.xmlLanguage", "de");
Zeile gelöscht : user_pref("sweetim.toolbar.RevertDialog.enable", "false");
Zeile gelöscht : user_pref("sweetim.toolbar.UserSelectedSaveSettings", "true");
Zeile gelöscht : user_pref("sweetim.toolbar.Visibility.VisibilityGuardLastUnHide", "0");
Zeile gelöscht : user_pref("sweetim.toolbar.Visibility.enable", "true");
Zeile gelöscht : user_pref("sweetim.toolbar.Visibility.intervaldays", "7");
Zeile gelöscht : user_pref("sweetim.toolbar.cargo", "3.1010000.10025");
Zeile gelöscht : user_pref("sweetim.toolbar.cda.DisableOveride.enable", "true");
Zeile gelöscht : user_pref("sweetim.toolbar.cda.HideOveride.enable", "true");
Zeile gelöscht : user_pref("sweetim.toolbar.cda.RemoveOveride.enable", "true");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.0.enable", "true");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.0.handler", "chrome://sim_toolbar_package/content/optionsdialog-handler.js");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.0.height", "335");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.0.id", "id_options_dialog");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.0.title", "$string.config.label;");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.0.url", "hxxp://www.sweetim.com/simffbar/options_remote_ff.asp?lang=$locale_id;&toolbar_version=$ITEM_VERSION;&crg=$cargo;");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.0.width", "761");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.1.enable", "true");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.1.handler", "chrome://sim_toolbar_package/content/exampledialog-handler.js");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.1.height", "300");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.1.id", "id_example_dialog");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.1.title", "Example (unit-test) dialog");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.1.url", "chrome://sim_toolbar_package/content/exampledialog.html");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.1.width", "500");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.2.enable", "true");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.2.handler", "chrome://sim_toolbar_package/content/cdadialog-handler.js");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.2.height", "150");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.2.id", "id_dialog_hide_disable_remove");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.2.title", "Option Dialog");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.2.url", "hxxp://www.sweetim.com/simffbar/simcdadialog.asp");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.2.width", "530");
Zeile gelöscht : user_pref("sweetim.toolbar.dnscatch.domain-blacklist", ".*.sweetim.com/.*|.*.facebook.com/.*|.*.google.com/.*|.*.google.co.in/.*|.*.google.com.br/.*|.*.google.es/.*|.*.youtube.com/.*|.*.yahoo.com/.*|.[...]
Zeile gelöscht : user_pref("sweetim.toolbar.highlight.colors", "#FFFF00,#00FFE4,#5AFF00,#0087FF,#FFCC00,#FF00F0");
Zeile gelöscht : user_pref("sweetim.toolbar.keywordUrlGuard.enable", "false");
Zeile gelöscht : user_pref("sweetim.toolbar.logger.ConsoleHandler.MinReportLevel", "7");
Zeile gelöscht : user_pref("sweetim.toolbar.logger.FileHandler.FileName", "ff-toolbar.log");
Zeile gelöscht : user_pref("sweetim.toolbar.logger.FileHandler.MaxFileSize", "200000");
Zeile gelöscht : user_pref("sweetim.toolbar.logger.FileHandler.MinReportLevel", "7");
Zeile gelöscht : user_pref("sweetim.toolbar.mode.debug", "false");
Zeile gelöscht : user_pref("sweetim.toolbar.newtab.created", "false");
Zeile gelöscht : user_pref("sweetim.toolbar.newtab.enable", "true");
Zeile gelöscht : user_pref("sweetim.toolbar.previous.keyword.URL", "");
Zeile gelöscht : user_pref("sweetim.toolbar.rc.url", "hxxp://www.sweetim.com/simffbar/rc.html?toolbar_version=$ITEM_VERSION;&crg=$cargo;");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.0.addcontextdiv", "true");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.0.callback", "simVerification");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.0.domain-blacklist", "");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.0.domain-whitelist", "hxxp://(www.|apps.)?facebook\\.com.*");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.0.elementid", "id_script_sim_fb");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.0.enable", "false");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.0.id", "id_script_fb");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.0.url", "hxxp://sc.sweetim.com/apps/in/fb/infb.js");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.1.addcontextdiv", "true");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.1.callback", "simVerification");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.1.domain-blacklist", "");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.1.domain-whitelist", "hxxps://(www.|apps.)?facebook\\.com.*");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.1.elementid", "id_script_sim_fb");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.1.enable", "false");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.1.id", "id_script_fb_hxxpS");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.1.url", "hxxps://sc.sweetim.com/apps/in/fb/infb.js");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.2.addcontextdiv", "false");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.2.callback", "");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.2.domain-blacklist", ".*.google..*|.*.bing..*|.*.live..*|.*.msn..*|.*.yahoo..*|.*.youtube.com.*|.*ask.com.*|.*.sweetim.com.*");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.2.domain-whitelist", "");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.2.elementid", "id_predict_include_script");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.2.enable", "false");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.2.id", "id_script_prad");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.2.url", "hxxp://cdn1.certified-apps.com/scripts/shared/enable.js?si=3104&tid=chff1");
Zeile gelöscht : user_pref("sweetim.toolbar.search.external", "<?xml version=\"1.0\"?><TOOLBAR><EXTERNAL_SEARCH engine=\"hxxp://*google.*\" param=\"q=\" /><EXTERNAL_SEARCH engine=\"hxxp://search.yahoo.com/*\" param=\"[...]
Zeile gelöscht : user_pref("sweetim.toolbar.search.history.capacity", "10");
Zeile gelöscht : user_pref("sweetim.toolbar.searchguard.enable", "false");
Zeile gelöscht : user_pref("sweetim.toolbar.searchguard.initialized_by_rc", "true");
Zeile gelöscht : user_pref("sweetim.toolbar.simapp_id", "{CFB8F877-4AE8-11E2-AC97-0015F23349C1}");
Zeile gelöscht : user_pref("sweetim.toolbar.version", "1.9.0.0");

-\\ Google Chrome v

[ Datei : C:\Users\Doom Lord\AppData\Local\Google\Chrome\User Data\Default\preferences ]

Gelöscht [Search Provider] : hxxp://isearch.avg.com/search?cid={8AB7C05B-9F0C-46B4-AF71-F31DDB5CA4EC}&mid=ff86c844965be0d24fa5970616ed7c1b-bbb3d8d61ef6b68186f44149e3aba39e4a3bf32e&lang=de&ds=AVG&pr=fr&d=2011-12-03 17:44:59&v=15.2.0.5&pid=avg&sg=0&sap=dsp&q={searchTerms}

*************************

AdwCleaner[R0].txt - [15729 octets] - [05/05/2014 20:31:52]
AdwCleaner[S0].txt - [14944 octets] - [05/05/2014 20:34:33]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [15005 octets] ##########

 

[purzelbär]

Du hattest aber ganz schön was an Aware und PUP auf deinem System Denk dran: wenn du AdwCleaner nicht mehr benutzt, dann lösche den Ordner AdwCleaner im Verzeichnis/Partition C. In diesem Ordner befindet sich auch der Quarantäne Ordner von AdwCleaner. Willst du mit Scans weitermachen könntest du noch msisoft Emergency Kit Smart Scan oder Detail Scan verwenden ind danach noch JRT der aber alles ungefragt löscht was er findet.

 

[Doom Lord]

Stimmt schon über 6 Jahre sammelt sich einiges an. Das müssten aber alles nur Reste sein denn auf herkömlichem weg deinstalliert wurde alles.

MVAV lade ich gerade runter und mache dann mit den von dir empfohlenen weiter, selbst wenn ich das eigentlich Problem damit nicht behebe verschwindet schonmal anderer Mist.

 

[purzelbär]

Der sauberste Weg wäre eigentlich Windows neu aufsetzenund von da ab regelmässig Backups/Images der Systempartition C oder gesamten Festplatte machen. Zum deinstallieren von Programmen verwende ich schon lange IObit Uninstaller mit dessen Intensive Suche.

 

[performi]

Du mußt Ihm doch auch noch zeigen, wie sein Opa benutzerdefiniert solche Drive-By-Downloads verhindert:

D:\von der 2,5er\jannIs\windows 7 crack\Crack\New Windows 7 Loader 1.7.3 x86 and x64 by Daz\Setup\Windows 7 Loader.exe (Trojan.Agent.W)

sonst wärs ja keine Foren-Hilfe...

 

[Doom Lord]

Problem besteht weiterhin.



eScan Antivirus hat auch nichts gefunden :

06 Mai 2014 21:36:18 [0f44] - HKCR\wsffile\shell\open\command wird gescannt
06 Mai 2014 21:36:18 [0f44] - HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\command wird gescannt
06 Mai 2014 21:36:18 [0f44] - HKCR64\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\command wird gescannt
06 Mai 2014 21:36:18 [0f44] - ***** Startordner werden gescannt *****
06 Mai 2014 21:36:18 [0f44] - ***** Ordner C:\Users\Doom Lord\AppData\Roaming wird gescannt *****
06 Mai 2014 21:41:10 [0f44] - ***** Ordner C:\Users\Doom Lord\AppData\Roaming\.. wird gescannt *****
06 Mai 2014 21:41:10 [0f44] - ***** Ordner C:\ProgramData wird gescannt *****
06 Mai 2014 21:42:38 [0f44] - ***** Ordner C:\ProgramData\.. wird gescannt *****
06 Mai 2014 21:42:38 [0f44] - ***** Ordner C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup wird gescannt *****
06 Mai 2014 21:42:38 [0f44] - ***** Dateien bezüglich Dienste werden gescannt *****
06 Mai 2014 21:42:38 [0f44] - HKLM\SYSTEM\CurrentControlSet\Services wird gescannt
06 Mai 2014 21:42:45 [0f44] - ERROR(2)!!! Invalid Entry \SystemRoot\system32\drivers\blbdrive.sys. Action Taken: Removing HKLM\SYSTEM\CurrentControlSet\Services\blbdrive.
06 Mai 2014 21:43:04 [0f44] - ERROR(2)!!! Invalid Entry System32\Drivers\usbaapl64.sys. Action Taken: Removing HKLM\SYSTEM\CurrentControlSet\Services\USBAAPL64.
06 Mai 2014 21:43:07 [0f44] - HKLM\SYSTEM\CurrentControlSet\Services\VxD wird gescannt
06 Mai 2014 21:43:07 [0f44] - ***** System32-Ordner werden gescannt *****
06 Mai 2014 21:43:07 [0f44] - Verzeichnis C:\Windows wird gescannt
06 Mai 2014 21:43:09 [0f44] - Verzeichnis C:\Windows\Offline Web Pages wird gescannt
06 Mai 2014 21:43:09 [0f44] - Verzeichnis C:\Windows\SysWOW64 wird gescannt
06 Mai 2014 21:44:56 [0f44] - Verzeichnis C:\Windows\system32 wird gescannt

06 Mai 2014 21:46:58 [0f44] - Verzeichnis C:\Users\Doom Lord\AppData\Local\Temp wird gescannt
06 Mai 2014 21:47:36 [0f44] - *****Auf bestimmte ITW-Viren wird geprüft *****

06 Mai 2014 21:47:37 [0f44] - ***** Scannen abgeschlossen *****
06 Mai 2014 21:47:37 [0f44] - Zahl der gescannten Objekte: 34175
06 Mai 2014 21:47:37 [0f44] - Zahl der kritischen Objekte: 0
06 Mai 2014 21:47:37 [0f44] - Zahl der desinfizierten Objekte: 0
06 Mai 2014 21:47:37 [0f44] - Zahl der umbenannten Objekte: 0
06 Mai 2014 21:47:37 [0f44] - Zahl der gelöschten Objekte: 0
06 Mai 2014 21:47:37 [0f44] - Gesamtzahl der Fehler: 3
06 Mai 2014 21:47:37 [0f44] - Zeit verstrichen: 00:12:06
06 Mai 2014 21:47:37 [0f44] - Virendatenbankdatum: 05 May 2014
06 Mai 2014 21:47:37 [0f44] - Virendatenbankzähler: 11726454

06 Mai 2014 21:47:37 [0f44] - Scannen abgeschlossen.

 

[Randy89]

Benutz doch bitte FRST:
https://www.computerbase.de/forum/threads/erste-h-lfe-bei-malwareverdacht-infektion-vor-dem-posten-beachten.741157/

Wobei, eigentlich hat performi schon das wesentliche gesagt. Also sag ich nur: Am besten neu machen und wenn es geht, ohne den Loader.

 

[Doom Lord]

Das Tool fällt weg weil es nicht unter Vista 64 bit läuft.


Ich weiß dass es der richtige Weg wäre aber ich möchte erst wenn ich umgezogen bin und wieder Haupt- und diesen Rechner am selben Ort habe neu machen sprich in etwa 3 Monate.



Falls noch jemand Ideen hat immer her damit

 

[Randy89]

Lösch das Tool und sämtliche Spuren sonstigem, nicht wirklich legalem Zeugs, davon und begib dich zum trojaner-board.de oder ähnliches zwecks Bereinigung.