Websparkle ? Lästige Ad-Software lässt sich nicht deinstallieren !

[Zamjin]

Hi Leute...

Ich könnte kotzen.

Da hat man die Norton 360 Security, die dann nicht in der Lage ist, so ne billige Adsoftware zu melden/isolieren.

Wie kann das sein ?

Ich habe (bzw. hatte) einen Ordner auf meinem Rechner mit dem Namen Websparkle (unter Windows/Programme)

Norton sagt mir sogar unter meinem Leistungsverlauf es wurde am 10.3.2014 installiert.... allerdings wüsste ich nicht wann das war.

Ich hab als erstes versucht den Ordner "Websparkle" per N360 zu scannen... natürlich nix gefunden....
Dann hab ich per Systemsteuerung->Software deinstallieren versucht die Schei**e runterzuhauen.

Norton meldet DANN auf einmal dass die uninstall.exe von dem Dreck folgendes sei:
WS.Reputation.1 und isolierte die Datei... das ist jetzt ganz klasse weil ich es so natürlich nicht mehr deinstallieren kann.

Hab dann die oldsqool-Methode versucht und einfach den Ordner "websparkle" aus Windows/Programme zu löschen...
ging NICHT ! ein anderes programm würde anscheinend darauf zugreifen...

Also ab in den abgesicherten Modus. da konnte ich den ordner dann auch löschen.
Neu gebootet. Die selben Ads immer noch im Browser...

Ich könnte so kotzen. Vor allem bin ich übelst stinkig drüber dass mein N360 das NICHT hinkriegt. Wahnsinn!

Jetzt die Frage an euch, vielleicht wisst ihr wie ich den Scheiss wieder loswerde ? Mein ganzer Browser ist mit Werbung
zugemüllt.


Danke schonmal !


edit1: bin jetzt grad im Internet Explorer untwegs... da ist keine spur von dem zeug.
edit2: achja... Norton meinte auch die Datei gebe es erst seit einer Woche... und unter 100 Benutzer der Norton Community hätten diese Datei bereits ausgeführt/ausführen wollen.
edit3: lustig ist auch, dass wenn man websparkle googlet, man vorwiegend extrem schlecht auf deutsch übersetzte Seiten angezeigt bekommt, die einem erklären wollen wie man die malware wieder los wird...

wtf ?

 

[slumpie]

Lade ja nichts von diesen am Schluss genannten Seiten runter.

Tun so als würden sie helfen und hauen dir dann selbst eine rein.

 

[purzelbär]

Lade ja nichts von diesen am Schluss genannten Seiten runter.

Tun so als würden sie helfen und hauen dir dann selbst eine rein.

Das stimmt, leider wird da gerne auch fälschlicherweise auf SpyHunter verwiesen. Finger weg von so etwas!! Versuche es nacheinander mit den 3 Scannern in meiner Signatur und achte dabei darauf das du Malwarebytes als Free Version ohne Echtzeitschutz installierst. Siehe dazu auch hier: https://www.computerbase.de/forum/t...ein-virus-wasch-da-los.1326888/#post-15420132 Mach auch du das was ich dem User dort geschrieben habe und verwende nacheinander die 3 Scanner und gib uns bitte Rückmeldung ob du damit Erfolg hattest.

 

[Freak-X]

Hallo auch,

Norton kann nichts dafür, dass du die Augen nicht richtig aufgemacht hast bzw. hirnlos alles angegklickt und ausgeführt hast. Denn so und nicht anders kommt so ein Müll überhaupt auf ein System. Ein Virenscanner soll den PC vor wirklich gefährlichen Schädlingen schützen und nicht vor Adware. Letzteres wäre zwar wünschenserte, aber leider wirst du KEINEN EINZIGEN Virenscanner finden, der neben Viren, Trojanern und co. auch Adware und co. findet.

Dafür gibt es extra Programm, wie die Jenigen; die purzelbär die aufgelistet hat bzw. in seiner Signatur stehen.

 

[purzelbär]

Letzteres wäre zwar wünschenserte, aber leider wirst du KEINEN EINZIGEN Virenscanner finden, der neben Viren, Trojanern und co. auch Adware und co. findet.

Das stimmt so nicht ganz wie du es schreibst Freak-X denn zum Beispiel Avast und Eset haben auf Wunsch(bei Avast)eine mittlerweile recht hohe/aggressive Erkennung was Adware bzw. PUP angeht und man kann diese Option bei Avast für den Echtzeitschutz als auch für den OnDemand Scanner wählen: Wobei die Erkennung aber wohl noch nicht so weit sein dürfte wie bei Malwarebytes, AdwCleaner und JRT. Ich habe aber selbst schon öfters erlebt das ich online durch Avast geschützt wurde und dabei PUP Infektionen erkannt und gestoppt wurden.

Norton kann nichts dafür, dass du die Augen nicht richtig aufgemacht hast bzw. hirnlos alles angegklickt und ausgeführt hast. Denn so und nicht anders kommt so ein Müll überhaupt auf ein System.

Das stimmt denn mittlerweile stecken in nahezu jeden Installer für Freeware Programme zum Teil gut getarnt weitere Zusatzinstaller für Adware die mitinstalliert werden wenn man nicht ganz genau hinschaut.

Dafür gibt es extra Programm, wie die Jenigen; die purzelbär die aufgelistet hat bzw. in seiner Signatur stehen.

Ich hab mir schon was dabei gedacht als ich die 3 Scanner in meiner Signatur verlinkt habe

 

[Zamjin]

Meint ihr, wenn ich die Ad-Software wieder runterbekomme, dass ich dann sorgefrei sein kein ?

Oder sollte ich mir über den Schweregrad der "Infizierung" Gedanken machen ?

Für wie schlimm haltet ihr das ganze ?

 

[purzelbär]

Mach erstmal die Bereinigungen mit Malwarebytes, AdwCleaner und JRT, poste idealerweise auch die 3 Logfiles der Scanner hier und danach kontaktiere per PN emlyn d. der zum einem dein System einschätzen kann anhand der Logfiles und der dir dann Hilfe leisten kann mit dem Tool FRST.

 

[Zamjin]

Hier schonmal das Logfile von Malwarebytes Anti-Malware:



Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2014.03.13.03

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 11.0.9600.16521


13.03.2014 09:02:37
MBAM-log-2014-03-13 (09-28-26).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|F:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 397708
Laufzeit: 25 Minute(n), 30 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 4
HKCR\CLSID\{4AA46D49-459F-4358-B4D1-169048547C23} (PUP.Optional.BrowseFox.A) -> Keine Aktion durchgeführt.
HKCU\Software\WebSparkle (PUP.Optional.WebSparkle.A) -> Keine Aktion durchgeführt.
HKLM\Software\InstallIQ (PUP.Optional.InstallBrain.A) -> Keine Aktion durchgeführt.
HKLM\Software\WebSparkle (PUP.Optional.WebSparkle.A) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 4
C:\Users\P-Jay\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\Q97OQ5L9\Setup[1].exe (PUP.Optional.WebSparkle.A) -> Keine Aktion durchgeführt.
E:\Downloads\coretemp.exe (PUP.Optional.InstallIQ) -> Keine Aktion durchgeführt.
E:\Downloads\CrystalDiskInfo6_1_9a-en.exe (PUP.Optional.Opencandy) -> Keine Aktion durchgeführt.
E:\Downloads\DTLite4481-0347.exe (PUP.Optional.OpenCandy) -> Keine Aktion durchgeführt.

(Ende)



Hier AdWCleaner:

# AdwCleaner v3.021 - Bericht erstellt am 13/03/2014 um 09:34:07
# Aktualisiert 10/03/2014 von Xplode
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits)
# Benutzername : P-Jay - P-JAY-PC
# Gestartet von : E:\Programme\AdWare Cleaner\AdwCleaner.exe
# Option : Suchen

***** [ Dienste ] *****


***** [ Dateien / Ordner ] *****

Datei Gefunden : C:\Users\P-Jay\AppData\Roaming\Mozilla\Firefox\Profiles\cydlqi1b.default\user.js
Ordner Gefunden C:\ProgramData\apn

***** [ Verknüpfungen ] *****


***** [ Registrierungsdatenbank ] *****

Schlüssel Gefunden : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFBCB7E0-F91A-4951-9F31-58FEE57A25C4}
Schlüssel Gefunden : HKCU\Software\Softonic
Schlüssel Gefunden : [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFBCB7E0-F91A-4951-9F31-58FEE57A25C4}
Schlüssel Gefunden : [x64] HKCU\Software\Softonic
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\{0A18A436-2A7A-49F3-A488-30538A2F6323}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{007EFBDF-8A5D-4930-97CC-A4B437CBA777}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Tracing\updateWebSparkle_RASAPI32
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Tracing\updateWebSparkle_RASMANCS
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Tracing\utilWebSparkle_RASAPI32
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Tracing\utilWebSparkle_RASMANCS
Schlüssel Gefunden : [x64] HKLM\SOFTWARE\Classes\CLSID\{4AA46D49-459F-4358-B4D1-169048547C23}

***** [ Browser ] *****

-\\ Internet Explorer v11.0.9600.16521


-\\ Mozilla Firefox v27.0.1 (de)

[ Datei : C:\Users\P-Jay\AppData\Roaming\Mozilla\Firefox\Profiles\cydlqi1b.default\prefs.js ]


*************************

AdwCleaner[R0].txt - [1807 octets] - [13/03/2014 09:34:07]

########## EOF - C:\AdwCleaner\AdwCleaner[R0].txt - [1867 octets] ##########

 

[purzelbär]

Lasse bitte die gefundenen Infizierungen von Malwarebytes bereinigen. Eventuell musst du diese erst noch am Ende des Scans zur Bereinigung markieren.
Edit: wie ich richtig vermutet habe, erkennen sowohl Malwarebytes als auch AdwCleaner die Infektion Websparkle und können dir diese bereinigen. Wichig ist aber auch das du Malwarebytes und AdwCleaner die Infizierungen bereinigen/löschen lässt. Und wende dich trotzdem nach der Bereinigung an emlyn d. wegen dem Tool FRST.

 

[Zamjin]

Hier noch das JRT File:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 6.1.2 (02.20.2014:1)
OS: Windows 7 Home Premium x64
Ran by P-Jay on 13.03.2014 at 9:38:40,82
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services

Successfully stopped: [Service] update websparkle
Successfully deleted: [Service] update websparkle



~~~ Registry Values



~~~ Registry Keys



~~~ Files



~~~ Folders



~~~ FireFox

Successfully deleted: [Folder] C:\Users\P-Jay\AppData\Roaming\mozilla\firefox\profiles\cydlqi1b.default\extensions\staged
Emptied folder: C:\Users\P-Jay\AppData\Roaming\mozilla\firefox\profiles\cydlqi1b.default\minidumps [14 files]



~~~ Event Viewer Logs were cleared





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 13.03.2014 at 9:41:44,59
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

[purzelbär]

Okay schaut ja so weit ja jetzt wieder gut aus auf deinem System. Vergesse nicht in Malwarebytes/Quarantäne die dort befindlichen Infektionen endgültig zu löschen und schau mal auf der Systempartition C nach einem Ordner AdwCleaner. Wenn du den gefunden hast, kannst den auch löschen denn darin befindet sich der AdwCleaner Ordner Quarantäne und in diesem Quarantäne Ordner dürften sich die Infektionen befinden die AdwCleaner bei dir bereinigt hat. Ein Tipp noch: lass dir Malwarebytes Free dauerhaft installiert und mach damit von Zeit zu Zeit eine Überprüfung deines Systems als zusätzliche Scan Methode zusätzlich zu deinem installierten AV. Denk auch bitte dran emlyn d. per PN zu kontaktieren wegen FRST damit er dein System anschauen und einschätzen kann ob es nun wieder sauber ist.

 

[Zamjin]

Vielen Dank für die Hilfe.


Dieses leidige Werbe/Spam/Ad Thema nervt mich mittlerweile so dermassen.

Du kannst ohne Ad-Blocker kaum mehr im Internet unterwegs sein. (auch wenn du KEINE malware aufm system hast)

abartig.

Grüße
Zamjin

 

[Freak-X]

Du kannst ohne Ad-Blocker kaum mehr im Internet unterwegs sein. (auch wenn du KEINE malware aufm system hast)

abartig.

100% Zustimmung.

 

[Tigerass 2.0]

Äh wenn du dir GANZ sicher bist, dass du an diesem Tag nichts installiert hast, dann würd ich aber auch noch nach anderen sachen schaun. Mein Favorit ist bei sowas gmer.

Und nur so nebenbei, ein AV bringt nichts gegen viren heutzutage. Nichtmal die runtime-analysis tautaugt meistens noch was. Gehirn einschalten ist angesagt. Aber generell hat sich die Lage was exploits, etc. angeht stark verbessert.

 

[Zamjin]

Hier noch die Logs von FRST

 

[emlyn d.]

Hallo,
bitte die angehängte Fixlist.txt in den Ordner speichern, von dem Du FRST ausgeführt hast, bei FRST auf "Fix" klicken und Fixlog.txt posten/anhängen.

Dann alles auf den neuesten Stand bringen.
Dabei können http://secunia.com/PSISetup.exe und http://www.filehippo.com/updatechecker/UpdateChecker.exe helfen.

 

[Tigerass 2.0]

Wenns dir wirklich am herzen liegt poste einen gmer report als Ergänzung.

 

[Zamjin]

Hier das Fixlog

ps: was meinst du mit " alles auf den neuesten stand bringen" ?


Danke vielmals !

 

[purzelbär]

ps: was meinst du mit " alles auf den neuesten stand bringen" ?

Damit sind deine Programme, Browser, Browser AddOns usw. gemeint und dabei behilflich sind die genannten Programme Secunia PSI und FileHippo UpdateChecker.

 

[emlyn d.]

Danke vielmals !

Gern geschehen.
Gibt es noch Probleme?