Malware bei Neuinstallation von Windows 8.1

[bluemax2001]

Hallo!

Ich habe eben Windows 8.1 neu installiert und habe jetzt beim Start des IE diese verdammte "Sweet Page" als Startseite. Die Installations-CD ist sauber. Allerdings hatte ich diese Malware vor einiger Zeit schon einmal auf meinem PC, aber wieder erfolgreich entfernt.

Meine einzige Erklärung: Die Startseite muss wohl in meinem Windows-Benutzerkonto hinterlegt sein und bei der Installation synchronisiert worden sein. Bei der Installation habe ich jedoch explizit angegeben, dass nix synchronisiert werden soll.

Wie und wo kann ich einsehen, welche Daten in meinem Windows-Benutzerkonto hinterlegt werden, die dann bei Bedarf installiert werden (Apps, usw.).

Vielleicht ist die Ursache auch eine ganz andere...

 

[En3rg1eR1egel]

die ursache ist, dass du glaubst die malware erfolgreich entfernt zu haben...
wie wir sehen ist dem nicht so.
mal wieder einer der gründe , warum komprommitierte rechner platt gemacht werden, anstatt "irgendwie" wieder gerade gebogen werden

festplatte formatieren, windows neu installieren ...

 

[bluemax2001]

Habe ich gemacht. Ich habe doch oben geschrieben, dass ich eine Neuinstallation gemacht habe. Komplett formatiert, dann installiert.

 

[jens aus B]

guckst du

rechte charms bar
Einstellungen
pc-Einstellungen
one drive
Synchronisierung

da steht zumindest WAS denn so synchronisiert wird - wenn also wirklich die SEITE gesynct wurde - dann müsstest du die ja in den I-Net-Optionen des IE wieder umstellen können OHNE das sie sich wieder einträgt ... die zugehörige Malware sollte ja nicht auf dem System sein

gruß

 

[Schabimperle]

Kann ja auch sein dass sich die adware irgendwo in deinen gesicherten Dateien eingemistet hat. Bei mir hat ADWcleaner in letzter Zeit gut geholfen, vielleicht probierst du den mal aus.

 

[bluemax2001]

Habe die Synchronisationseinstellungen angepasst und Windows nochmal (macht ja auch soviel Spass) neu installiert - die Startseite ist jetzt zum Glück nicht mehr da. Das sowas überhaupt passieren kann, hätte ich nicht gedacht.
Die Malware hatte den IE schon direkt "gehijackt". ADWcleaner hatte ich bei der ursprünglichen Infektion erfolgreich verwendet, aber wenn ich jetzt das System neu aufsetze, dann wäre das kein guter Start.

Danke für die Hilfe.

 

[Randy89]

Ich würde eher auf "zu unachtsam Programme installiert und in der Eile immer schön auf 'weiter' geklickt" tippen.

 

[grax]

Zufälligerweise den JDownloader installiert? Der hatte früher (vielleicht dann sogar immer noch) SweetPage bei der Installation mit installiert.

 

[Randy89]

Bei mir hat er das nicht gemacht. Wie gesagt, wenn jemand Probleme mit "SweetPage" oder ähnliches hat, dann liegt es zu über 99,99% an

"zu unachtsam Programme installiert und in der Eile immer schön auf 'weiter' geklickt"

 

[grax]

Mir ist das erst gestern passiert. Ich habe von der offiziellen Seite den Web-Installer für JDownloader runtergeladen, und dieser hat dann so Sachen wie SweetPage oder SupTab mitinstalliert. Hier nen Artikel dazu:

http://www.chip.de/news/jDownloader-Warnung-vor-fieser-Adware-im-Installer_66546877.html

Ich habe JDownloader im Laufe der Jahre schon mehrmals installiert, und es gab nie Probleme mit Adware, von daher bin eigentlich davon ausgegangen, dass so ein Mist nicht installiert wird.

Bin am Überlegen Windows 8 nochmal neu aufzusetzen, trotz Entfernung der Adware mit AdwCleaner und Malwarebytes Anti-Maleware. Kostet mich dann aber wieder nen ganzen Nachmittag.

 

[Randy89]

Beim verlinkten Artikel steht als Randnotiz auch so schön "Keine Angst vor dem "Decline"-Button!".
Und ja, mein Installer sah so aus:
https://www.computerbase.de/forum/threads/arte-video-download-funktioniert-nicht.1310950/#post-15220943

weil ich das OpenCandyInstallCore-Zeugs schon eh per HOSTS-Datei/Firewall geblockt habe und/oder den richtigen Installer auf der Herstellerseite gefunden habe.

 

[grax]

Du hast aber nicht den WebInstaller verwendet oder? Ich denke der lädt einfach ungefragt die Adware mit herunter, ob man will oder nicht.

Wie hast du das OpenCandyInstallCore-Zeugs in der HOSTS Datei geblock, mittels Spybot S&D?

 

[Randy89]

Doch, genau den hab ich verwendet, wenn du mal das erste, bzw. dritte Bild in meinem Link anschaust.

SpyBot S&D verwende ich nicht.
Entweder hat das die MVPS-HOSTS-Datei (http://winhelp2002.mvps.org/hosts.htm) gemacht oder es war eines der komischen .dll-Dateien* aus dem temporären Ordner, die COMODO bei mir mal bei bestimmten Installern als Firewall-Meldung ausgegeben hat und deren Internetzugriff ich testeshalber vorrübergehend und im Anschluss dauerhaft deaktiviert habe.

*Welche ich natürlich vor der Entscheidung gegooglet habe und dann zu OpenCandy, InstallCore und sonstigen Werbenetzwerke gestoßen bin. Also fiel die Entscheidung des Probe-, bzw. dauerhaften Blockens nicht sehr schwer.

 

[grax]

Ah okay, stimmt. Ich würde ja gerne probehalber nochmal den Web Installer anwerfen um zu schauen ob ich da eine Option übersehen habe oder nicht. Aber ich lasse es besser. Chip schreibt ja auch:

Hinweis: Wir konnten dies nur in 50 Prozent der Fälle reproduzieren. Offenbar wird nach IP-Adressen selektiert, ob zusätzliche Crapware mit installiert werden soll.

Danke für den Link der Host Datei, das kannte ich noch gar nicht. Werde ich direkt mal bei mir einfügen.