Malware installiert sich immer wieder neu

[xChidori]

Hallo,

habe bei einem runtergeladenen Programm, welches mit MalWare ausgestattet war, einen Haken vergessen rauszunehmen.
Seitdem installieren sich die MalWare-Programme immer wieder neu, nachdem ich sie entfern habe und ADW-Cleaner drüber laufen lassen habe.
Ein Programm davon ist "Crossbrowse"

Hoffe auf Hilfe.

 

[IRON67]

Das ist ein sog. Browser-Hijacker. Zukünftig wähle bei Software-Installationen wenn verfügbar die benutzerdefinierte Variante, um solche unerwünschten Beigaben abwählen zu können.

Was den Einsatz von AdwCleaner angeht: da hast du wohl etwas nicht ganz richtig gemacht.

Nicht vergessen, nach dem Klick auf Suchlauf auch auf Löschen zu klicken. Vor dem Einsatz von AdwCleaner sind alle Browser-Prozesse zu beenden. Das Schließen der sichtbaren Fenster reicht nicht. Es können fensterlose Hintergrundprozesse laufen. Diese werden im Task-Manager von Windows angezeigt und müssen beendet werden. Erst dann startet man AdwCleaner als Administrator bzw. mit Adminrechten (Rechtsklick auf die EXE → Als Administrator ausführen)

Sollten nach der Bereinigung nicht alle unerwünschten Effekte im Browser behoben worden sein, kann das Zurücksetzen des Browsers helfen:

Firefox:
Menü über Hilfe → Informationen zur Fehlerbehebung oben rechts Firefox restaurieren

Alternativ für erfahrene Nutzer:

Adresszeile: about:config → die Abfrage Hier endet möglicherweise die Gewährleistung - Ich werde vorsichtig sein, versprochen bestätigen, nacheinander in der Zeile Suchen folgende Einstellungen suchen, Doppelklick auf den Treffer in der Liste, um den Wert zu bearbeiten oder umzuschalten.

browser.newtab.url Standardwert: about:newtab

browser.search.defaultenginename Standardwert: Google

Chrome:

https://support.google.com/chrome/answer/3296214?hl=de

Internet Explorer:
Menü über "Extras → Internetoptionen → Erweitert" → [Zurücksetzen...]

Außerdem empfiehlt es sich, in den Einstellungen eine Startseite festzulegen bzw. zu kontrollieren, ob da wirklich nur EINE solche eingetragen ist und nicht eine Option wie Fenster und Tabs der letzten Sitzung anzeigen zu wählen.

Alternative Tools: Malwarebytes Anti-Malware, Avast Browser Cleanup, Junkware Removal Tool

 

[purzelbär]

Lade dir mal Malwarebytes runter, installiere das, wähle im letzten Installationsfenster die Testphase für Malwarebytes Pro ab. Starten nun Malwarebytes kostenlos, aktualisiere die Virendatenbank und dann mach das Internet am PC aus/weg. Dann mach mit Malwarebytes den Bedrohungssuchlauf und lass alle Funde bereinigen/löschen.

 

[KenshiHH]

verknüpfung des browsers auch mal checken, die werden auch gerne geändert und teilweise vom adwcleaner nicht erkannt.

 

[Julrond]

Im abgesicherten Modus starten, Malwarebytes Anti Malware darüber laufen lassen und schauen was passiert.

 

[xChidori]

Alles klar, werde ich gleich mal probieren. Ich melde mich falls es geholfen hat, oder halt auch nicht :-)

 

[purzelbär]

Nach der Bereinigung mit Malwarebytes abermals mit Adwcleaner bereinigen, dann Junkware Removal Tool runterladen und damit nach dieser Anleitung: http://www.pc-notfallklinik.de/viewtopic.php?f=7&t=682 bereinigen(JRT überprüft auch die Verknüpfungen und bereinigt Infizierungen ohne zutun des Users)und danach das System mit EEK: http://www.pc-notfallklinik.de/viewtopic.php?f=7&t=688 überprüfen und gegebenenfalls bereinigen. Nutzt du vor EEK JRT, dann wird EEK 2 Registry Einträge finden die inaktiv sind und die du bedenkenlos löschen lassen kannst. Im(hoffentlich)letzten Schritt nochmal Eset Online Scanner: http://www.pc-notfallklinik.de/viewtopic.php?f=7&t=692 verwenden dessen Scan aber mal gerne 2 Stunden oder mehr dauern kann.

Was den Einsatz von AdwCleaner angeht: da hast du wohl etwas nicht ganz richtig gemacht.

Nicht vergessen, nach dem Klick auf Suchlauf auch auf Löschen zu klicken. Vor dem Einsatz von AdwCleaner sind alle Browser-Prozesse zu beenden. Das Schließen der sichtbaren Fenster reicht nicht. Es können fensterlose Hintergrundprozesse laufen. Diese werden im Task-Manager von Windows angezeigt und müssen beendet werden. Erst dann startet man AdwCleaner als Administrator bzw. mit Adminrechten (Rechtsklick auf die EXE → Als Administrator ausführen)

IRON67, ist es nicht erwähnenswert das man bei Adwcleaner ab Version 5 in den Optionen wieder selbige so setzen soll wie bei den 4er versionen wenn man nicht Windows 10 verwendet? was ich damit meine ist das:

 

[Smagjus]

Die einfachste eventuelle Lösung wurde noch gar nicht gepostet:
In der Systemsteuerung Programme und Funktionen aufsuchen und dort einfach die Malware deinstallieren. Falls das funktioniert, muss man den Browser trotzdem zurückbiegen, aber hier sollte sich nichts mehr neu installieren.

 

[purzelbär]

* Überflüssiges Zitat editiert! *​

Ist aber die Frage und ich hab da meine Zweifel daran ob damit alles was von der Malware kam inkl. Registry Eingriffe usw, damit korrigiert/entfernt werden.

 

[M@rsupil@mi]

Die Frage stellt sich auch immer, wenn man irgendwelche Software einsetzt, die was bereinigen soll. Wer weiß, was da ggf. nicht "übersehen" / erkannt wurde.

 

[purzelbär]

* Überflüssiges Zitat editiert! *​

Na ja, die genannten Scanner sind alle ausgerichtet auf Adware, Spyware, PUP und Browserinfizierungen von daher putzen normalerweise schon Malwarebytes und Adwcleaner in der Regel die Infektionen weg und wenn man auf Nummer sicher gehen will, setzt man noch zusätzlich JRT und Eset Online Scanner ein der auch Installer erkennt und zur Bereinigung mit auflistet die Adware mit dabei haben wie die Installer von Unlocker und CDBurnerXP Pro um 2 Beispiele zu nennen. Wollte man ganz auf Nummer sicher gehen und nicht nur auf die Scanner vertrauen müsste man zum beispiel ins TrojanerBoard gehen und da mit den Helfern dort mit FRST, Combofix usw weitermachen je nachdem was die einem da sagen.

 

[IRON67]

IRON67, ist es nicht erwähnenswert das man bei Adwcleaner ab Version 5 in den Optionen wieder selbige so setzen soll wie bei den 4er versionen wenn man nicht Windows 10 verwendet? was ich damit meine ist das:

Nein. Und bitte arbeite mal an deinem Satzbau. Ich habe Schwierigkeiten, dich zu verstehen und das will schon etwas heißen. In den 4er-Versionen gab es diese Optionen nicht, also kann man sie auch nicht "wieder ... so setzen".

BTW: Nicht nur JRT, sondern auch AdwCleaner prüft die Verknüpfungen.

Die einfachste eventuelle Lösung wurde noch gar nicht gepostet:
...und dort einfach die Malware deinstallieren.

Das ist keine einfachste Lösung, zumal es nicht um Einfachheit, sondern um Zuverlässigkeit geht. Wäre eine seltsam behinderte Malware, wenn sie so einfach zu entfernen wäre.

 

[purzelbär]

Nein. Und bitte arbeite mal an deinem Satzbau. Ich habe Schwierigkeiten, dich zu verstehen und das will schon etwas heißen. In den 4er-Versionen gab es diese Optionen nicht, also kann man sie auch nicht "wieder ... so setzen".

Okay das mit dem Satzbau wollte ich nicht aber schau dir bitte folgendes an und kommentiere es dann bitte.

Setze die Optionen im AdwCleaner

Seit der Version 5.004 vom AdwCleaner, werden aus Sicherheitsgründen nicht mehr alle Optionen Voraktiviert. Um die Reinigung effektiv durchführen zu können, setze wie dargestellt die Optionen:
Klicke auf Optionen und wähle nacheinander die folgenden Punkte aus:

Winsock Einstellungen zurücksetzen
Proxy Einstellungen zurücksetzen
Internet Explorer Richtlinien zurücksetzen
Chrome Richtlinien zurücksetzen

Quelle(ja ich weiß was gleich von dir dazu kommt, deshalb auch die Bitte das zu kommentieren): http://anleitung.trojaner-board.de/adwcleaner-anleitung-browser-viren-entfernen_24

 

[IRON67]

...aber schau dir bitte folgendes an und kommentiere es dann bitte.

Erwartest du ernsthaft in einem Forenposting eine Komplettanleitung für die eher simple UI einer kleinen Spezialanwendung? Wer aufgefordert wird, eine Software zu verwenden, die er bisher noch nicht kannte oder darauf hingewiesen wird, dass er sie wohl nicht korrekt eingesetzt hat, sollte soviel Verstand und Eigeninitiative besitzen, um sich die entsprechende Dokumentation des Herstellers und alle anklickbaren Menüeinträge zu Gemüte zu führen und wenn er das versäumt, dann hat er Pech gehabt und andere Anleitungen werden von ihm mit ähnlicher Oberflächlichkeit verarbeitet.

Was ich zu AdwCleaner schrieb, ist schon weitaus mehr, als andere hier üblicherweise dazu schreiben. Irgendwann muss es auch mal reichen.

 

[purzelbär]

Ich erwarte nichts von dir IRON67, aber warum gehst du mich dann an(übertrieben ausgedrückt)wenn ich hilfesuchenden Usern besagte Anleitung zu Adwcleaner nenne und verlinke?

 

[IRON67]

...aber warum gehst du mich dann an(übertrieben ausgedrückt)wenn ich hilfesuchenden Usern besagte Anleitung zu Adwcleaner nenne und verlinke?

Ich gehe dich nicht an.

 

[Dr. McCoy]

Na ja, die genannten Scanner sind alle ausgerichtet auf Adware, Spyware, PUP und Browserinfizierungen von daher putzen normalerweise schon Malwarebytes und Adwcleaner in der Regel die Infektionen weg

Wenn man von Infektionen (im Sinne von Malware) ausgeht, dass muss man das System neu aufsetzen. Eine Infektion eines Systems ist durch keinen Malwarescanner zuverlässig zu beseitigen.

und wenn man auf Nummer sicher gehen will, setzt man noch zusätzlich JRT und Eset Online Scanner ein der auch Installer erkennt und zur Bereinigung mit auflistet die Adware mit dabei haben wie die Installer von Unlocker und CDBurnerXP Pro um 2 Beispiele zu nennen. Wollte man ganz auf Nummer sicher gehen und nicht nur auf die Scanner vertrauen müsste man zum beispiel ins TrojanerBoard gehen und da mit den Helfern dort mit FRST, Combofix usw weitermachen je nachdem was die einem da sagen.

Nein, wieder falsch. Wenn man "ganz auf Nummer sicher" gehen möchte, ist auch hier (Adware) das System neu aufzusetzen. Ganz einfach deswegen, weil solche Software durchaus auch weitreichende Auswirkungen nach sich ziehen kann:

-> http://www.heise.de/security/meldun...ops-durch-vorinstallierte-Adware-2554455.html
-> http://www.heise.de/security/meldun...-verbreiten-Superfish-Zertifikat-2557619.html

Ein solches System stufe ich als nicht mehr vertrauenswürdig ein, mit allen damit verbundenen Konsequenzen:
-> http://www.malte-wetz.de/wiki/pmwiki.php/De/RemovalTools

 

[purzelbär]

McCoy, dann belehre doch mal die Leute im Trojaner Board die täglich infizierte PC's bereinigen:
http://www.trojaner-board.de/log-analyse-auswertung/
http://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/

 

[IRON67]

McCoy, dann belehre doch mal die Leute im Trojaner Board die täglich infizierte PC's bereinigen

McCoy hat völlig Recht. Und die Leute bei TB bereinigen nicht wirklich infizierte PCs. Sie empfehlen eine Vorgehensweise, mit der man EINIGE der identifizierten Probleme vielleicht beheben kann. Dass neben den identifizierten Problemen weitere auf einem bereits nachweislich schlecht gepflegten System existieren können, wird dabei völlig ignoriert. Als Erfolgsindikator dient die Zufriedenheit des Opfers, das meldet, es würde wieder alles laufen wie gewünscht und die SYMPTOME der Malware wären verschwunden bzw. Scanner X, Y, und Z fänden nichts mehr.
Das ist Pfusch auf hohem Niveau.

 

[purzelbär]

@IRON67
Deshalb sag ich ja: wenn User wie du und McCoy das besser wissen bzw eine andere Meinung haben, warum meldet ihr euch dann nicht im TB, startet meinetwegen eine Diskussion und schreibt den Usern wie schrauber, cosinus usw dort eure Meinung/Einstellung? Ich stimme in einigen Punkten auch nicht den Usern des Trojaner Boards zu und Foren sind ja auch da um Diskussionen zu führen und seine Meinung dort zu vertreten.