nationzoom - dubioser Suchanbieter lässt sich nicht entfernen

[coxeroni]

Hallöchen,

habe das Problem, dass sich in dem System eines Rechners die Suchmaschine "Nationzoom" verankert hat.... folgende Maßnahmen wurden schon ergriffen:

-Entfernen von Erweiterungen für Internet Explorer und Google Chrome
-Anpassen der Startseite
-Entfernen von allen Suchanbietern außer Google
-Entfernen sämtlicher Adware mit Software "ADWCleaner"
-Virenscan mit Malwarebytes Anti-Malware (einmal Quickscan - 90 Viren entfernt, einmal Fullscan -nochmal 20 Viren entfernt)

PC ist nun sauber, jedenfalls was Viren angeht. Obwohl das Nationzoom nirgendwo mehr zu finden ist, öffnet sich trotzdem bei jedem Öffnen des Browsers dieser Mist wieder.

Hat jemand einen Lösungsvorschlag?

Wenn man das Orakel fragt, geben alle Webseiten dieselben Ansätze... hat leider in meinem Fall nichts gebracht.

Danke

 

[Sun_set_1]

http://de.wikipedia.org/wiki/Hosts-Datei

Datei mit dem Editor öffnen (SystemRoot%\system32\drivers\etc\hosts) und alle Einträge entfernen, die nicht von Spybot und / oder deinem AV Programm eingetragen wurden.

i.d.R. erkennst Du deren Einträge über eine Zeile die über den IP-Adressen steht und ein # vorweg geht.

(z.b. #Entries written / placed by AntiVir o. Kaspersky / Spybot usw usf.)

 

[coxeroni]

Uhhhh, geiles Stichwort! Werde ich direkt mal überprüfen


Edit: Ist leider auch sauber.

 

[Sun_set_1]

Prüf mal ob die Registry noch auf die Datei in /etc/ verweist:

\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DataBasePath

Und mach eventuell mal ein trace route zu CB oder Google und prüfe den Verlauf:

Konsole öffnen: tracert www.google.de
tracert www.computerbase.de

EDIT

Kleiner Tipp am Rande. Wenn der Pfad der HOSTS Datei innerhalb der Registry verändert wurde würde ich in jedem Falle das System neu aufsetzen. Die Änderung würde auf einen Virusbefall mit VOLLEM Systemzugriff hindeuten. Du hast dann bisher vllt die Viren beseitigt, aber nicht die von den Viren erstellten Backdoors. Somit ist die Wahrscheinlichkeit einer neue Infizierung leider sehr hoch.

 

[EinhornBigfoot]

Die Frage ist ob es nicht sinvoll ist den Rechner neu zu installieren , wenn so viele Viren drauf waren.

 

[purzelbär]

Nordphilz, du hast eigentlich schon alle Bereinigungen durcgeführt aber du hattest verdammt nochmal sehr viele(zu viele)Infektionen auf deinem System. Von daher ist es echt überlegenswert ob du dein System nicht besser neu aufsetzt.

PC ist nun sauber, jedenfalls was Viren angeht. Obwohl das Nationzoom nirgendwo mehr zu finden ist, öffnet sich trotzdem bei jedem Öffnen des Browsers dieser Mist wieder.

Falls du nicht neu aufsetzen willst und es weiter mit Bereinigung versuchen willst, mache mit AdwCleaner eine erneute Bereinigung(optional im Abgesicherten Modus)und bereinige das System auch mit Junkware Removal Tool, Malwarebytes Antiroot Kit sowie mit einer Antivirus Live CD wie Kaspersky Rescue Disk die aber sehr lange brauchen wird schätze ich. Besser wäre es aber in deinem Fall wohl du setzt dein System neu auf und überprüfst alle anderen Partitionen/Festplatten mit Virenscannern damit da ja nicht noch etwas "schlummert".

 

[quicksilver121]

bei einem solchen befall .......
selbstredend neu aufsetzen !

 

[SEL33]

purzelbär;14946783 Von daher ist es echt überlegenswert ob du dein System nicht besser neu aufsetzt.
Besser wäre es aber in deinem Fall wohl du setzt dein System neu auf und überprüfst alle anderen Partitionen/Festplatten mit Virenscannern damit da ja nicht noch etwas "schlummert".

[/QUOTE]

Wenn der Pfad der HOSTS Datei innerhalb der Registry verändert wurde würde ich in jedem Falle das System neu aufsetzen.

Es ist besser purzel,wenn der TE das System mit der verbogenen Registry neu einspielt.

 

[coxeroni]

Ist leider ein Rechner, auf den man nicht ohne weiteres verzichten kann... Stimme aber zu, bei so einem Befall muss man früher oder später neu aufsetzen.

 

[SEL33]

Stimme aber zu, bei so einem Befall muss man früher oder später neu aufsetzen.

Umso schneller neu aufgesetzt wird,desto besser.Wo hat man sich die ganzen Viren denn eingefangen?

 

[coxeroni]

Weiß man leider nicht... wurde vermutlich bei irgendwelchen kostenlosen Tools als Adware mitgepusht.

 

[Sun_set_1]

Wie gesagt, der einzig vernünftige Rat ist das System komplett neu aufzusetzen. Es interessiert an der Stelle auch eigentlich nicht ob noch Daten von dem Gerät gebraucht werden oder nicht, zur Not muss man sich halt die Mühe machen und mittels einer Live-CD vernünftig die Daten die gebraucht werden mit einem AV scannen und sichern.

Was bringt Dir ein momentan von Viren befreites System, wenn du

a) davon ausgehen musst das alle Daten darauf kompromittiert werden können

b) das komplette System sehr wahrscheinlich irgendwann von dem ein auf den anderen Moment den Geist auf gibt

c) wenn es sich um ein PC in einem Betrieb handelt: ein Netzwerkangriff vom betroffenen Host gestartet werden kann

d) im Anschluss zu c) sämtliche Kommunikation abgehört wird

e) bei einem Privat-PC z.B. nie wieder Online Banking genutzt werden sollte

Wie gesagt, wenn der Pfad zur Hosts Datei in der Registry abgeändert wurde oder aber Du definitiv eine Infektion des Browsers selbst ausschließen kannst, lässt das zwangsläufig nur den Schluss auf ein manipuliertes OS zu. Windows hat eine Rechte und Library (Signatur) -Verwaltung die eben genau verhindern soll, dass entsprechende Pfade in der Registry zur Hosts- und vielen anderen Systemdateien von Programmen abgeändert werden können. Oder aber etwas noch viel tiefgreifendes passiert wie z.B. das umrouten der Verbindungen mittels TCP / IP Protokoll Manipulation.

Wie gesagt in beiden Fällen wurden Rechte und Signaturverwaltung definitiv außer Kraft gesetzt. Diese beiden Funktionen sind DIE GRUNDLAGEN der Windowssicherheitsarchitektur. Selbst wenn Du es schaffst den letzten Virus zu beseitigen, kannst Du quasi schon beim ersten Porno-Popup mit der nächsten Infektion rechnen.


Wenn Dir das alles nicht reicht um das System neu aufzusetzen, schau noch mal in den Netzwerkverbindungen nach ob die DNS Einträge manipuliert wurden. Wäre noch die letzte Möglichkeit einer "leichteren" Infektion.

http://tipps4you.de/tipp-19-win7.html

 

[oldiemb]

gelöst!!!!!!
Bin zwar kein Experte, aber solche kleine Sachen habe ich immer noch geschafft. Gestern aber habe ich auch alles was im Beitrag vom 9.12 steht gemacht und hatte keinen Erfolg.Habe mich dann auf Hijacks besonnen, runtergeladen und auch die Files auswertung gelesen: da fand ich zum ersten Mal die Suchmaschine nationzoom. Alles in diesem Zusammenhang gefixt: ging nicht. Schlimmer: die Filesauswertung brachte grüne (positive) Einschätzung dieser Seite/bzw. Browser befehls ????!!!!
Geladen habe ich die Sache ( vorsicht) mit dem wiederholten Hinweis :Mediaplayer aktualisieren.!!!!!!!!?????Keine Häkchen, nichts, nur das Laden war plötzlich nicht mehr sichtbar....schnell runtergefahren....zu spät......3 neue Programme und insbesondere ein engl.( ?) Antivirenprogramm hatte sich schon geladen u n d nationzoom. Natürlich findet man in Foren, dass man gerade mit diesem antivirenProgramm diese Suchseite beseitigen kann . So ein Zufall ????!!! Kostet bestimmt was . Fehler hat das Programm hunderte gefunden: alles aus den geladenen Programmen die ich wiederum schon gelöscht hatte. Wieder Zufall???
Habe nach Hijacks noch andere Scan programmen ( der UNterschied zwischen denen und meinen avast, antivir ist mir nicht klar.)Und eins davon scannte , zeigte "böse?"Dateien an (aber nichts mit nationzoom) und ich löschte erfolgreich. Alles läuft, alles gut.
Eigentlich wie immer : Riesenaufwand und kleine Ursache. Kleiner Beseitigungsaufwand, wenn man den entspr. Hinweis gleich erwischt.
p.s sitze am Arbeitscomputer in der Stube. Das war alles am großen Computer wo ich jetzt im Moment nicht... Namen werden nachgereicht.

 

[purzelbär]

oldiemb, scheinbar hast du das Problem bei dir gelöst trotzdem würde ich an deiner Stelle wenn du es noch nicht getan hast, das System mit Malwarebytes Free Vollständige Überprüfung, AdwCleaner und mit Junkware Removal Tool nacheinander überprüfen. Warum? weil du PUP bzw Adware auf deinem System hattest und diese 3 Scanner auf die Entferung von Adware spezialisiert sind.

 

[oldiemb]

oldiemb, scheinbar hast du das Problem bei dir gelöst trotzdem würde ich an deiner Stelle wenn du es noch nicht getan hast, das System mit Malwarebytes Free Vollständige Überprüfung, AdwCleaner und mit Junkware Removal Tool nacheinander überprüfen. Warum? weil du PUP bzw Adware auf deinem System hattest und diese 3 Scanner auf die Entferung von Adware spezialisiert sind.

habe mich hier angemeldet, um zu verhindern, dass es jemanden genau so geht. Kein Hinweis in jeglichen Foren war richtig. Meine Sicherheit besteht eigentlich in einer geteilten Festplatte und Ubuntu. Alles was Probleme machen könnte........linux , aber in einer einfachen anwedereinfachen Art. Danke dir. Aber was ist Adware? Hatte ja in meinem Beitrag schon angedeutet.......danke

 

[purzelbär]

Ja was ist Adware? ich würde es definieren als unerwünschte Software die sich durch Unachtsamkeit des Users mit aufs System "schleichen" kann und sich gerne mal in Browser einnistet, dort Toolbars installiert und sich natürlich auch in die Registry schreibt.
Wikipedia umschreint Adware so: http://de.wikipedia.org/wiki/Adware
Was auch interessant ist und sich vermehrt hat ist Scareware: http://de.wikipedia.org/wiki/Scareware
Und was Potenziell Unerwünschte Software(PUP)anbelangt, da spuckt die Google Suche das aus: https://www.google.de/search?q=Pote...firefox-a&gws_rd=cr&ei=CFu0Ur7CDJCRswbl1IG4CA
Die 3 Scanner die ich dir nannte, haben es sich auf die Fahne geschrieben, Adware, Scareware und PUP "Infizierungen" auf Windows Systemen zu finden und löschen zu können.

 

[purzelbär]

H0ffman, ich würde trotzdem lieber an deiner Stelle dein System mit AdwCleaner: http://www.bleepingcomputer.com/download/adwcleaner/ und mit Junkware Reomval Tool: http://www.bleepingcomputer.com/download/junkware-removal-tool/ überprüfen

 

[Vicq]

Danke