Steam Browser zeigt Werbung an

[Senkay]

Hallo zusammen,

Malwarebytes Anti-Malware zeigt jedes Mal ein Pop-up an das steamwebhelper.exe eine bösartige Webseite ist und zusammen mit einer IP blockiert wurde.

Das Problem : Wenn ich bei Steam auf den "Shop" Button klicke wird mir Werbung angezeigt. Dies geschieht allerdings nur einmalig und dann erst wieder wenn ich Steam oder den Pc neu starte.

Kaspersky findet auch nach mehreren scans (egal ob vollständig, schnell oder spezifisch) nichts.

Screenshots, FRST und Additional Logs im Anhang.

Vielen Dank fürs lesen und ich hoffe, dass mir jemand damit helfen kann.

 

[MetalForLive]

AdwCleaner mal drüber laufen lassen und ggf. Steam neu installieren.

 

[chrigu]

moment mal... was ist das dritte bild? das ist scareware.. du bist infiziert.
https://malwaretips.com/blogs/windows-pc-repair-removal/

adwcleander und malwarebytes(FREE) benutzen. zur sicherheit noch kaspersky-rescue-cd benutzen, anleitungen auf google.

 

[Senkay]

Steam habe ich schon neu installiert. AdwCleaner findet auch nur den einen harmlosen Eintrag gefunden.

Edit: Ich habe weder bei der Systemsteuerung unter den installierten Programmen etwas das ich nicht kenne oder das einen verdächtigen Namen hat. Bei Firefox und Internet Explorer sind auch keine Addons oder Plugins installiert. Chrome hab ich gar nicht.

# AdwCleaner v5.033 - Bericht erstellt am 09/02/2016 um 10:12:27
# Aktualisiert am 07/02/2016 von Xplode
# Datenbank : 2016-02-07.1 [Lokal]
# Betriebssystem : Windows 10 Home  (x64)
# Benutzername : Patrick - DESKTOP-BE1B4VG
# Gestartet von : C:\Users\Patrick\Downloads\adwcleaner_5.033.exe
# Option : Suchlauf
# Unterstützung : http://toolslib.net/forum

***** [ Dienste ] *****


***** [ Ordner ] *****


***** [ Dateien ] *****


***** [ DLL ] *****


***** [ Verknüpfungen ] *****


***** [ Aufgabenplanung ] *****


***** [ Registrierungsdatenbank ] *****

Schlüssel Gefunden : HKCU\Software\OCS
Schlüssel Gefunden : HKU\S-1-5-21-1478378272-1933348484-2964354189-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\Software\OCS

***** [ Internetbrowser ] *****


########## EOF - C:\AdwCleaner\AdwCleaner[S3].txt - [799 Bytes] ##########

 

[Necareor]

Dann lass mal noch Malwarebytes Anti-Malware drüber laufen, das hab bei mir noch immer jede Malware erwischt. Irgendwo muss da noch was sein...

 

[Senkay]

Nope. Nichts.

Malwarebytes Anti-Malware
www.malwarebytes.org

Suchlaufdatum: 09.02.2016
Suchlaufzeit: 10:30
Protokolldatei: MBAM.txt
Administrator: Ja

Version: 2.2.0.1024
Malware-Datenbank: v2016.02.09.01
Rootkit-Datenbank: v2016.02.08.01
Lizenz: Kostenlose Version
Malware-Schutz: Deaktiviert
Schutz vor bösartigen Websites: Deaktiviert
Selbstschutz: Deaktiviert

Betriebssystem: Windows 10
CPU: x64
Dateisystem: NTFS
Benutzer: Patrick

Suchlauftyp: Bedrohungssuchlauf
Ergebnis: Abgeschlossen
Durchsuchte Objekte: 342949
Abgelaufene Zeit: 3 Min., 24 Sek.

Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Aktiviert
PUM: Aktiviert

Prozesse: 0
(keine bösartigen Elemente erkannt)

Module: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswerte: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Dateien: 0
(keine bösartigen Elemente erkannt)

Physische Sektoren: 0
(keine bösartigen Elemente erkannt)


(end)

 

[lurid]

Dann mach den Rechner einfach neu oder spiel ein altes Backup ein.
Sicher und defintiv virenfrei danach.
Alles Andere ist ein Glücksspiel.

 

[Visceroid]

Hast du zufällig komische DNS/Proxy Server in den Windows Einstellungen eingetragen?

 

[Senkay]

Nein, an den Einstellungen hab ich nichts gemacht. Damit kenne ich mich nicht aus und von daher lass ich davon generell die Finger.

Ich wüsste also auch nicht was "komisch" in diesem Falle sein würde.

 

[Hellblazer]

Wie sieht es aus, wenn du in einem browser auf die Steam-Website gehst?
Läuft in deinem Browser generell alles normal?
Wie sieht es auf einem anderen PC (falls vorhanden) aus?

 

[Visceroid]

Nein, an den Einstellungen hab ich nichts gemacht. Damit kenne ich mich nicht aus und von daher lass ich davon generell die Finger.
Ich wüsste also auch nicht was "komisch" in diesem Falle sein würde.

Man trägt dort selbst auch nichts ein, außer man weiß warum Leider gibt es Schadsoftware die einem DNS/Proxy Server einträgt und deinen gesamten Internetverkehr so über andere Server umleitet. Wenn du also selbst nichts eingetragen hast, ist bei einem Proxy meist alles was drinnen steht als "komisch" anzusehen
Beim DNS müsste man die eingetragenen IP's mit denen des Providers vergleichen.

 

[Zuckerwatte]

Du bist definitiv infiziert.

-Malewarebytes

-ADWcleaner

-Revouninstaller (zum deinstallieren von hartnäckigeren Programmen)

Mal die Systemsteuerung gecheckt ob ein sich ein kleines unbekanntes tool installiert hat? (spontan fällt mir sowas wie "websteroids" ein)

Ich würde jegliche Kauf- /Bankingvorgänge etc unterlassen bis der PC wieder richtig sauber ist.


edit: auch mal die Browser auf unbekannte Addins, komische Suchmaschinen und andere Weiterleitungen auf Schadseiten prüfen. (Einstellungen der Suchmaschine etc mal anschauen) Kann durchaus sein, das du Browser wie google Chrome komplett sauber deinstallieren und neu installieren musst um Schadreste wegzubekommen.

 

[Senkay]

Die Webseite scheint nichts zu machen, nur der Browser selbst.

Bei Proxy ist nichts eingetragen.

@Zuckerwatte: Nein, bei der Systemsteuerung ist nichts dabei. Von den beiden Scannern hab ich schon frische Logs hier gepostet. Chrome hab ich gar nicht. Es sind keine Addons bei Firefox oder Explorer installiert.

 

[chrigu]

mach mal ein "reset" des browsers selber (step5 des mit google gefundenen link weiter oben)

 

[IRON67]

Nur so am Rande: Deine Flashplayer-Version 20.0.0.267 ist veraltet. Aktuell ist 20.0.0.306. Man soll ja entsprechenden Webseiten-Popups lieber nicht trauen, aber diesmal stimmts, wie dein FRST-Log verrät. Das Update solltest du aber trotzdem nur über die legitime Adobe-Seite durchführen. Auch dein Mozilla Firefox 43.0.4 ist veraltet. Aktuell ist 44.0.1. Außerdem geistert bei dir trotz aktuellem Java 8 U73 noch die Version 8 U71 rum, wurde also nicht sauber entfernt. Die gemeldete IP der Webseite ist übrigens eine israelische.

 

[Senkay]

Habe den PC nun neu aufgesetzt und hoffe das nun wieder alles in Butter ist.

Möchte mich dennoch für die Ratschläge bedanken!

 

[lurid]

Das Beste was du machen kannst.
So bist du sicher, dass alles in Ordnung ist. Demnächst an Backups denken.. das geht noch schnell

 

[cristianjarosch]

Sehr gut so