Weiterleitung auf Werbeseiten

[Taiyuchi]

Hallo Leute.

Ich werde schon seit geraumer Zeit auf WErbeseiten weitergeleitet.
Dies passiert zufaellig nachdem die Seite geladen wird, die ich eigentlich ansehen moechte.

Ich verwende Chrome, habe bei Addons nur den avira browserschutz.
Bei Hijackthis habe ich keine probleme finden koennen.

Unter den Installierten Programmen in Windows habe ich auch nichts verdaechtiges.


Logfile of Trend Micro HijackThis v2.0.5
Scan saved at 01:10:15, on 12.04.2015
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v11.0 (11.00.9600.17631)


Boot mode: Normal

Running processes:
C:\Users\Kristian\AppData\Roaming\Spotify\spotify.exe
C:\Users\Kristian\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe
C:\Users\Kristian\AppData\Roaming\Spotify\Data\SpotifyHelper.exe
C:\Users\Kristian\AppData\Roaming\Spotify\Data\SpotifyHelper.exe
C:\Users\Kristian\AppData\Roaming\Spotify\Data\SpotifyHelper.exe
C:\Users\Kristian\AppData\Roaming\Spotify\Data\SpotifyHelper.exe
C:\Users\Kristian\AppData\Roaming\Spotify\Data\SpotifyHelper.exe
E:\Steam\Steam.exe
E:\Steam\bin\steamwebhelper.exe
E:\Steam\bin\steamwebhelper.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
E:\Steam\bin\steamwebhelper.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\ProgramData\Battle.net\Agent\Agent.3918\Agent.exe
E:\Battle.net\Battle.net.5669\Battle.net.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE
C:\Program Files (x86)\Avira\My Avira\Avira.OE.Systray.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
E:\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre1.8.0_40\bin\ssv.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre1.8.0_40\bin\jp2ssv.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\amd64\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Avira Systray] C:\Program Files (x86)\Avira\My Avira\Avira.OE.Systray.exe
O4 - HKCU\..\Run: [Spotify] "C:\Users\Kristian\AppData\Roaming\Spotify\spotify.exe" /uri spotify:autostart
O4 - HKCU\..\Run: [Spotify Web Helper] "C:\Users\Kristian\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe"
O4 - HKCU\..\Run: [DellSystemDetect] C:\Users\Kristian\AppData\Local\Apps\2.0\ZV8M4M73.M2B\J4LZ8D0N.KXC\dell..tion_e30b47f5d4a30e9e_0005.000c_1df9a4898fae00de\DellSystemDetect.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User '?')
O4 - HKUS\S-1-5-19-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User '?')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User '?')
O4 - HKUS\S-1-5-20-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User '?')
O4 - HKUS\S-1-5-21-3796072815-2635966942-1109741240-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\..\Run: [Spotify] "C:\Users\Kristian\AppData\Roaming\Spotify\spotify.exe" /uri spotify:autostart (User '?')
O4 - S-1-5-21-3796072815-2635966942-1109741240-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 Startup: AutorunsDisabled (User '?')
O4 - S-1-5-21-3796072815-2635966942-1109741240-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 Startup: CurseClientStartup.ccip (User '?')
O4 - Startup: AutorunsDisabled
O4 - Startup: CurseClientStartup.ccip
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O15 - Trusted Zone: *.dell.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{4E963BB6-B331-4C30-BB66-CC52642AA784}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{4E963BB6-B331-4C30-BB66-CC52642AA784}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{4E963BB6-B331-4C30-BB66-CC52642AA784}: NameServer = 192.168.1.1
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: Avira Email-Schutz (AntiVirMailService) - Avira Operations GmbH & Co. KG - C:\Program Files (x86)\Avira\AntiVir Desktop\avmailc7.exe
O23 - Service: Avira Planer (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Echtzeit-Scanner (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira Browser-Schutz (AntiVirWebService) - Avira Operations GmbH & Co. KG - C:\Program Files (x86)\Avira\AntiVir Desktop\avwebg7.exe
O23 - Service: Avira Service Host (Avira.OE.ServiceHost) - Avira Operations GmbH & Co. KG - C:\Program Files (x86)\Avira\My Avira\Avira.OE.ServiceHost.exe
O23 - Service: Intel(R) Content Protection HECI Service (cphs) - Intel Corporation - C:\Windows\SysWow64\IntelCpHeciSvc.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: Google Update-Dienst (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Google Update-Dienst (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Intel(R) Integrated Clock Controller Service - Intel(R) ICCS (ICCS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Integrated Clock Controller Service\ICCProxy.exe
O23 - Service: @%SystemRoot%\system32\ieetwcollectorres.dll,-1000 (IEEtwCollectorService) - Unknown owner - C:\Windows\system32\IEEtwCollector.exe (file missing)
O23 - Service: Intel(R) HD Graphics Control Panel Service (igfxCUIService1.0.0.0) - Unknown owner - C:\Windows\system32\igfxCUIService.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 11257 bytes

 

[TheSir]

https://de.malwarebytes.org/

installieren, scannen und posten das Ergebnis

 

[Laberlohe]

Hallo und willkommen Kristian

Könnte es sein, dass dies auf Seiten passiert, die für Erwachsene gedacht sind (um es mal zu umschreiben)? Oder passiert es immer und überall?

 

[Taiyuchi]

Wow, das ging aber schnell mit Antworten!

@TheSir
Malwarebytes Anti-Malware
www.malwarebytes.org

Scan Date: 12.04.2015
Scan Time: 01:23:16
Logfile:
Administrator: Yes

Version: 2.00.4.1028
Malware Database: v2015.04.11.08
Rootkit Database: v2015.03.31.01
License: Free
Malware Protection: Disabled
Malicious Website Protection: Disabled
Self-protection: Disabled

OS: Windows 7 Service Pack 1
CPU: x64
File System: NTFS
User: Kristian

Scan Type: Threat Scan
Result: Completed
Objects Scanned: 337712
Time Elapsed: 7 min, 45 sec

Memory: Enabled
Startup: Enabled
Filesystem: Enabled
Archives: Enabled
Rootkits: Disabled
Heuristics: Enabled
PUP: Enabled
PUM: Enabled

Processes: 0
(No malicious items detected)

Modules: 0
(No malicious items detected)

Registry Keys: 0
(No malicious items detected)

Registry Values: 1
PUP.Vulnerable.DellSystemDetect, HKU\S-1-5-21-3796072815-2635966942-1109741240-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-1\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|DellSystemDetect, C:\Users\Kristian\AppData\Local\Apps\2.0\ZV8M4M73.M2B\J4LZ8D0N.KXC\dell..tion_e30b47f5d4a30e9e_0005.000c_1df9a4898fae00de\DellSystemDetect.exe, , [ada714577515a591ea1d2b923ac90df3]

Registry Data: 0
(No malicious items detected)

Folders: 0
(No malicious items detected)

Files: 1
PUP.Optional.SweetPage.A, C:\Users\Kristian\AppData\Local\Google\Chrome\User Data\Default\Preferences, Good: (), Bad: ( "homepage": "http://www.sweet-page.com/?type=hp&ts=1415195833&from=cor&uid=SAMSUNGXHD103SJ_S246J90ZA03428",), ,[2c2843280585f442a36821206c9ae020]

Physical Sectors: 0
(No malicious items detected)


(end)
------------------------------------------------


@Laberlohe
Hab jetzt ewig gebraucht um draufzukommen, woher du meinen Namen kennst
Und nein, das passiert auch anderswo, z.b. hier auf ComputerBase

 

[Laberlohe]

Sorry, konnte mir das irgendwie nicht verkneifen

mE hat Malwarebytes den Schuldigen in den Chrome-Prefernces gefunden...

 

[Taiyuchi]

Okey, reicht es aus, wenn ich den entsprechendes Eintrag in dem File loesche?
Oder ist das File selber 'böse'?

 

[Laberlohe]

mE reicht es den Eintrag im File zu löschen, der Rest sollte lediglich deine Einstellungen enthalten.

 

[arvan]

Einfach von Malwarebytes bereinigen lassen! Der Button ist doch direkt nach dem Scannen da! Drauf drücken und gut ist. Reicht das nicht, würde ich den ganzen Ordner "Default" eliminieren, dann ist zwar das Chrome Profil weg, aber definitv auch alles davon. Und ggf. nochmal die Erweiterungen prüfen!

Das mit Dell System Detect ist nichts schlimmes, ist vermutlich Heuristik, tauchte auf meinem Alienware auch auf und ist ein Tool von Dell.

 

[punkrockfan]

Sweetpage sitzt sicher auch in der Systemsteuerung, Programme, dort deinstallieren und Browser zurücksetzen.

 

[Taiyuchi]

Keine der genannten Aktionen hat geholfen.

Eintrag im File loeschen
File loeschen
Mit Malwarebytes Fixen lassen
Ordner Default loeschen


Ich habe File/Ordner jeweils woanders zwischengespeichert.
In der Systemsteurung etc. habe ich nachwievor nichts was mit sweetpage zutun hat.
Unter Erweiterung gleiches Spiel.

 

[Laberlohe]

Hast du den Rechner nach der Putzorgie auch mal neugestartet? Nicht das da noch was im RAM festhängt, das eigentlich schon weg ist...

 

[moshimoshi]

Adwcleaner durchlaufen lassen.

http://www.chip.de/downloads/AdwCleaner_58118522.html

Ist nicht umsonst auf Platz 2 der Download Charts.

 

[Daky]

Würde auch mal die Desktopverknüpfung löschen und eine neue erstellen.

 

[punkrockfan]

Auch mal im Autostart gewesen und eventuelle Einträge dort gelöscht?

 

[Taiyuchi]

Leider noch keinen Erfolg gehabt.
Default Ordner loeschen => neustart
Adwcleaner laufen lassen, div. Eintraege und Files entfernt, neustart.
Im Autostart keine verdaechtigen Eintraege

 

[Daky]

Browser mal deinstallieren, alle Daten, Verknüpfungen etc löschen.
Neustarten. Nochmal AdwCleaner laufen lassen.
Neu installieren.