Anzeige

Am Puls von Microsoft

Anzeige

[gelöst] Rechner mit irgendetwas infiziert?

sosiehtsaus

Herzlich willkommen
Hallo zusammen.


Mein Sohn hat sich etwas auf seinem Rechner eingehandelt. Wir haben ihn jetzt erstmal stillgelegt, bei der Fritz!Box (7490) rausgeworfen und überlegen jetzt was wir als "Nicht"-Computercracks machen.

Wie äußert sich das Problem.
- er nutzt den Mozilla Firefox Browser
- wenn er Mozilla startet und surft, passiert nach einer gewisser Zeit (zeit- und klickanzahlunabhängig) folgendes
-> es wird ein zweiter Tab geöffnet, wo unerwünschte Sachen (z.B. Pornoseiten) angezeigt werden
geht man in ursprünglich geöffneten Tab zurück und klick auf Links auf seriösen Seiten, wird erneut ein Tab mit
unerwünschten Inhalten geöffnet

Wie ist es dazu gekommen ?
Mein Sohn hat eine dumme Sache gemacht, die ihn selbst sehr ärgert. Er hat völlig ohne Not über Google nach einem günstigen aber teuren Adobe Programm gesucht und ist dann auf eine ihm unbekannte Seite gekommen, wo dieses Programm "sehr günstig" angeboten wurde. Er hat es dann runtergeladen und dann auch noch leichtsinniger Weise die "EXE" ungeprüft (auf demRechner läuft GDATA Internetsecurity) ausgeführt. Sehr, sehr ungeschickt !!
GDATA findet beim scannen nichts.
Beim MS Internetexplorer tritt das gleiche Problem auf - ist also Browserunabhängig. Deshalb war eine Deinstallation von Mozilla Firefox auch erfolglos.
Zurücksetzten auf einen alten Wiederherstellungspunkt funktioniert auf seinem Rechner schon lange (ca.1 Jahr) nicht mehr. Der Rechner läuft jetzt seit ca. 2,5 Jahren, ohne zwischenzeitliche Neuinstallation von Windows.

Die Frage ist jetzt, was tun ?
Windows ist auf einer SSD installiert. Zusätzlich befindet sich noch eine 1 TB Festplatte im Rechner.
- gibt es Alternativen zu einer Neuinstallation ?
- besteht bei einer Neuinstallation das Risiko, dass dieser "Dreck" auch auf der zweiten Festplatte irgendwo
eingenistet hat und nach der Neuinstallation von Windows auf die SSD zurückspringt ?
- würde es etwas nützen, wenn man noch versucht den Download nochmal zu besorgen (wurde von meinem Sohn
natürlich als es zu spät war sofort gelöscht)

Danke im Voraus...
 
Anzeige
AW: Rechner mit irgendetwas infiziert ??

Willkommen bei DrWindows @ sosiehtsaus
- gibt es Alternativen zu einer Neuinstallation ?
Eine wirklich saubere Alternative gibts nicht.
- besteht bei einer Neuinstallation das Risiko, dass dieser "Dreck" auch auf der zweiten Festplatte irgendwo
eingenistet hat und nach der Neuinstallation von Windows auf die SSD zurückspringt ?
Die besteht, ist aber lösbar.
- würde es etwas nützen, wenn man noch versucht den Download nochmal zu besorgen
Nein, welches Adobe Programm ist denn benötigt?

Lade dir zuerst mal Malwarebytes Antimalware und lasse es über den PC laufen.
Danach Malwarebytes Junkware über den PC laufen lassen, das bereinigt unerwünschte zugaben, wie du sie hast.
Nach diesen Ergebnissen sehen wir weiter.
 
AW: Rechner mit irgendetwas infiziert ??

Hallo @sosiehtsaus! Willkommen im Forum! :)
Nach deiner Beschreibung ist das in der Regel kein wirklicher Virus, sondern Spyware oder Adware.
Da Malware das installierte Antivirenprogramm häufig so manipuliert, dass es nichts mehr findet, macht man mit zusätzlichen Tools die Überprüfung.
-> Lade dir MalwareBytes herunter und lasse es laufen.
http://www.drwindows.de/windows-anl...anti-malware-vollstaendiger-suchlauf-pup.html

-> Lade dir AdwareCleaner herunter und lasse es laufen
http://www.drwindows.de/windows-anl...-toolbars-browser-hijacker-unerwuenschte.html

-> Lade dir Junkware Removal Tool herunter und lasse es laufen
http://www.drwindows.de/un-installer/66347-junkware-removal-tool-adware-toolbars-entfernen.html

Die Protokolle kannst du jeweils als Textdatei abspeichern und als Dateianhang hier hochladen.
 
Danke erstmal...melde mich, wenn erledigt...

G-Data blockt den Download der Software von CHIP.DE (Junkware (PUP)....bin jetzt aber total verunsichert, ob der Dreck hier am Werk ist und GDATA auch schon verseucht ist...was nun ????
 
Zuletzt bearbeitet von einem Moderator:
ok...arbeite über mein MacBook hier im Forum...ist dann schwierig mit links hier in den Beiträgen zu arbeiten ...habe aber den PC von meinem Sohn wieder mit der FritzBox verbunden...habe jetzt mit dem Link von Ari das Programm runtergelassen...GDATA hat nicht gemeckert...das Programm ist durchgelaufen und 84 Sachen gefunden...PC startet gerade neu...TXT File lade ich gleich hoch...

...sorry vielleicht eine blöde FRage .... aber wie kann ich die TXT Datei hier anhängen oder hochladen...muß jetzt noch Adwarecleaner und Junkware removal laden und laufen lassen...
 
Zuletzt bearbeitet von einem Moderator:
...Puh...da verstehe ich nur Bahnhof !? Wie gesagt - bin alles andere als ihr Experten hier...suche die Büroklammer zum Hochladen...finde sie aber nicht !?
 
...der Rechner ist mit dem dritten Punkt von Ari jetzt auch durch (Junk ware removal tool)...hatte da Probleme mit "Creating restore point"...es kam die Störmeldung "...failed.."...hat es evtl. damit zutun, dass bei Windows der "Wiederherstellungspunkt setzen" schon lange nicht mehr funktioniert ??
Ich lasse gerade nochmal Anti-Malware laufen...habe vorher mal Firefox gestartet und ein wenig gesurft...klappte alles wieder ohne Störung !? Mal schauen...melde mich gleich nochmal...

!! Anti-Malware ist durch und hat nichts mehr gefunden !!!:)

So -AdwCleaner ist auch nochmal gelaufen und auch nichts gefunden !
Ich bin jetzt nochmals intensiv mit Firefox durch Internet gesurft und nicht ist passiert ! Bevor der dritte von Ari empfohlene Schritt (Junkware removal tool) gelaufen ist versuchte der Dreck einen Fenster im Browser zu öffnen, aber MalwareBytes Antimaleware hat es blockiert (es erschien unten rechts am Bildschirm immer es kleines Fenster mit dem Hinweis, dass MalwareBytes A. es blockiert hat. Aber als das Junkware removal tool durch war, war alles ok.
Wie man die Protokolle hochlädt weiß ich immer noch nicht, aber egal. Ich habe im übrigen in GDATA Protokolle gefunden. GDATA hatte die Schadsoftware entdeckt und gewarnt. Mein Sohn hat aber anscheinend nicht gelesen und den Dreck zugelassen.Die Gier nach einem günstigen Programm, was er eigentlich garnicht braucht war größer, als die Vernunft.


Super Performance von Euch ! Nochmals besten Dank !!!!

Ich bin froh, dass ich vor zwei Jahren umgestiegen bin von Windows auf ein MacBook. Habe es noch nicht einen Tag bereut.
 
Zuletzt bearbeitet:
Guten Morgen!
Du hast zwar das Thema als gelöst markiert, aber hier noch kurz die Erklärung zum Hochladen von Dateien:
Wenn du eine Datei hochladen willst, öffnest du das Antwortfenster nicht nicht "Antworten", sondern mit "Erweitert". Dadurch hast du oben in der Toolbar zwei zusätzliche Zeilen, u.a. auch mit der Büroklammer.
Zum Dateien Hochladen kannst du auch unterhalb des Antwortfensters den Bereich "Anhänge verwalten" benutzen.
Anhänge_Verwalten.jpg
Wenn man Logfiles als Text hochladen will, setzt man einen Spoiler (die Maske; 5. Symbol von rechts in der dritten Toolbar-Zeile) und kopiert den Text da hinein.

Das nur als Tipp für die Zukunft.
 
Morgens

Damit wäre der digitale Vorfall eigentlich vorbei, fast. Ich versuche aufzudröseln, was bei euch passiert ist, weil das ganz sicher keine Lapalie ist und ich auch die Befürchtung hege, dass es nicht bei diesem einen Mal bleiben wird.

Dass die illegale Nutzung von Software kein Kavaliersdelikt ist, sollte klar sein. Adobe zeigt seltenst Zähne, aber es gibt Hersteller, die fackeln nicht lange und dann flattern Abmahnungen oder gar heftigere Post ins Haus, die dann auch ganz schnell 4-stellig teuer werden.

Was bei euch passiert ist, war der schnelle Versuch, "mal eben" was abzugreifen. Es gibt keinen leichten oder eleganten Weg zu illegal genutzter Software. Dein Sohn hat sehr wahrscheinlich ein Downloadtool von irgendeinem höchst zweifelhaften Anbieter erwischt, denn die normalen Download-Anbieter machen sowas nicht, die zeigen nur Werbung. Das war der erste Fehler.

Der zweite Fehler war, diesen Mist ungeschützt ohne jegliche Sicherheitsmassnahmen auszuführen. Gdata und sonstige Antivirusprogramme können unter Umständen reagieren, aber du hast selbst erlebt, es ist nichts passiert.

Die nächste Auswirkung war die p0rn0-Werbung, wenn es dabei bleibt, wo ich grade Zweifel habe, hattet ihr verdammt viel Glück. In der Regel reisst solche Malware tiefere Lücken in Windows, für Hintertürchen, die auch meistens unbemerkt bleiben. D.h. das genutzte Windows ist nicht mehr als sicher zu betrachten, ähnliches wurde auch oben schon geäussert.

Das die Systemwiederherstellung nicht funktioniert, kann ein Zusammenhang sein, muss aber nicht. Wäre aus meiner Erfahrung auch kein adäquates Mittel gegen solche Malware. Aber es zeigt auf, dass evtl schon am System unsachgemäss gestellt wurde, ggf ist ein Vorschaden vorhanden.

Ich würde daher das gesamte System neu aufsetzen, ohne wenn und aber, da ist einfach zu unsicher. Als Laie ist das eh nicht erkennbar. Vorher kann man alle wichtigen Daten retten.

Und dann sollte dein Sohn auch nur ein Benutzerkonto bekommen, keine Adminrechte und entsprechend restriktive Einstellungen bzgl Family-Safety!


Nächster wichtiger Punkt. Irgendjemand hat deinem Sohn den Floh ins Ohr gesetzt, sich zum einen genau diese Software zu "organisieren", zum anderen auf unsaubere Weise. Ich sags mal so - mit katastrophalem Ende. Man könnte denken, dass der andere sich jetzt ins Fäustchen lachen wird, weil dein Sohn Misserfolg auf der ganzen Linie hatte. Da muss man aktiv gegensteuern. Entweder hat der Typ bislang selbst nur Glück gehabt - oder er hat die Auswirkungen nicht entdeckt, weil unendlich blöd - oder er hat deinen Sohn blind ins Verderben geschickt. Einfache Sache, von solchen "Freunden" sollte man etwas Abstand nehmen und auch zukünftigen als auch bisherigen Datentausch ganz kritisch beäugen. Sollte der Typ ganz dreist oder blöd rüberkommen, könnte man ihn sogar vor die Wahl stellen, entweder die Klappe zu halten oder als Anstifter zu einer Straftat hinzustellen (siehe oben). Mit dem Zusatz, dass er wahrscheinlich selbst zu blöd ist und sein Rechner auch kompromittiert wäre und damit als Datenquelle untragbar. Das zeigt auch Wirkung bei anderen "ne komm lass stecken, da ist bestimmt ein Virus mit drin, von deinem Rechner" (Stichwort USB-Stick, mal eben anstöpseln und kopieren)

Früher war es leichter, sich mit dieser Thematik auseinanderzusetzen, heute stecken etliche finanzielle Interessen dahinter, wie in deinem Beispiel, für den Aufruf der unerwünschten Seite gibt es nämlich Geld, vom Seitenbetreiber an den, der diese Malware geschrieben hat.


Um deinen Seitenhieb Appel gegen Microsoft anzusprechen, ne, auch Apple hat diverse Lücken und Malware/Adware ist auch auf solchen Systemen möglich und machbar. Es gibt auch Adware-Sucher für Macces ;)
Nur weil MacOs seltener betroffen ist als Windows ist das dünnes Eis.:p


Einen Rat an euch - wenn ihr mal wieder eine Software benötigen solltet:
Hier im Forum fragen, auch nach Alternativen!

Es hat auch eine gut geführte Download-Sektion:
Software-Vorstellungen

MfG
 
Hallo Bernd.

Ich stimme dir in fast allen Punkten voll zu.
Ich habe mit meinem Sohn (16 J.) die klare Abmachung, dass es keine illegalen Downloads bei uns im Hause gibt. Das was wir benötigen kaufen wir ! Das sind keine Vermögen.

Die Konsequenz für ihn ist jetzt eine Pause. Der Computer steht für vier Wochen. Da gab es auch keine große Gegenwehr . Es ist ihm peinlich, weil er sich nicht an die Regel gehalten hatte.
Wie bereites erwähnt, sagte er, dass er diese diese Software auch garnicht benötigt. Ich sortiere das malen als "mal ausprobieren" ein.
Die Konsequenzen sieht / erlebt er jetzt. Seine seit Monaten geplanten Geburtstags Spiele (Minecraft) LAN Party mit seinen Kumpels heute Abend bei uns zuhause mußte er heute absagen - Rechner steht ja vier Wochen. Meine Zeit bezahlt er jetzt damit zurück das er 4x mein Auto waschen darf. Ist gerade beim Autowaschen. :)

Anstifter, die ihm den Floh ins Ohr gesetzt haben gibt es nicht ! War seine Idee.

Aber ich habe gestern Abend in GDATA Protokollen gefunden, dass GDATA ihn MEHRFACH eindeutig gewarnt hat. Mehrfach vor Phishing und 2 x wurde die Datei, die er gedownloadet hatte als Virus entlarvt und von GDATA gemeldet.
Der Gier, etwas verbotenes zu tun, muß unendlich groß gewesen sein - völliger Blackout.:eek:

Die Sache mit der Systemwiederherstellung...
Ich habe da auch schon mal vor einigen Monaten ein wenig gesucht und nichts gefunden. Ich, als absoluter Laie (!) habe die Vermutung, dass seine erste SSD, die er als C: Laufwerk hatte, mit 128 GB zu klein war. Obwohl er Spiele und Daten hauptsächlich auf der zusätzlichen 1 TB großen Zusatzfestplatte gespeichert hat, wurde die SSD immer voller. Vielleicht hat sich Windows da irgendwann einmal aufgehangen/festgefahren !?
Die 128 GB grosse SSD wurde deshalb vor einem halben Jahr gegen eine 465 GB große SSD getauscht.

Hat jemand eine Idee, woran es liegen könnte.

Ich habe zu Zeiten, als ich auch noch einen Windows Rechner hatte niemals so schnell ein Problem gelöst wie hier in diesem Fall. Es waren echt super Tips die super schnell zu einer Lösung geführt hatten. Echt toll !!

Ich nur ein Computer Nutzer und bin froh wenn er läuft. Ich bastel da nicht dran rum oder probiere irgendwelche Sachen aus. Lange Arbeitstage und Familie - da muß man Prioritäten setzen.

Und den Umstieg auf Apple vor knapp zwei Jahren habe ich bisher wirklich nicht bereut. Ich habe Apple Care Plus erst einmal benötigt (letzten Monat), als ich ein Problem mit meinen Mail Accounts in Apple Mail hatte. Da hatte ich selbst etwas rumgeschraubt und "verschlimmbessert" ! Ein Anruf - 20 Minuten online Hilfe, und alles war wieder gut.

Die Bedienung / Tastatur ist gewöhnungsbedürftig, da ich im Büro mit Windows arbeite. Und dort mit Excel. Excel auf dem Mac ist "wie mit einer chinesischen Tastatur arbeiten". Hölle.
Aber ansonsten - super - MacBook aufklappen, ist sofort da - Passwort eintippen und loslegen. Keine dauernden Updates wie bei Windows. Keine Probleme, wo man dann in Foren nach Lösungen / Hilfe sucht.
Sicher ist ein Mac nicht sicher. Aber wenn man nicht auf irgendwelchen exotischen Seiten herumsurft und irgendwo irgendwelche wilden Sachen runterlädt sollte das Risiko nicht so groß sein - ich bin da entspannt.

Aber um das klarzustellen - ich zeige nicht mit dem Finger auf Andere. Jeder soll machen was er will. Ich kann auch nachvollziehen, dass nicht jeder bereit ist die Apple Horrorpreise zu zahlen.

LG Andreas
 
Bleibt nur die Frage offen, welches Adobe Programm Ihr denn sucht ? Vielleicht gibt es kostenlose Alternativen.
Vier Wochen finde ich etwas stark, das kann jedem passieren. Aber das Auto ist wenigstens Sauber. :ROFLMAO:
 
...er braucht kein Adope Photshop ! Vor allem nicht die kommenden 4 Wochen ;)
...so...ich versuche jetzt die Protokolle mit hochzuladen..mal schauen, ob ich es hinbekomme...
...hat geklappt !! :)
Kann jemand beurteilen, was es war und ob diese Aktion genügt ? Oder ob man den schweren und steinigen weg der Neuinstallation doch noch gehen muß !?
 

Anhänge

  • 1.Meldung G DATA Protokoll IDGDATA 17.9.2016.txt
    113 Bytes · Aufrufe: 232
  • 2.Meldung G DATA Protokoll ID 3699_26.09.2016.txt
    125 Bytes · Aufrufe: 178
  • 3.Meldung - gestern - G DATA Protokoll ID 3723_30.09.2016_versuch CHIP download AntiMalware.txt
    362 Bytes · Aufrufe: 438
  • 1.Schritt_Protokoll Malwarebytes Anti-Malware.txt
    17,7 KB · Aufrufe: 249
  • 2.Schritt_Protokoll AdwCleaner[C0]nach neustart.txt
    4,8 KB · Aufrufe: 250
  • 3.Schritt_Protokoll JRT.txt
    13,1 KB · Aufrufe: 226
  • 3.Schritt_Fehlermeldung JRT.JPG
    3.Schritt_Fehlermeldung JRT.JPG
    59,3 KB · Aufrufe: 150
Die Auslegung der Strafe ist euer Bier, alelrdings wird auch er irgendwann feststellen, dass 4 Wochen jetzt sehr lang sind, wenn er später arbeiten geht, ist es sehr kurz. Zumindestens ich werde im Oktober so gut wie nicht davor sitzen, sondern 100km weiter und nur am Wochenende. :rolleyes:
Man könnte aber auch argumentieren, dass schlimmeres passieren hätte können, bis hin zum Identitäts-Diebstahl durch das Ausspähen, von Email-Passwörter etc Bankdaten (falls vorhanden), worst case wäre ein Verschlüsselungstrojaner gewesen. Dein Sohn ist aber alles andere als dumm - nur extrem unerfahren mit dieser Materie - immerhin hat er Gdata überwinden können - deswegen auch nochmal die Bitte an dich, sein Konto als Benutzer zurückzustufen und entsprechende Sicherheitseinstellungen ebenfalls mit Kennwort zu belegen (zB Gdata-Einstellungen).

Zusätzlich möglich (Lesestoff):
http://www.drwindows.de/programme-tools/117294-welcher-virenscanner-gut.html
und
http://www.drwindows.de/windows-sonstige/117586-alle-dateien-verschluesselt.html#post1247646

Windows 7 und Family Safety
https://dads-finest.de/2014/09/einrichten-von-family-safety-windows-7/

Vielleicht auch über sowas hier nachdenken (altersabhängig):
Salfeld Kindersicherung 2015/2016: Kinder sicher am PC

Unbedingt ist aber Aufklärung wichtig, also das, was ich eingangs zu Identitätsdiebstahl, Passwörter (Email/Foren) etc. Und eben das, was Ponderosa meint: was ist eigentlich gewünscht, geht das auch anders? Der offene Dialog sollte gesucht werden, digitale Aufklärung, obwohl dein Sohn eher zu den "digital Natives" gehört, die blind mit einem Smartphone umgehen können, aber am PC setzt es dann eher aus ;)

Apropos Minecraft - dürfte nicht Steam sein, aber Steam-Konten gehören absolut zum Interesse von Malware-schreibern, da kann man abgreifen ggf mehr Blödsinn betreiben, dito Ebay. Ob ihm das bewusst war, dass er sein Spiel/seine Spiele damit riskiert hat? ;)

MfG

PS zu deinen Protokollen - das hier ist/war gefährlich
PUP.Optional.AutoConfigURL.PrxySvrRST, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\NLASVC\PARAMETERS\INTERNET\MANUALPROXIES,
Hijack.AutoConfigURL.PrxySvrRST, HKU\S-1-5-21-2788775203-2796986344-768898665-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|AutoConfigUrl,
Damit werden alle Anfragen über einen unsicheren Proxy geführt zum Abgreifen von relevanten Daten oder Kennwörter. Ihr solltet auf jeden Fall zwingend alle Passwörter ändern, egal wo.

JRT hat IMO auch was im Firefox-Profil gefunden "user_pref" kenn ich nur von dort, evtl ist es ratsam, Firefox zurückzusetzen
https://support.mozilla.org/de/kb/firefox-restaurieren-einstellungen-und-addons-zuruecksetzen

AdwCleaner hat noch unsaubere Verknüpfungen beim IE gefunden
Verknüpfung desinfiziert
Das bedeutet, dass beim Aufruf des IE (und evtl sogar Firefox) gleich eine Webseite mitgeladen wird, vllt sogar mehr, sprich ein Exploit-Kit, weil auch ein entsprechender Proxy gesetzt wurde (siehe oben).

Das wären für mich ausreichend Gründe, das System kritisch zu betrachten, sogar eher neu aufzusetzen, wer weiss, was da noch modifiziert wurde, was nicht gefunden wurde. Die Wahrscheinlichkeit ist leider vorhanden.
 
Anzeige
Oben