System Trojaner, Adware, Spyware oder Virus problem!

[Chrisx2]

Hallo liebes DrWindows Forum,

habe ein richtig großes Problem. Habe Programme wie "Mypcbackup" oder Mystartsearch dir sich alle paar minuten/stunden
neu im hintergrund heimlich installieren. Habe soviel schon gemacht. kaspersky drüber laufen
lassen, Adwcleaner und noch mehr programme. Er kommt immer wieder.. was soll ich tuen? l

 

[frankyLE]

Hier habe ich was dazu gefunden:

MyPC Backup Virus entfernen ? so geht?s - CHIP

Hast du auch Malewarebytes verwendet?

http://www.drwindows.de/viren-and-trojaner/50210-malwarebytes-anti-malware.html

 

[0815_neu]

Ich schlage vor wichtige Daten und Lizenzen sichern und das System neu aufsetzen. Eine aktuelle Iso kannst du bei Bedarf hier bekommen: http://www.drwindows.de/windows-7-allgemein/15623-hilfe-ich-brauche-eine-windows-7-dvd-508.html Wenn du Hilfe bei der Treibersuche benötigst brauchen wir von Dir bitte ein paar weitere Angaben zur Hardware.

 

[Jonn]

Du kannst auch,wenn du hast,ein sauberes Backup zurück spielen oder als letztes Mittel neu aufsetzen,Vorher kann man auch noch von einer Live-CD booten und versuchen das BS sauber zu kriegen

Edit// 0815_neu war eher

 

[DietmarG]

Diese Anleitung auf Youtube könntest du auch probieren:

 

[Linkx2]

Ich bin Chrisx2, der Account will sich nicht anmelden. Naya habe den post oben via Mobil geschrieben und nun schonmal danke für die schnellen Antworten. Hier ein Bild von den 5 Programmen die sich installieren....


Malwarebytes hatte ich schon durchlaufen lassen.. nichts gebracht.

 

[jens aus B]

lass mal den ADWCleaner drüberlaufen - der entfernt viele dieser blöden Software und Toolbars die gerne das System "verbiegen" in einem Rutsch

http://www.drwindows.de/windows-anl...-toolbars-browser-hijacker-unerwuenschte.html

gruß

 

[Linkx2]

Habe das schonmal versucht, 2x bisher vom ADwcleaner scannen und löschen lassen, habe seit na guten Stunde ruhe, aber gleich wird mein Browser sich wieder schließen und wieder einige von den Programmen installiert. Aber wenn ich doch das System neu aufsetze und ich paar sachen wie von Photoshop oder Sonstiges abspeicher (Bilder, Musik), ist doch auch schwachsinn wenn da irgendwo der Virus drin ist, hol ich den ja mit ins neue System... Ach das ist doch alles Misst. Die Programme sind ja auch noch gefährlich oder?

 

[jens aus B]

also wenn es NACH Malwarebytes UND Adwcleaner immer noch so ist würde ich das System platt machen ... Bilder und Daten eben extern sichern und los

ich hatte letztens allerdings mal den Fall, dass sich da was als AddOn in den Firefox gesetzt hatte ... das fand der ADW auch nicht ... musste ich dann händisch wegputzen

gruß

 

[Linkx2]

Hatte gestern Abend den ADWcleaner drüber laufen lassen über die Nacht haben sich die Programme wieder installiert. (Die 5 die oben auf den Bild sind) und jetzt heut morgen habe ich die alle mit den ADWcleaner entfernen lassen, seitdem habe ich Ruhe. Nur hab Angst das das jetzt gleich wieder passiert..

 

[Linkx2]

Vor 3 Minuten hat er wieder alles installiert. "Mystartsearch" etc. 4-5 Programme sind es. Optimize Pro, MyPCBACKUP, Hquality-v1.xxxx
und noch so en Teil. Habe dann direkt in den Task Manager geschaut, dort war auf einmal auch so ne "EXE" die hieß ganz komisch "Boyingupdate" oder so und dann als beschreibung "Japanische Schriftzeichen". Oh man, jetzt die Frage wenn ich den PC neu aufsetzen möchte und manche Daten wie das Profil von Firefox oder Bilder, Musik, Videos auf einen externen Speicher draufspiele, die dann nach der Systemaufsetzung wieder auf den PC tue, kann es sein das ich den Virus mit etwas Pech mit rüberziehe???

 

[jens aus B]

kann es eventuell sein, dass du immer zum entsprechenden Zeitpunkt auf einer!! bestimmten Webseite unterwegs bist? nicht dass da irgendwo nen drive-by-download startet und den Mist installiert?

oder du hast eben in der letzten Zeit IRGENDEINE zwielichtige Software installiert die der ADW nicht kennt und die dann eben die entsprechende Software wieder nachläd

mit etwas Pech ja .... aber ich denke trotzdem, dass es irgend ne versteckte MalWare / ScareWare / AdWare ist und kein Virus
ich würd den Rechner platt machen

gruß

 

[frankyLE]

Versuch doch mal im Explorer mit über Ansicht > Geschützte Systemdateien ausblenden deaktivieren > diese Datei zu suchen.
Dateiname evtl. nur die ersten Buchstaben wenn nicht genau bekannt. Bei einem Fund würde ich diese mal auf xxx.xxx.old umbenennen und warten was passiert. Manchmal hilft dann auch manuelles löschen.
Außerdem, wenn du dich etwas mit der Registry auskennst, den Namen dort suchen, Schlüssel sichern und löschen. Ich bin kein Plattmacher und suche bis ich den Fehler gefunden habe - mein Hobby.

 

[Shiran]

Vor 3 Minuten hat er wieder alles installiert. "Mystartsearch" etc. 4-5 Programme sind es. Optimize Pro, MyPCBACKUP, Hquality-v1.xxxx
und noch so en Teil. Habe dann direkt in den Task Manager geschaut, dort war auf einmal auch so ne "EXE" die hieß ganz komisch "Boyingupdate" oder so und dann als beschreibung "Japanische Schriftzeichen".

Gehe so vor : Fange mit dem Revouninstaller an!!
MalewareBytes laufen lassen ,Neu Booten > Adwarecleaner > Booten > CCleaner in den Autostart schauen,(FF-IE-sonstiges) dort alles entfernen,Booten und wieder diese Schritte vollziehen..!! BROWSER geschlossen halten!!
Auf dem Desktop die Eigenschaften der Programme (IE+FF)anschauen,hinter ZIEL+Ausführen-..IE...Firefox.exe - darf NICHTS mehr stehen!!Bei Bedarf öfters kontrollieren!!
Programme mit dem REVOUninstaller löschen,aber NICHT die Routine des Uninstallers des zu Löschenden Programms nehmen.Das siehst Du wenn Du REVO.. ausführst!!

Startseite im IE+FF auf "Blank"setzen! Kontrolle!!
Explorer : Entsprechende Ordner LÖSCHEN!!
Genauso unter ALLEN Benutzern....Dokumente+Eigenschaften alle unerwünschten Werte löschen!!
Bei jeden Durchlauf dann im Ccleaner Registry säubern!!
Viel Glück!

 

[Linkx2]

Shiran: Danke für deine Antwort, werde das bevor ich Ihn platt mache natürlich ausprobieren.
Was meinst du mit den CCleaner Autostart? Und danach nochmal die ganzen Schritte machen?
Verstehe manche Schritte nicht ganz, kenn ich mich zwar ein wenig aus, aber das jetzt irgendwie für mich bisschen kompliziert.
Also was muss ich mit den Desktop und den Eigenschaften anschauen?!?! Und was heißt auf "Blank" setzen?
Und wo mache ich das mit den Explorer? Ich weiß hört sich doof an, aber bin darin noch nicht so fit. Auch wenn ich schon so vieles entfernen konnte. Und bei welchen durchläufen soll ich vom Ccleaner die Registry säubern?

Habe dazu jetzt eben ein LETSPLAY aufgenommen für Youtube. Dabei habe ich den Bildschirm aufgenommen, genau dann geschieht es wie die Teile installiert werden. Habe im Taskmanager ".exe" Dateien gefunden die gerade was am machen waren ich mach mal ein Bild rein. Das passt genau für die jeweiligen Programmanzahl. Die wurden mir auch oft angezeigt das das Programm unerwünscht wäre, z.b Setup_xxxx.exe.

 

[Shiran]

Hallo @Linkx2

Was meinst du mit den CCleaner Autostart? Und danach nochmal die ganzen Schritte machen?

Das hier mit dem Ccleaner : = Win,IE,FF,usw.!
Ganzen Schritte : Vielleicht 2-3mal durchführen!! Bis NICHTS mehr von den Unerwünschten Programmen vorhanden ist!!

ich mit den Desktop und den Eigenschaften anschauen?

Dieses : !!

was heißt auf "Blank" setzen?

Das : Das KEINE STARTSEITE eingetragen ist!!

Und bei welchen durchläufen soll ich vom Ccleaner die Registry säubern?

Vor jedem NEU_Booten!!

Nachtrag!! Diese Datei : IAStorIcon.exe *32 gehört zum System (INTEL)!!!

 

[Rheinhold]

Diese Bedrohungen graben sich tief in`s System ein.
Und laden immer was nach, bekommst du meist nie ganz raus aus dem PC.
Die sicherste Lösung ist Format C:\ und das einspielen eines Systemabbildes oder Backups von Laufwerk C:\
Was macht einen Prozess verdächtig?:
Ein unbekannter Prozess mit kryptischem Dateinamen und hoher dauerhafter Auslastung des Prozessors kann schon als verdächtig eingestuft werden.
Kann man schön hiermit sehen was da alles läuft an Prozessen:
Process Explorer
Ist hier beschrieben wie es weitergeht:
Anleitung: So befreit ihr Windows von Schadsoftware | Aufschnur

 

[Linkx2]

Problem gelöst! Habe es vorgestern Abend gelöst, habe extra was abgewartet aber es hat tatsächlich geklappt.
Habe mit "CCleaner" "Malwarebytes" "Adwcleaner" und "Kaspersky" gearbeitet.

Habe mich mal ein wenig umgeschaut, was denn von den jeweiligen Programmen die ja den PC säubern alles überhaupt wegmachen.
Dabei wurde nie die Erweiterungen von Firefox gereinigt. Diese konnte ich nicht über Firefox entfernen. Dann habe ich gedacht, Shiran sagte mir ich soll beim CCleaner mal gucken was beim Systemstart und so läuft bzw so in die Richtung. Dann bin ich beim CCleaner in die Kategorie "Autostart" gegangen dann auf Windows da geguckt, was sind verdächtigte Programme die immer vom Virenprogramm angezeigt wurde und angeblich komplett entfernt wurden, die immer bzw beim Systemstart angehen, danach habe ich mir gedacht guck ich mal Kategorie Firefox an und da hatte ich dann eine Erweiterung die mir nie aufgefallen ist. Die nennt sich "Download Protect 1.0" diese Erweiterung lief auch immer wenn sich Sachen installiert haben, man konnte es zwar auf Firefox deaktivieren, aber sobald man Firefox wieder neu öffnet war es aktiviert. Hat sich also sozusagen nicht ausstellen lassen, dann suchte ich bevor ich überhaupt was mit Download Protect 1.0 anfange auf Google was das überhaupt ist. Da fand ich das es ein Bowser-Hijhacker oder wie sich die Dinger da nennen ist. Dann stand dabei auch das dieses auch automatisch freewares runterlädt. Dann war mir bewusst das muss es sein, weil es nicht entfernt wurde. Danach natürlich 5 mal jedes Programm laufen lassen wie CCleaner, Malwarebytes und ADwcleaner. Bis heute findet er keine komisch ".exe" dateien mehr nichts mehr. Seit 2 Tagen Ruhe. PC läuft einwandfrei und das Problem war gelöst.

Ihr seit jetzt bestimmt der Meinung das ich den PC trotzdem Platt machen soll um wirklich alles zu beseitigen, aber habe zwar schon ne Datensicherung gemacht (photoshop etc) aber werde das jetzt erst einmal nicht tuen, da ich dafür keine Zeit habe momentan. Und habe natürlich als die Programme Deinstalliert worden sind, noch die programme Manuell mim Revo Uninstaller deinstalliert. Ja danach hatte dann auch der Kaspersky keine beschwerden mehr gehabt und alles läuft Rund.

Danke für eure lieben Tipps. Die Seite kann man immer gebrauchen wenn man so etwas hat.

 

[Alte Seele]

Linkx2..

Ändere aber vorsichtshalber noch mal alle Deine Passwörter / Login Daten.

Ich persönlich traue einem System nach einer Infektion halt nicht mehr.
Auch dann nicht, wenn mir Diverse AV-Tools mitteilen, das der Schadcode "erfolgreich" aus /vom System einfernt wurde, siehe bitte Spoiler.

Ausgeblendet

Gut möglich dass der ein oder andere Schadcode auch Wirklich einfernt wird aber meine Erfahrungen haben mir halt gezeigt, das es Früher oder Später doch zu Unerklärlichen Fehlern kommt, die sich dann auch nicht mehr beheben Lassen, und am Ende muss dann doch noch eine Neuinstallation durchgeführt werden*oder falls vorhanden, ein Sauberes Systemabbild / Backup eingespielt werden.

Anbei noch mal ein Zitat aus einem recht interessanten Artikel.

Sie können ein gefährdetes System auch nicht säubern, indem Sie einen Virenscanner verwenden. Um die Wahrheit zu sagen, einem vollständig kompromittierten System ist einfach nicht mehr zu trauen. Auch Virenscanner müssen sich an irgendeinem Punkt darauf verlassen können, dass die Rückmeldungen des Systems der Realität entsprechen. Und auf die Frage, ob eine bestimmte Datei vorhanden ist, antwortet der Angreifer ggf. einfach mit einem Tool, das falsche Tatsachen vorspiegelt.

Nur wenn Sie garantieren können, dass das System lediglich von einem bestimmten Virus oder Wurm befallen wurde, nur wenn Sie wissen, dass dieses Virus keine Hintertüren installiert hat, und nur wenn die von dem Virus verwendete Schwachstelle nicht von Remotestandorten aus genutzt werden kann, kann das System mit einem Virenscanner gesäubert werden.

Beispielsweise wird ein Großteil der E-Mail-Würmer erst aktiviert, wenn der Benutzer den infizierten Anhang öffnet. In diesem speziellen Fall ist es möglich, dass die Infektion des Systems ausschließlich von dem Anhang verursacht wurde, der den Wurm enthielt.

Wenn die von dem Wurm verwendete Schwachstelle allerdings ohne Zutun des Benutzers von einem Remotestandort aus genutzt werden konnte, können Sie nicht garantieren, dass diese nur von diesem speziellen Wurm genutzt wurde. In diesem Fall ist es durchaus möglich, dass die gleiche Schwachstellen bereits von jemand anderem genutzt wurden. Und dies bedeutet, dass es mit dem einfachen Patchen des Systems nicht getan ist.

Quelle:Jesper M. Johansson, Ph.D., CISSP, MCSE, MCP+I
Sicherheitsprogramm-Manager
Microsoft Corporation

Hier geht es dann zum vollständigen Artkiel:>>Weiterlesen

LG
A.S

Nachtrag:

Und ganz Wichtig ist, dass man nach einer Infektion alle seine Passwörter / Login-Daten erneuert..

 

[Linkx2]

Ja mache ich, werde mir neue Passwörter machen, die ich mir alle auf en Zettel schreibe hier für mich Zuhause und dann werde ich bald bei Zeit sowieso ein Backup/Recovery machen.