Popup-Blocker ohne Wirkung + Virus

Robat1 · Beitrag von **Robat1** » 16.08.2014, 09:54

Hallo Zusammen

es hat mich mal wieder erwischt.

Wolle gestern Kinox.to testen und da hat sich wohl was auf meinem Rechner installiert?
Ich hab dann mit Spybot und Registry Mechanic den Rechner bereinigt und von Hand noch paar mir fremde Progrämmchen gelöscht.
Auch irgend einen PC-Beschleuniger?

Nun werde werde ich ständig dazu aufgerufen folgende Software zu aktualisiern:
- Treiber
- Java
- Media-Player
- FLV Player
- PC Reparatur
- Systemwarnung
- usw. usw.

Java und Media-Player habe ich auch aktualisiert, aber nicht über die Popupfenster weil ich die für eine Virus halte.

Die Meldungen kommen trotzdem weiter.

Hab gestern Spybot und Registry Mechanic viele male gestartet und die 66 Funde gelöscht trotzdem finden sie heute wieder etwas und die Popups gehen weiter hin auf.

Aber auch die normalen Werbe-Popups die bisher einwandfrei von IE-Popup-Blocker verhindert wurden sind nun pausenlos am nerven.

Der IE-Popup-Blocker ist natürlich aktiv!
Den hab ich jetzt auch von Mittel auf Hoch umgestellt, trotzdem gehen die Werbe-Plops weiter.

AHHH, grad was ganz neues.
Meine Google-Startseite geht nicht mehr auf sondern eine weiße leere Seite.

Ich hänge mal ein paar Bildchen an:

Robert

Robat1 · Beitrag von **Robat1** » 16.08.2014, 09:57

Noch paar Bilder weil man ja nur 3 anhängen darf

Robat1 · Beitrag von **Robat1** » 16.08.2014, 10:07

Jürgen
schau auch mal am Pfeil welche Art von täuschender Werbung auf deiner eigenen Seite auftaucht ;-(

Robat1 · Beitrag von **Robat1** » 16.08.2014, 11:34

Hallo

hier die heutigen Funde von Spaybot im Anhang.
Die von Registry Mechanic hab ich leider nicht gespeichert.

Ich schau dann mal ob der nochmal was findet.
Aber bisher hat das alles nichts gebracht.

Wie werde ich bitte nun die den ganzen Popup-Mist wieder los wenn er von meinem Scannern nicht erwischt wird?????

Robert

Beitrag von **Lighty** » 16.08.2014, 16:34

Hallo Robert !

... zunächst einmal sorry, habe aktuell aber selber diverse Probleme !
http://www.lightys-pchilfe-forum.info/topic.php?id=8235

Bei dir sieht es auf jeden Fall nach einem Virus aus und ja - nie nicht auf Links, Banner oder PopUp klicken !

Kannst du ggf. mal HijackThis drüber laufen lassen !?
( das Log kannst du dann auch gerne hier einstellen )

Download bei Chip:
http://www.chip.de/downloads/HijackThis_13011934.html

Auswertung: ( falls du es selber auswerten möchtest )
http://www.hijackthis.de/de

Robat1 · Beitrag von **Robat1** » 16.08.2014, 17:15

Hallo Jürgen,

hab ich gemacht.
Das Ergebnis bzw. das Ergebnis Fenster wurde auch gleich unantastbar manipuliert. Erst nach dem ich das Snipping Tool gestartet hatte konnte ich im Ergebnis-Fenster irgendwas anklicken ohne Blockademeldung.

Meldung über Dateianhänge .... Sie dürfen diesen Dateityp nicht hochladen.
Als was soll ich das also vorher speichern?

...........

Hab .txt und Unicod drazs gemacht, nun gings.
Siehe Anhang

Robert

Beitrag von **Lighty** » 17.08.2014, 02:25

... ok, hier mal die Kurzauswertung !

[X] - MSIE: Internet Explorer v11.0 (11.00.9600.17239)
( Ihre Version (11.00.9600.17239) ist veraltet. Besuchen Sie Windowsupdate um Ihren Browser zu aktualisieren! )
[?] - C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe
( Dies ist ein unbekannter Prozess )
[?] - C:\Users\Robat1\AppData\Roaming\InetStat\inetstat.exe
[?] - C:\Program Files (x86)\ver8BlockAndSurf\BlockAndSurf.exe
( Dies ist ein unbekannter Prozess )
[?] - O2 - BHO: FileConverter 1.3 - {78e516ef-11de-47a1-8364-a99b917ec5ee} - C:\Program Files (x86)\FileConverter_1.3\prxtbFile.dll
( Nicht bekanntes Programm )
[?] - O2 - BHO: Searchqu Toolbar - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~2\WIA6EB~1\Datamngr\ToolBar\searchqudtx.dll
[?] - O2 - BHO: BlockAndSurf - {C14BC956-6392-BDFF-B421-3F3700F8B261} - C:\Program Files (x86)\ver8BlockAndSurf\177.dll
[N] - O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
( Nicht bekanntes Programm.
Unnötiger (unwirksamer) Eintrag der entfernt werden kann! Dieser Eintrag wurde von unseren Besuchern als schädlich eingestuft. )
[?] - O2 - BHO: ToggleMark - {dc59a866-959c-4638-a191-c13177d0bd68} - C:\Program Files (x86)\ToggleMark\ToggleMarkbho.dll
( Nicht bekanntes Programm )
[?] - O3 - Toolbar: FileConverter 1.3 Toolbar - {78e516ef-11de-47a1-8364-a99b917ec5ee} - C:\Program Files (x86)\FileConverter_1.3\prxtbFile.dll
( Nicht bekanntes Programm )
[?] - O3 - Toolbar: Searchqu Toolbar - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~2\WIA6EB~1\Datamngr\ToolBar\searchqudtx.dll
[N] - O3 - Toolbar: Avira SearchFree Toolbar plus Web Protection - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
( Nicht bekanntes Programm.
Unnötiger (unwirksamer) Eintrag der entfernt werden kann! )
[?] - O4 - HKLM\..\Run: [WSHelperSetup.exe] C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe
( Nicht bekanntes Programm )
[?] - O4 - HKLM\..\Run: [Wondershare Helper Compact.exe] C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe
( Nicht bekanntes Programm )
[?] - O4 - HKLM\..\Run: [BlockAndSurf] C:\Program Files (x86)\ver8BlockAndSurf\BlockAndSurf.exe
( Nicht bekanntes Programm )
[X] - O4 - HKLM\..\RunOnce: [upfst_de_140.exe] C:\Users\Robat1\AppData\Local\fst_de_140\upfst_de_140.exe -runonce
( Der Programmname scheint der gleiche zu sein, wie der Dateiname. Oft wird das von Trojanern herbeigeführt. Um ganz sicher zu sein, sollten Sie diese Datei hier überprüfen. )
[?] - O4 - HKCU\..\Run: [WSHelperSetup.exe] C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe
( Nicht bekanntes Programm )
[X] - O4 - HKCU\..\Run: [KiesPDLR.exe] C:\Program Files (x86)\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe Run
( Der Programmname scheint der gleiche zu sein, wie der Dateiname. Oft wird das von Trojanern herbeigeführt. Um ganz sicher zu sein, sollten Sie diese Datei hier überprüfen. )
[?] - O4 - HKCU\..\Run: [InetStat] C:\Users\Robat1\AppData\Roaming\InetStat\inetstat.exe
[?] - O4 - HKUS\S-1-5-21-2152893420-3607705034-1743391288-1001\..\Run: [KiesPDLR] C:\Program Files (x86)\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe (User '?')
( Nicht bekanntes Programm )
[?] - O4 - HKUS\S-1-5-21-2152893420-3607705034-1743391288-1001\..\Run: [WSHelperSetup.exe] C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe (User '?')
( Nicht bekanntes Programm )
[X] - O4 - HKUS\S-1-5-21-2152893420-3607705034-1743391288-1001\..\Run: [KiesPDLR.exe] C:\Program Files (x86)\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe Run (User '?')
( Der Programmname scheint der gleiche zu sein, wie der Dateiname. Oft wird das von Trojanern herbeigeführt. Um ganz sicher zu sein, sollten Sie diese Datei hier überprüfen. )
[?] - O4 - HKUS\S-1-5-21-2152893420-3607705034-1743391288-1001\..\Run: [InetStat] C:\Users\Robat1\AppData\Roaming\InetStat\inetstat.exe (User '?')
[?] - O4 - S-1-5-21-2152893420-3607705034-1743391288-1001 Startup: od4f2h2.lnk = C:\Windows\System32\rundll32.exe (User '?')
( Nicht bekanntes Programm )
[?] - O4 - S-1-5-21-2152893420-3607705034-1743391288-1001 Startup: Samsung Auto Backup Guage.lnk = ? (User '?')
( Nicht bekanntes Programm )
[?] - O4 - S-1-5-21-2152893420-3607705034-1743391288-1001 Startup: Samsung Auto Backup Real-Time Daemon.lnk = ? (User '?')
( Nicht bekanntes Programm )
[?] - O4 - S-1-5-21-2152893420-3607705034-1743391288-1001 Startup: Samsung Auto Backup Scheduler.lnk = ? (User '?')
( Nicht bekanntes Programm )
[?] - O4 - Startup: od4f2h2.lnk = C:\Windows\System32\rundll32.exe
[?] - O4 - Startup: Samsung Auto Backup Guage.lnk = ?
( Nicht bekanntes Programm.
Der Eintrag ist unnötig und kann entfernt werden! )
[?] - O4 - Startup: Samsung Auto Backup Real-Time Daemon.lnk = ?
( Nicht bekanntes Programm.
Der Eintrag ist unnötig und kann entfernt werden! )
[?] - O4 - Global Startup: CineForm Status.lnk = C:\Program Files (x86)\CineForm\Tools\GoProCineFormStatusViewer.exe
( Nicht bekanntes Programm )
[?] - O16 - DPF: {28B66320-9687-4B13-8757-36F901887AB5} (CanvasX Class) - h**p://www.lidl-fotos.de/ips-opdata/layout/lid ... anvasx.cab
( Prüfen ob Sie diese Seite kennen und ggf. fixen. Unbekannte ActiveX-Objekte, bzw. ActiveX-Objekte von unbekannten Seiten sollten mit HijackThis gefixt werden. Beinhaltet der Name des ActiveX-Objekts bzw. die angegebene URL Worte wie 'dialer', 'casino', 'free_plugin' etc, sollten diese unbedingt gefixt werden! )
[?] - O16 - DPF: {34DC6011-88B5-4EA9-BA7A-DC7B4F4437FE} (JordanUploader Class) - h**p://www.lidl-fotos.de/ips-opdata/layout/lid ... jordan.cab
( Prüfen ob Sie diese Seite kennen und ggf. fixen. Unbekannte ActiveX-Objekte, bzw. ActiveX-Objekte von unbekannten Seiten sollten mit HijackThis gefixt werden. Beinhaltet der Name des ActiveX-Objekts bzw. die angegebene URL Worte wie 'dialer', 'casino', 'free_plugin' etc, sollten diese unbedingt gefixt werden! )
[X] - O23 - Service: IePlugin Services (IePluginServices) - Cherished Technololgy LIMITED - C:\ProgramData\IePluginServices\PluginService.exe
( Unbekannter Dienst. (PluginService.exe) Dieser Eintrag wurde von unseren Besuchern als schädlich eingestuft. )
[?] - O23 - Service: VO Service component (servervo) - Unknown owner - C:\Users\Robat1\AppData\Roaming\VOPackage\VOsrv.exe (file missing)
[?] - O23 - Service: Update ToggleMark - Unknown owner - C:\Program Files (x86)\ToggleMark\updateToggleMark.exe
( Unbekannter Dienst. (updateToggleMark.exe) )
[?] - O23 - Service: Util ToggleMark - Unknown owner - C:\Program Files (x86)\ToggleMark\bin\utilToggleMark.exe
( Unbekannter Dienst. (utilToggleMark.exe) )

Robat1 · Beitrag von **Robat1** » 17.08.2014, 10:18

Hallo Jürgen

aha!
Danke erst mal!!!

Ich bin ja ein Ahnungsloser ignoranter Anwender und weis jetzt noch nicht wie ich da nun eingreifen soll.

Jedenfalls hab ich nun versucht der IE11 von der Chip-Seite zu installieren, wobei die Microsoft-Seite behauptet ich verwende die aktuellste Version.

Jedenfalls bricht die Installation ganz kurz vor Ende ab.
Auch wegen der schlechten Beurteilungen von IE11 hab ich dann den IE10 versucht.
Kommt die selbe Meldung dass die Instal. nicht vollständig abgeschlossen wurde.

Im Grunde bedeutet das dass IE10 aktueller als IE11 sein soll, was ja wohl nicht stimmen kann!?!?!?!?

Mit dem Rest der Auswertung kann ich ehrlich gesagt noch weniger anfangen.

Robert

Beitrag von **Lighty** » 17.08.2014, 12:46

... mmmh !?
Nun ja, so lange das was im Argen ist, kannst du dem System eh nichts glauben !?

Bei der Auswertung habe ich die wichtigsten Informationen schon fett markiert !
[x] - sollte gefixt werden
[?] - nicht sicher - muss geprüft werden
Beispiel:
Wenn du Samsung Kies verwendest kannst du das so lassen !
Verwendest du es nicht und es wurde "fremd" installiert - fixen
[N] - unbekannt
( es gibt Programme die "unbekannt" sind - sollten dir die Programme bekannt sein - so lassen, ansonsten fixen )

... mmmh !?
Hatte hier auch schon mal eine Anleitung hinterlegt - scheint aber nicht da zu sein !?

.... ich schau mal wo die geblieben ist !

AranankA · Beitrag von **AranankA** » 17.08.2014, 15:27

Kinox.to.... tzzzz......

HighjackThis ist nicht mehr das Werkzeug. Nimm ADWCleaner. Aber nur von diesem Link!!! Das Programm steht im Mittelpunkt von Fakes und installiert dann genau dass, was es entfernen soll.

Einfach laufen lassen und ohne Kontrolle auf Löschen klicken. Es kann nichts passieren, was etwas verschlimmern könnte! Danach startet der Rechner neu. Nochmals laufen lassen (kann bis zu 3 mal notwendig sein.

Dann müsste alles wieder fein sein. Bitte melden!

P.S.: Nach jedem Neustart öffnet sich automatisch eine Textdatei mit dem Löschlog. Erst wenn diese Protokolldatei keine Funde mehr meldet, dann ist der Rechner soweit i.O.
Anschließend mal noch mit einem Antivirenprogramm (ich empfehle avast! Antivirus; auch sehr gut für Smartphone & Co.!) die Bootsektoren durchforsten lassen!

Robat1 · Beitrag von **Robat1** » 19.08.2014, 07:41

Hi

Ich danke Euch.
Also ich habs mit dem ADW Cleaner versucht und es scheint fast alles beseitigt zu sein.
Ein Restfragment spring beim Starten noch auf aber das kann man nich löschen. Ich habs dann umbenannt aber das hat auch nichts gebracht. Adminrechte sind dem auch wurscht.

Robert

Beitrag von **Lighty** » 19.08.2014, 11:21

Hallo Robert !

Hört sich doch gut an !

Was ist denn das Restfragment !?

AranankA · Beitrag von **AranankA** » 19.08.2014, 13:06

Was ist denn das Restfragment!?

Würde mich auch mal interessieren. Bietet das Antivirenprogramm eine Browserbereinigung? avast! hat dazu ein Browser Cleanup mit dem auch lästigste Toolbars entfernt werden können.

Robat1 · Beitrag von **Robat1** » 19.08.2014, 13:20

Hi Jürgen.

Ich muss mal nachsehen ob ich das nicht irgendwo notiert habe wie die Datei vorher hies.
Dachte wenn ich den Namen änder läßt es sich vielleicht löschen. Leider ein Irrtum.

Sehr schade ist dass der ADWcleaner auf den Notebook meiner Freundin nicht läuft denn das ist chronisch verseucht

ADW stürzt dort aber immer nach 10Sek. Ab.

Robert

Beitrag von **Lighty** » 19.08.2014, 13:44

Robat1 hat geschrieben:Ich muss mal nachsehen ob ich das nicht irgendwo notiert habe wie die Datei vorher hies.
Dachte wenn ich den Namen änder läßt es sich vielleicht löschen. Leider ein Irrtum.

... nun ja, das umbenennen, ändert ja den Inhalt der Datei nicht !?
Der bleibt also weiterhin aktiv !

Sehr schade ist dass der ADWcleaner auf den Notebook meiner Freundin nicht läuft denn das ist chronisch verseucht
ADW stürzt dort aber immer nach 10Sek. Ab.

... versuch da doch mal "Spybot S&D" !