Qone8

Zerberoff

Ich hab mir durch einen Download eines Adons das lästige Qone8 eingefangen und jetzt erscheint bei jedem Browserstart http://start.qone8.com/newtab/?type=n…_S23TJX0B301344
Auf der Festplatte hab ichs mitlerweile wegbekommen durch malewarebyte aber im browser noch nicht.
Bei Chrome half eine Deinstallation bei FF bislang nicht, hab aber noch keine Komplett Deinstallation gemacht.
W7 HP 32bit FF24

Boersenfeger

Benutze AdwCleaner [Blockierte Grafik: http://i39.tinypic.com/s1kgb4.png] nach dieser Anleitung http://nurpaste.de/mit_adwcleaner3_suchen
Poste den in der Anleitung erwähnten Link oder den Inhalt des Logfiles in der Klammer CODE in deiner nächsten Antwort.

[Blockierte Grafik: http://i44.tinypic.com/21jx9qp.jpg]

Damit dies nicht wieder geschieht, lade Software nur beim jeweiligen Hersteller und installiere dann benutzerdefiniert, hierbei genau lesen, dann kannst du solche Mitbringsel in der Regel abwählen...
Vielleicht auch noch interessant: Sicherheitskonzept für Windowsnutzer

Zerberoff

Code

# AdwCleaner v3.010 - Bericht erstellt am 22/10/2013 um 12:36:19
# Updated 20/10/2013 von Xplode
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (32 bits)
# Gestartet von : C:\Users\Mikey\Desktop\AdwCleaner.exe
# Option : Suchen


***** [ Dienste ] *****




***** [ Dateien / Ordner ] *****


Datei Gefunden : C:\Users\Mikey\AppData\Roaming\Mozilla\Firefox\Profiles\2o36qgmd.default\foxydeal.sqlite
Datei Gefunden : C:\Users\Mikey\AppData\Roaming\Mozilla\Firefox\Profiles\2o36qgmd.default\user.js
Ordner Gefunden C:\Program Files\Ask.com
Ordner Gefunden C:\ProgramData\eSafe
Ordner Gefunden C:\Users\Mikey\AppData\Local\DownloadGuide


***** [ Verknüpfungen ] *****


Verknüpfung Gefunden : C:\Users\Mikey\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk ( hxxp://start.qone8.com/?type=sc&ts=1382345796&from=amt&uid=SAMSUNGXHM641JI_S23TJX0B301344 )
Verknüpfung Gefunden : C:\Users\Mikey\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk ( hxxp://start.qone8.com/?type=sc&ts=1382345796&from=amt&uid=SAMSUNGXHM641JI_S23TJX0B301344 )
Verknüpfung Gefunden : C:\Users\Mikey\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk ( hxxp://start.qone8.com/?type=sc&ts=1382345796&from=amt&uid=SAMSUNGXHM641JI_S23TJX0B301344 )
Verknüpfung Gefunden : C:\Users\Mikey\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk ( hxxp://start.qone8.com/?type=sc&ts=1382345796&from=amt&uid=SAMSUNGXHM641JI_S23TJX0B301344 )


***** [ Registrierungsdatenbank ] *****


Daten Gefunden : HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command [(Default)] - C:\Program Files\Internet Explorer\iexplore.exe hxxp://start.qone8.com/?type=sc&ts=1382345796&from=amt&uid=SAMSUNGXHM641JI_S23TJX0B301344
Schlüssel Gefunden : HKCU\Software\AppDataLow\Software\Crossrider
Schlüssel Gefunden : HKCU\Software\InstalledThirdPartyPrograms
Schlüssel Gefunden : HKCU\Software\lollipop
Schlüssel Gefunden : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Schlüssel Gefunden : HKCU\Software\OCS
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{058F0E48-61CA-4964-9FBA-1978A1BB060D}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{18F33C35-8EF2-40D7-8BA4-932B0121B472}
Schlüssel Gefunden : HKLM\SOFTWARE\Google\Chrome\Extensions\cekcjpgehmohobmdiikfnopibipmgnml
Schlüssel Gefunden : HKLM\Software\InstalledThirdPartyPrograms
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Tracing\apnstub_RASAPI32
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Tracing\apnstub_RASMANCS
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Tracing\askpartnercobrandingtool_rasapi32
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Tracing\askpartnercobrandingtool_rasmancs
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Tracing\AskSLib_RASAPI32
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Tracing\AskSLib_RASMANCS
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Tracing\TaskScheduler_RASAPI32
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Tracing\TaskScheduler_RASMANCS
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{EF99BD32-C1FB-11D2-892F-0090271D4F88}
Schlüssel Gefunden : HKLM\Software\qone8Software
Schlüssel Gefunden : HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WsysSvc
Wert Gefunden : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]


***** [ Browser ] *****


-\\ Internet Explorer v10.0.9200.16720


Einstellung Gefunden : HKCU\Software\Microsoft\Internet Explorer\Main [Default_Page_URL] - hxxp://start.qone8.com/?type=hp&ts=1382345796&from=amt&uid=SAMSUNGXHM641JI_S23TJX0B301344
Einstellung Gefunden : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Page_URL] - hxxp://start.qone8.com/?type=hp&ts=1382345796&from=amt&uid=SAMSUNGXHM641JI_S23TJX0B301344
Einstellung Gefunden : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Start Page] - hxxp://start.qone8.com/?type=hp&ts=1382345796&from=amt&uid=SAMSUNGXHM641JI_S23TJX0B301344


-\\ Mozilla Firefox v24.0 (de)


[ Datei : C:\Users\Mikey\AppData\Roaming\Mozilla\Firefox\Profiles\2o36qgmd.default\prefs.js ]


Zeile gefunden : user_pref("browser.newtab.url", "hxxp://start.qone8.com/newtab/?type=nt&ts=1382345796&from=amt&uid=SAMSUNGXHM641JI_S23TJX0B301344");
Zeile gefunden : user_pref("extensions.crossrider.bic", "141da3b571a41c00c732beb3fc6d08e3");


-\\ Google Chrome v30.0.1599.101


[ Datei : C:\Users\Mikey\AppData\Local\Google\Chrome\User Data\Default\preferences ]




*************************


AdwCleaner[R0].txt - [5249 octets] - [22/10/2013 12:36:19]

Alles anzeigen

Ich wollte Eigentlich den Bericht als PDF hochladen ist aber leider nicht Erlaubt.
Hab auf löschen geklickt und alles Sauber danke für die Hilfe. Jetzt muß ich nur noch die Miniaturansichten wieder neu Speichern

Zitronella

Zitat von Zerberoff

Ich wollte Eigentlich den Bericht als PDF hochladen ist aber leider nicht Erlaubt

und auch nicht nötig, so ist es viel besser.

nun mache folgendes
● wenn AdwCleaner noch gestartet ist dann klicke nun auf "Löschen" (falls nicht gestartet, dann starte ihn erneut und drücke dann auf "Löschen"). Danach wird dein Rechner neu gestartet. Lasse dies zu.
Berichte dann wieder.

Bernd.

PDF, DOC/DOCX und andere Office-Formate, die mit Malware bestückt sein könnten, von einem kompromittiertem Rechner laden ist absolutes NO-GO, geht gar nicht.