Hallo,
ich habe mir diese Suchmaschine awesomehp eingefangen. Konnte den Trojaner, der sie eingeschleust hat entfernen mit avira. Firefox habe ich zurückgesetzt, jetzt kann ich wenigstens meine bisherige Startseite wieder manuell aufrufen. Aber awesomehp bleibt als Startseite, egal was man so in die Einstellungen eingibt. awesomehp scheint ziemlich hartnäckig zu sein. Hat sich auch in den IE eingenistet, den ich aber nicht als Standard habe.
Nützt es Firefox einfach neu zu installieren? oder was kann man sonst tun?
Ich weiss nicht, ob ich einen Wiederherstellungspunkt habe, sonst könnte man da evtl. zurücksetzen, oder?
Hab Windows 8.1 und Firefox 26.0.
Danke schon mal und Schönen Tag 
awesomehp - unerwünscht
-
bussard48 -
30. Januar 2014 um 10:36 -
Erledigt
-
Hallo und Willkommen hier im Forum.
Lad dir bitte mal dieses Programm runter:
Mit adwcleaner nach Problemen suchen
Erklärung dazu findet du im Link bzw. ganz unten auf der Seite.
Und bitte nichts löschen, sondern den Scan bitte ins nächste Antwortfenster hier kopieren
-
Ein Trojaner-Fund:
Mit Administrator-Rechten machst du bitte einen Scan mit Malwarebytes [Blockierte Grafik: http://i39.tinypic.com/s1kgb4.png]
Vor dem Scan ein Update von Malwarebytes machen, Haken bei "Aktiviere kostenlosen Test von Malwarebytes ANTI-Malware PRO" entfernen, dann einen vollständigen Suchlauf durchführen und den Inhalt des Logfiles in deinen nächsten Post in Klammer CODE einfügen. Wichtig: Nach dem Scan nichts löschen!
-
Ok, dann lass bitte mal alles löschen was der Cleaner gefunden hat.
Danach machst du bitte mal einen Rechtsklick auf die Verknüpfung vom Firefox auf dem Desktop.
Dann sollte unter Ziel folgendes eingetragen sein:"C:\Program Files (x86)\Mozilla Firefox\firefox.exe"
Sollte nach dem letzten " sich ein Eintrag von Awesomehp befinden, dann bitte ab dem " alles entfernen.
Ansonsten hier mal eine Beschreibung dazu:
http://www.browserdoktor.de/awesomehp-entfernen/
Das Programm Malwarebytes bitte nur von hier downloaden Download und Deutsche Anleitung dazu
Achtung, bitte auf jeden Fall den Haken entfernen bei:
"Aktiviere kostenlosen Test von Malwarebytes ANTI-Malware PRO"
Da dann bitte nach einem Update einen vollständigen Scan machen und den dann bitte hier im Antwortfenster nach Klick auf den Button: ..Code.. hier einfügen. Und bitte nichts löschen vorher !
-
Hallo,
der (oder die?) Malwarebytes ist gelaufen und hat was gefunden:Code
Alles anzeigenMalwarebytes Anti-Malware 1.75.0.1300 www.malwarebytes.org Datenbank Version: v2014.01.30.07 Windows 8 x64 NTFS Internet Explorer 11.0.9600.16476 chrissi :: TORDESHIMMELS [Administrator] 30.01.2014 22:10:57 MBAM-log-2014-01-30 (23-31-24).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 413987 Laufzeit: 1 Stunde(n), 5 Minute(n), 17 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 1 C:\Users\chrissi\AppData\Roaming\newnext.me\nengine.dll (PUP.Optional.NextLive.A) -> Keine Aktion durchgeführt. Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 1 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|NextLive (PUP.Optional.NextLive.A) -> Daten: C:\WINDOWS\SysWOW64\rundll32.exe "C:\Users\chrissi\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l -> Keine Aktion durchgeführt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 2 C:\Users\chrissi\AppData\Roaming\newnext.me (PUP.Optional.NextLive.A) -> Keine Aktion durchgeführt. C:\Users\chrissi\AppData\Roaming\newnext.me\cache (PUP.Optional.NextLive.A) -> Keine Aktion durchgeführt. Infizierte Dateien: 13 C:\Users\chrissi\AppData\Local\Microsoft\Windows\INetCache\IE\OWS1TK6S\Setup[1].exe (PUP.Optional.InstallCore.A) -> Keine Aktion durchgeführt. C:\Users\chrissi\AppData\Local\Microsoft\Windows\INetCache\IE\XPUFG5W6\ClickMeInGeneric[1].exe (PUP.Optional.Clickmein) -> Keine Aktion durchgeführt. C:\Users\chrissi\AppData\Local\Temp\bhs25E.tmp (PUP.Optional.BundleInstaller.A) -> Keine Aktion durchgeführt. C:\Users\chrissi\AppData\Local\Temp\Wrcg5gyM.exe.part (PUP.Optional.Smart) -> Keine Aktion durchgeführt. C:\Users\chrissi\AppData\Local\Temp\fullpackage_temp1390592008\package1.zip (PUP.Optional.SkyTech.A) -> Keine Aktion durchgeführt. C:\Users\chrissi\AppData\Local\Temp\fullpackage_temp1390592008\QQBrowserFrame.dll (PUP.Optional.SkyTech.A) -> Keine Aktion durchgeführt. C:\Users\chrissi\AppData\Local\Temp\is45637729\1026459_stp\rcpsetup_adppi15_adppi15.exe (PUP.Optional.RegCleanPro) -> Keine Aktion durchgeführt. C:\Users\chrissi\Downloads\Player(1).exe (PUP.Optional.BundleInstaller.A) -> Keine Aktion durchgeführt. C:\Users\chrissi\Downloads\Player.exe (PUP.Optional.BundleInstaller.A) -> Keine Aktion durchgeführt. C:\Users\chrissi\Downloads\video_downloader.exe (PUP.Optional.Bundlore) -> Keine Aktion durchgeführt. C:\Users\chrissi\AppData\Roaming\newnext.me\nengine.dll (PUP.Optional.NextLive.A) -> Keine Aktion durchgeführt. C:\Users\chrissi\AppData\Roaming\newnext.me\nengine.cookie (PUP.Optional.NextLive.A) -> Keine Aktion durchgeführt. C:\Users\chrissi\AppData\Roaming\newnext.me\cache\spark.bin (PUP.Optional.NextLive.A) -> Keine Aktion durchgeführt. (Ende)Ich hab nichts gelöscht oder verändert aber die Logdatei gespeichert.
-
Dann lass alles löschen, was Malwarebytes gefunden hat und mach einen neuen Scan mit Malwarebytes, poste das Ergebnis.
-
hab alles löschen lassen und einen neuen scan gemacht:
Malwarebytes Anti-Malware 1.75.0.1300
http://www.malwarebytes.orgDatenbank Version: v2014.01.30.07
Windows 8 x64 NTFS
Internet Explorer 11.0.9600.16476
chrissi :: TORDESHIMMELS [Administrator]31.01.2014 18:35:24
mbam-log-2014-01-31 (18-35-24).txtArt des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 413844
Laufzeit: 1 Stunde(n), 5 Minute(n), 9 Sekunde(n)Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)(Ende)
-----------------
Allerdings kam beim löschen eine Meldung von avira (war immer aktiv), dass der zugriff auf die registry verhindert war.
Ist das die Ursache, dass awesomehp immer noch da ist?
-
Du hattest mal gelesen, was hier alles beschrieben ist!?
http://www.browserdoktor.de/awesomehp-entfernen/
und auch:
Zitat von 2002AndreasDanach machst du bitte mal einen Rechtsklick auf die Verknüpfung vom Firefox auf dem Desktop.
Dann sollte unter Ziel folgendes eingetragen sein:"C:\Program Files (x86)\Mozilla Firefox\firefox.exe"
Sollte nach dem letzten " sich ein Eintrag von Awesomehp befinden, dann bitte ab dem " alles entfernen.
-
Hallo,
ich hab nochmal nachgeschaut und einen falschen Eintrag für das Symbol der Taskleiste gefunden und berichhtigt. Jetzt klappts beim Starten und awesomehp ist WEG!!Allerdings hab ich im Programmordner unter Mozilla Firefox, Unterordner searchplugins noch eine XML-Datei "awesomehp" gefunden. Kann ich die einfach löschen?
Danke für Eure Hilfe
Lieber Gruss -
ja, bei geschlossenem firefox
-
Zitat von bussard48
Allerdings kam beim löschen eine Meldung von avira (war immer aktiv), dass der zugriff auf die registry verhindert war.
Vielleicht deswegen?
-
Deaktivier Avira und lass dann alles löschen bzw. mach den Scan neu wieder.
Du hast mal in der Systemsteuerung unter Programme nachgesehen, ob da ein (verdächtiges) vorhanden ist!?
-
Den Rechner vom Internet trennen, Avira deaktivieren (oder zumindest den Teil der Änderungen in der Registry verhindert) und Malwarebytes nochmals laufen lassen.
Da Avira Änderungen in der Registry verhindert hat, ist zumindest dieser Eintrag höchstwahrscheinlich noch vorhanden:
CodeInfizierte Registrierungswerte: 1 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|NextLive (PUP.Optional.NextLive.A) -> Daten: C:\WINDOWS\SysWOW64\rundll32.exe "C:\Users\chrissi\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l -> Keine Aktion durchgeführt.Nach dem Scan und der Bereinigung Avira wieder aktivieren, bevor Du wieder ins Netz gehst.
-
Hallo,
hab in der Registry gesucht, konnte aber den Eintrag nicht finden. Muss man beim Suchen was beachten? Ich hab halt nur den Teilstring "PUP..." angegeben...
Die Registry hat ja mehrere Ordner, wo schaut man da am besten?In den Programmen hab ich nichts verdächtiges gefunden.
Gruss
-
Du hast den genauen Pfad im Logfile. Nur musst Du unter HKEY_CURRENT_USER anstatt unter HKCU suchen.
Der genaue Weg wäre demnach HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|NextLive
Dort dann den Schlüssel NextLive löschen.
Für alle Eingriffe in der Registry gilt:
Vorsichtshalber solltest Du eine Sicherung des betreffenden Schlüssels anlegen. Dazu gehst Du mit dem Kursor auf Run, klickst einmal, um den Schlüssel zu markieren, gehst dann auf Datei - Exportieren und speicherst den Schlüssel ab. Zu einem (so gut wie sicher nicht notwendigen) Wiederherstellen genügt dann ein Doppelklick auf die gespeicherte Datei. -
Besser..
Zitat von Road-RunnerDen Rechner vom Internet trennen, Avira deaktivieren (oder zumindest den Teil der Änderungen in der Registry verhindert) und Malwarebytes nochmals laufen lassen.
statt:
Zitat von bussard48hab in der Registry gesucht
