Windows 7 und Malware / Werbeprogramme

Es passiert eines Tages, so auch mir kürzlich – trotz großer Vorsicht beim Surfen im Internet habe ich mir eine Toolbar eingefangen, die ich gar nicht haben wollte – an einer Stelle mal schnell und unvorsichtig „OK“ gedrückt und schon war ein Add-On auf meinem Rechner und ohne dass ich es bemerkt hatte.
Nun muss nicht jede Toolbar prinzipiell gleich „bösartige“ Absichten haben, aber oft verweisen solche Add-Ons wieder auf Drittanbieter und man verliert zu schnell den Überblick was nun auf dem PC passiert.

Als ich in der Systemsteuerung / Programme und Funktionen die Search Results Toolbar entdeckte, habe ich sie umgehend deinstalliert. Damit fing der Ärger an, denn es blieben Reste auf dem System und beim nächsten Starten des IE9 blieb der Browser hängen, die Startseite (bei mir Google) kam nicht. Darauf den alternativen Firefox gestartet und weil Mozilla ein Update empfohlen hatte, gleich aktualisiert.

Die Verkettung unglücklicher Umstände nahm ihren Lauf. Nach dem Firefox-Update konnte ich den Firefox-Browser auch nicht mehr starten, IE9 blieb immer noch hängen und ich vermutete schlimmes. Das Add-On hatte sich auch im Firefox verankert und wurde durch das Update nicht selbst aktualisiert. Somit war IE9 UND Firefox korrupt. Deinstallation von Firefox und erneute Installation brachte keine Verbesserung.

Im Dialog „Add-On Verwalten“ vom IE9 fand ich einen aktiven „datamngr“ von Bandoo Media Inc. – deaktivieren brachte bei IE9 keine Verbesserung, Browser bleib immer noch hängen und war nicht mehr bedienbar.

Ich schaffte es den Opera zu installieren um überhaupt einen funktionieren Browser für das Internet zu haben. Und ich fand ein Board, was genau diese Symptome beschrieb und auch Abhilfe anbietet – ich benutzte erfolgreich den AdwCleaner und erkläre kurz was da passiert:

  1. downloade adwcleaner.exe und starte Programm mit Doppelklick
  2. Download AdwCleaner bei Filepony.de

  3. Klicke auf Löschen-Button
  4. Bestätigen, dein Rechner wird neu gestartet, alle Programme vorher beendet und nach dem Neustart wird eine Datei geschrieben in der Windows Partition,
    in der Regel C:\AdwCleaner[S1].txt

Der Inhalt der oben genannten Datei sah bei mir so aus:

# AdwCleaner v2.111 - Datei am 07/02/2013 um 20:50:04 erstellt
# Aktualisiert am 05/02/2013 von Xplode
# Betriebssystem : Windows 7 Professional Service Pack 1 (64 bits)
# Benutzer : xxxK
# Bootmodus : Normal
# Ausgeführt unter : D:\adwcleaner2.111.exe
# Option [Löschen]

**** [Dienste] ****

***** [Dateien / Ordner] *****
Datei Gelöscht : C:\END
Datei Gelöscht : C:\Users\Juergen\AppData\Roaming\Microsoft\Windows\Start Menu\Startfenster.lnk
Datei Gelöscht : C:\Users\Juergen\AppData\Roaming\Mozilla\Firefox\Profiles\e6vefyyn.default\searchplugins\Search_Results.xml
Datei Gelöscht : C:\Users\Juergen\AppData\Roaming\Mozilla\Firefox\Profiles\e6vefyyn.default\searchplugins\SweetIm.xml
Gelöscht mit Neustart : C:\Program Files (x86)\search results toolbar
Gelöscht mit Neustart : C:\Users\Juergen\AppData\Roaming\Mozilla\Firefox\Profiles\e6vefyyn.default\extensions\{1fd91a9c-410c-4090-bbcc-55d3450ef433}
Ordner Gelöscht : C:\Program Files (x86)\Conduit
Ordner Gelöscht : C:\ProgramData\boost_interprocess
Ordner Gelöscht : C:\ProgramData\Browser Manager
Ordner Gelöscht : C:\ProgramData\Tarma Installer
Ordner Gelöscht : C:\Users\Juergen\AppData\Local\Conduit
Ordner Gelöscht : C:\Users\Juergen\AppData\Local\DownTango
Ordner Gelöscht : C:\Users\Juergen\AppData\Local\Temp\{f34c9277-6577-4dff-b2d7-7d58092f272f}
Ordner Gelöscht : C:\Users\Juergen\AppData\LocalLow\Conduit
Ordner Gelöscht : C:\Users\Juergen\AppData\LocalLow\PriceGong
Ordner Gelöscht : C:\Users\Juergen\AppData\Roaming\Mozilla\Firefox\Profiles\e6vefyyn.default\Conduit
Ordner Gelöscht : C:\Users\Juergen\AppData\Roaming\Mozilla\Firefox\Profiles\e6vefyyn.default\extensions\{f34c9277-6577-4dff-b2d7-7d58092f272f}
Ordner Gelöscht : C:\Users\Juergen\AppData\Roaming\Mozilla\Firefox\Profiles\e6vefyyn.default\ilividtoolbarguid
Ordner Gelöscht : C:\Users\Juergen\AppData\Roaming\yourfiledownloader

***** [Registrierungsdatenbank] *****
Daten Gelöscht : [x64] HKLM\..\Windows [AppInit_DLLs] = C:\PROGRA~2\SEARCH~1\Datamngr\x64\datamngr.dll
Daten Gelöscht : [x64] HKLM\..\Windows [AppInit_DLLs] = C:\PROGRA~2\SEARCH~1\Datamngr\x64\IEBHO.dll
Daten Gelöscht : HKLM\..\Windows [AppInit_DLLs] = C:\PROGRA~2\SEARCH~1\Datamngr\datamngr.dll
Daten Gelöscht : HKLM\..\Windows [AppInit_DLLs] = C:\PROGRA~2\SEARCH~1\Datamngr\IEBHO.dll
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\Conduit
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\ConduitSearchScopes
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\PriceGong
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\SmartBar
Schlüssel Gelöscht : HKCU\Software\Conduit
Schlüssel Gelöscht : HKCU\Software\DataMngr
Schlüssel Gelöscht : HKCU\Software\DataMngr_Toolbar
Schlüssel Gelöscht : HKCU\Software\ilivid
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{C1ED9DA0-AFD0-4B90-AC6A-D3874F591014}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C1ED9DA0-AFD0-4B90-AC6A-D3874F591014}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Schlüssel Gelöscht : HKCU\Software\Softonic
Schlüssel Gelöscht : HKCU\Software\YourFileDownloader
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{D97A8234-F2A2-4AD4-91D5-FECDB2C553AF}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\BrowserConnection.dll
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Applications\ilividsetup.exe
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\BrowserConnection.Loader
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\BrowserConnection.Loader.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Conduit.Engine
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\iLividIEHelper.DNSGuard
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\iLividIEHelper.DNSGuard.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Toolbar.CT2504091
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{1FDC0B61-91AC-4157-9B27-CAD9A09AB67E}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{75E8DA27-44AF-40AE-927C-F2EEC99D65B1}
Schlüssel Gelöscht : HKLM\Software\Conduit
Schlüssel Gelöscht : HKLM\Software\DataMngr
Schlüssel Gelöscht : HKLM\Software\iLividSRTB
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\ConduitInstallerStub_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\ConduitInstallerStub_RASMANCS
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\iLivid_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\iLivid_RASMANCS
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\iLividMediaBar_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\iLividMediaBar_RASMANCS
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\iLividSetup_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\iLividSetup_RASMANCS
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\SweetIM_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\SweetIM_RASMANCS
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{9FF9AE6F-4553-41A7-B645-B0E88850EABF}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{C1ED9DA0-AFD0-4B90-AC6A-D3874F591014}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{CE4DB5A3-58E6-41F1-8761-47238DF4F468}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F34C9277-6577-4DFF-B2D7-7D58092F272F}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C1ED9DA0-AFD0-4B90-AC6A-D3874F591014}
Schlüssel Gelöscht : HKLM\Software\YourFileDownloader
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{9FF9AE6F-4553-41A7-B645-B0E88850EABF}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{C1ED9DA0-AFD0-4B90-AC6A-D3874F591014}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{CE4DB5A3-58E6-41F1-8761-47238DF4F468}
Schlüssel Gelöscht : HKLM\SOFTWARE\DataMngr
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C1ED9DA0-AFD0-4B90-AC6A-D3874F591014}
Schlüssel Gelöscht : HKLM\SOFTWARE\Tarma Installer
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [DataMngr]
Wert Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [10]
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [10]

***** [Internet Browser] *****
-\\ Internet Explorer v9.0.8112.16457
[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v [Version kann nicht ermittelt werden]
Datei : C:\Users\Juergen\AppData\Roaming\Mozilla\Firefox\Profiles\e6vefyyn.default\prefs.js
C:\Users\Juergen\AppData\Roaming\Mozilla\Firefox\Profiles\e6vefyyn.default\user.js ... Gelöscht !

Gelöscht : user_pref("CT2504091.LoginRevertSettingsEnabled", false);
Gelöscht : user_pref("CT2504091.addressBarTakeOverEnabledInHidden", "true");
Gelöscht : user_pref("CT2504091.fixPageNotFoundErrorInHidden", "true");
Gelöscht : user_pref("CT2504091.newSettings", "{\"dataType\":\"boolean\",\"data\":\"true\"}");
Gelöscht : user_pref("CT2504091.searchInNewTabEnabledInHidden", "true");
Gelöscht : user_pref("CT2504091.serviceLayer_service_login_isFirstLoginInvoked", "{\"dataType\":\"boolean\",\"d[...]
Gelöscht : user_pref("CT2504091.serviceLayer_service_login_loginCount", "{\"dataType\":\"number\",\"data\":\"2\[...]
Gelöscht : user_pref("CT2504091.serviceLayer_services_login_10.13.40.15_lastUpdate", "1357935485252");
Gelöscht : user_pref("CT2504091.serviceLayer_services_serviceMap_lastUpdate", "1357935485122");
Gelöscht : user_pref("CT2504091.serviceLayer_services_toolbarSettings_lastUpdate", "1357935485164");
Gelöscht : user_pref("CT2504091.serviceLayer_services_translation_lastUpdate", "1357935485188");
Gelöscht : user_pref("CT2504091.toolbarCurrentServerTime", "11-1-2013");
Gelöscht : user_pref("CT2504091_Firefox.csv", "[{\"from\":\"Abs Layer\",\"action\":\"loading toolbar\",\"time\"[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.alert.conduit-services.com/alert/dlg.pkg", "\[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.engine.conduit-services.com/DLG.pkg?ver=3.3.3[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://settings.engine.conduit-services.com/?browser=FF&lut=0", "63[...]
Gelöscht : user_pref("CommunityToolbar.EngineOwner", "");
Gelöscht : user_pref("CommunityToolbar.EngineOwnerGuid", "");
Gelöscht : user_pref("CommunityToolbar.EngineOwnerToolbarId", "");
Gelöscht : user_pref("CommunityToolbar.IsEngineShown", true);
Gelöscht : user_pref("CommunityToolbar.IsMyStuffImportedToEngine", true);
Gelöscht : user_pref("CommunityToolbar.OriginalEngineOwner", "");
Gelöscht : user_pref("CommunityToolbar.OriginalEngineOwnerGuid", "");
Gelöscht : user_pref("CommunityToolbar.OriginalEngineOwnerToolbarId", "");
Gelöscht : user_pref("CommunityToolbar.SearchFromAddressBarSavedUrl", "chrome://browser-region/locale/region.pr[...]
Gelöscht : user_pref("CommunityToolbar.ToolbarsList", "CT2504091");
Gelöscht : user_pref("CommunityToolbar.ToolbarsList2", "CT2504091");
Gelöscht : user_pref("CommunityToolbar.alert.alertDialogsGetterLastCheckTime", "Tue Apr 26 2011 14:22:49 GMT+02[...]
Gelöscht : user_pref("CommunityToolbar.alert.alertInfoInterval", 60);
Gelöscht : user_pref("CommunityToolbar.alert.alertInfoLastCheckTime", "Sat Jan 29 2011 00:18:09 GMT+0100");
Gelöscht : user_pref("CommunityToolbar.alert.clientsServerUrl", "hxxp://alert.client.conduit.com");
Gelöscht : user_pref("CommunityToolbar.alert.locale", "en");
Gelöscht : user_pref("CommunityToolbar.alert.loginIntervalMin", 1440);
Gelöscht : user_pref("CommunityToolbar.alert.loginLastCheckTime", "Tue Apr 26 2011 14:22:48 GMT+0200");
Gelöscht : user_pref("CommunityToolbar.alert.loginLastUpdateTime", "1303303927");
Gelöscht : user_pref("CommunityToolbar.alert.messageShowTimeSec", 20);
Gelöscht : user_pref("CommunityToolbar.alert.servicesServerUrl", "hxxp://alert.services.conduit.com");
Gelöscht : user_pref("CommunityToolbar.alert.showTrayIcon", false);
Gelöscht : user_pref("CommunityToolbar.alert.userCloseIntervalMin", 300);
Gelöscht : user_pref("CommunityToolbar.alert.userId", "{2da4a951-d9fb-4b63-8fd6-1c2645717de0}");
Gelöscht : user_pref("CommunityToolbar.isAlertUrlAddedToFeedItemTable", true);
Gelöscht : user_pref("CommunityToolbar.isClickActionAddedToFeedItemTable", true);
Gelöscht : user_pref("Smartbar.SearchFromAddressBarSavedUrl", "chrome://browser-region/locale/region.properties[...]
Gelöscht : user_pref("browser.search.defaultenginename", "Search Results");
Gelöscht : user_pref("browser.search.order.1", "Search Results");
Gelöscht : user_pref("browser.search.selectedEngine", "Search Results");
Gelöscht : user_pref("browser.startup.homepage", "hxxp://www.startfenster.com");
Gelöscht : user_pref("keyword.URL", "hxxp://dts.search-results.com/sr?src=ffb&gct=ds&appid=362&systemid=406&apn[...]

-\\ Opera v [Version kann nicht ermittelt werden]
Datei : C:\Users\Juergen\AppData\Roaming\Opera\Opera\operaprefs.ini

Gelöscht : Home URL=hxxp://www.startfenster.com
*************************
AdwCleaner[S1].txt - [12078 octets] - [07/02/2013 20:50:04]
########## EOF - C:\AdwCleaner[S1].txt - [12139 octets] ##########

Es hatte sich offentsichtlich schon einiges auf meinem Rechner installiert wenn ich die obige Löschliste ansehe. Der Cleaner hat aber sehr sauber und zuverlässig gearbeitet, das System ließ sich ohne Problem erneut booten, ich habe adwcleaner dann ein 2. Mal ausgeführt,
die Datei C:\AdwCleaner[R1].txt sah dann so aus:

# AdwCleaner v2.111 - Datei am 07/02/2013 um 20:57:13 erstellt
# Aktualisiert am 05/02/2013 von Xplode
# Betriebssystem : Windows 7 Professional Service Pack 1 (64 bits)
# Benutzer : xxxx
# Bootmodus : Normal
# Ausgeführt unter : D:\adwcleaner2.111.exe
# Option [Suche]

**** [Dienste] ****

***** [Dateien / Ordner] *****
Ordner Gefunden : C:\Program Files (x86)\search results toolbar
Ordner Gefunden : C:\Users\Juergen\AppData\Roaming\Mozilla\Firefox\Profiles\e6vefyyn.default\extensions\{1fd91a9c-410c-4090-bbcc-55d3450ef433}

***** [Registrierungsdatenbank] *****

***** [Internet Browser] *****
-\\ Internet Explorer v9.0.8112.16457
[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v [Version kann nicht ermittelt werden]
Datei : C:\Users\Juergen\AppData\Roaming\Mozilla\Firefox\Profiles\e6vefyyn.default\prefs.js
[OK] Die Datei ist sauber.

-\\ Opera v [Version kann nicht ermittelt werden]
Datei : C:\Users\Juergen\AppData\Roaming\Opera\Opera\operaprefs.ini
[OK] Die Datei ist sauber.

*************************
AdwCleaner[R1].txt - [1109 octets] - [07/02/2013 20:57:13]
AdwCleaner[S1].txt - [12191 octets] - [07/02/2013 20:50:04]
########## EOF - C:\AdwCleaner[R1].txt - [1230 octets] ##########

Daraufhin habe ich Firefox komplett deinstalliert, auch die ursprüngliche Firefox-Konfig(!) und erneut installiert. Im IE9 sind die Bandoo Media Inc. Einträge verschwunden, der IE9 läuft wieder sauber, der Firefox, aktuell 18.0.2, ebenfalls und Opera auch!
Ihr könnt ruhig ein weiteres Mal den ADWCleaner starten und checken, was im Output-File steht!

Also bei mir hat die Aktion geholfen, die Browser starten wieder sauber und ich werde in Zukunft noch vorsichtiger Surfen und jedes OK genau überdenken! Die bei mir erfolgreiche Aktion muss natürlich nicht in jedem Fall erfolgreich sein, hier gibt es weitere Hilfe.
UND für die Nutzung wird keine Haftung übernommen!


Kommentare

Windows 7 und Malware / Werbeprogramme — Ein Kommentar

  1. Eine SUPER HILFE !!!
    Vielen Dank für die Hilfe mit AdwCleaner !
    Ich hatte mir irgendwo unwissentlich einen Browser-Hijacker namens
    Delta-Homes eingefangen, der sich vor meinen Browser gesetzt hatte um Informationen abzufangen. Ich konnte zwar meinen Google Browser danke „home-button“ noch normal benutzen, aber neben dem Effekt dass diese Seite einfach nervte las ich auch im web dass dies ein ganz böser Spion ist der schwer zu entfernen ist, hatte auch schon einiges ausprobiert.
    AdwCleaner war dann letztendlich die Lösung !
    Wurde zwar zunächst von Norton Antivir in der Ausführung geblockt und entfernt, doch auch da wurde mir geholfen vom bitbuddy webmaster hier 🙂
    Vielen Dank nochmals, denn letztendlich führte diese Hilfe zum Erfolg !!!
    Gudi

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*