Windows und Malware / Werbeprogramme
Es passiert eines Tages, so auch mir kürzlich – trotz großer Vorsicht beim Surfen im Internet habe ich mir eine Toolbar eingefangen, die ich gar nicht haben wollte – an einer Stelle mal schnell und unvorsichtig „OK“ gedrückt und schon war ein Add-On auf meinem Rechner und ohne dass ich es bemerkt hatte.
Nun muss nicht jede Toolbar prinzipiell gleich „bösartige“ Absichten haben, aber oft verweisen solche Add-Ons wieder auf Drittanbieter und man verliert zu schnell den Überblick was nun auf dem PC passiert.
Als ich in der Systemsteuerung / Programme und Funktionen die Search Results Toolbar entdeckte, habe ich sie umgehend deinstalliert. Damit fing der Ärger an, denn es blieben Reste auf dem System und beim nächsten Starten des IE9 blieb der Browser hängen, die Startseite (bei mir Google) kam nicht. Darauf den alternativen Firefox gestartet und weil Mozilla ein Update empfohlen hatte, gleich aktualisiert.
Die Verkettung unglücklicher Umstände nahm ihren Lauf. Nach dem Firefox-Update konnte ich den Firefox-Browser auch nicht mehr starten, IE9 blieb immer noch hängen und ich vermutete schlimmes. Das Add-On hatte sich auch im Firefox verankert und wurde durch das Update nicht selbst aktualisiert. Somit war IE9 UND Firefox korrupt. Deinstallation von Firefox und erneute Installation brachte keine Verbesserung.
Im Dialog „Add-On Verwalten“ vom IE9 fand ich einen aktiven „datamngr“ von Bandoo Media Inc. – deaktivieren brachte bei IE9 keine Verbesserung, Browser bleib immer noch hängen und war nicht mehr bedienbar.
Ich schaffte es den Opera zu installieren um überhaupt einen funktionieren Browser für das Internet zu haben. Und ich fand ein Board, was genau diese Symptome beschrieb und auch Abhilfe anbietet – ich benutzte erfolgreich den AdwCleaner und erkläre kurz was da passiert:
- downloade adwcleaner.exe und starte Programm mit Doppelklick
- Klicke auf Löschen-Button
- Bestätigen, dein Rechner wird neu gestartet, alle Programme vorher beendet und nach dem Neustart wird eine Datei geschrieben in der Windows Partition,
in der Regel C:\AdwCleaner[S1].txt
Der Inhalt der oben genannten Datei sah bei mir so aus:
# AdwCleaner v2.111 - Datei am 07/02/2013 um 20:50:04 erstellt # Aktualisiert am 05/02/2013 von Xplode # Betriebssystem : Windows 7 Professional Service Pack 1 (64 bits) # Benutzer : xxxK # Bootmodus : Normal # Ausgeführt unter : D:\adwcleaner2.111.exe # Option [Löschen] **** [Dienste] **** ***** [Dateien / Ordner] ***** Datei Gelöscht : C:\END Datei Gelöscht : C:\Users\Juergen\AppData\Roaming\Microsoft\Windows\Start Menu\Startfenster.lnk Datei Gelöscht : C:\Users\Juergen\AppData\Roaming\Mozilla\Firefox\Profiles\e6vefyyn.default\searchplugins\Search_Results.xml Datei Gelöscht : C:\Users\Juergen\AppData\Roaming\Mozilla\Firefox\Profiles\e6vefyyn.default\searchplugins\SweetIm.xml Gelöscht mit Neustart : C:\Program Files (x86)\search results toolbar Gelöscht mit Neustart : C:\Users\Juergen\AppData\Roaming\Mozilla\Firefox\Profiles\e6vefyyn.default\extensions\{1fd91a9c-410c-4090-bbcc-55d3450ef433} Ordner Gelöscht : C:\Program Files (x86)\Conduit Ordner Gelöscht : C:\ProgramData\boost_interprocess Ordner Gelöscht : C:\ProgramData\Browser Manager Ordner Gelöscht : C:\ProgramData\Tarma Installer Ordner Gelöscht : C:\Users\Juergen\AppData\Local\Conduit Ordner Gelöscht : C:\Users\Juergen\AppData\Local\DownTango Ordner Gelöscht : C:\Users\Juergen\AppData\Local\Temp\{f34c9277-6577-4dff-b2d7-7d58092f272f} Ordner Gelöscht : C:\Users\Juergen\AppData\LocalLow\Conduit Ordner Gelöscht : C:\Users\Juergen\AppData\LocalLow\PriceGong Ordner Gelöscht : C:\Users\Juergen\AppData\Roaming\Mozilla\Firefox\Profiles\e6vefyyn.default\Conduit Ordner Gelöscht : C:\Users\Juergen\AppData\Roaming\Mozilla\Firefox\Profiles\e6vefyyn.default\extensions\{f34c9277-6577-4dff-b2d7-7d58092f272f} Ordner Gelöscht : C:\Users\Juergen\AppData\Roaming\Mozilla\Firefox\Profiles\e6vefyyn.default\ilividtoolbarguid Ordner Gelöscht : C:\Users\Juergen\AppData\Roaming\yourfiledownloader ***** [Registrierungsdatenbank] ***** Daten Gelöscht : [x64] HKLM\..\Windows [AppInit_DLLs] = C:\PROGRA~2\SEARCH~1\Datamngr\x64\datamngr.dll Daten Gelöscht : [x64] HKLM\..\Windows [AppInit_DLLs] = C:\PROGRA~2\SEARCH~1\Datamngr\x64\IEBHO.dll Daten Gelöscht : HKLM\..\Windows [AppInit_DLLs] = C:\PROGRA~2\SEARCH~1\Datamngr\datamngr.dll Daten Gelöscht : HKLM\..\Windows [AppInit_DLLs] = C:\PROGRA~2\SEARCH~1\Datamngr\IEBHO.dll Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\Conduit Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\ConduitSearchScopes Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\PriceGong Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\SmartBar Schlüssel Gelöscht : HKCU\Software\Conduit Schlüssel Gelöscht : HKCU\Software\DataMngr Schlüssel Gelöscht : HKCU\Software\DataMngr_Toolbar Schlüssel Gelöscht : HKCU\Software\ilivid Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{C1ED9DA0-AFD0-4B90-AC6A-D3874F591014} Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C1ED9DA0-AFD0-4B90-AC6A-D3874F591014} Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE} Schlüssel Gelöscht : HKCU\Software\Softonic Schlüssel Gelöscht : HKCU\Software\YourFileDownloader Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{D97A8234-F2A2-4AD4-91D5-FECDB2C553AF} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\BrowserConnection.dll Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Applications\ilividsetup.exe Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\BrowserConnection.Loader Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\BrowserConnection.Loader.1 Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Conduit.Engine Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\iLividIEHelper.DNSGuard Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\iLividIEHelper.DNSGuard.1 Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Toolbar.CT2504091 Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{1FDC0B61-91AC-4157-9B27-CAD9A09AB67E} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{75E8DA27-44AF-40AE-927C-F2EEC99D65B1} Schlüssel Gelöscht : HKLM\Software\Conduit Schlüssel Gelöscht : HKLM\Software\DataMngr Schlüssel Gelöscht : HKLM\Software\iLividSRTB Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\ConduitInstallerStub_RASAPI32 Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\ConduitInstallerStub_RASMANCS Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\iLivid_RASAPI32 Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\iLivid_RASMANCS Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\iLividMediaBar_RASAPI32 Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\iLividMediaBar_RASMANCS Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\iLividSetup_RASAPI32 Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\iLividSetup_RASMANCS Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\SweetIM_RASAPI32 Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\SweetIM_RASMANCS Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{02478D38-C3F9-4EFB-9B51-7695ECA05670} Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1} Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D} Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{9FF9AE6F-4553-41A7-B645-B0E88850EABF} Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{C1ED9DA0-AFD0-4B90-AC6A-D3874F591014} Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{CE4DB5A3-58E6-41F1-8761-47238DF4F468} Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401} Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5} Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F34C9277-6577-4DFF-B2D7-7D58092F272F} Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C1ED9DA0-AFD0-4B90-AC6A-D3874F591014} Schlüssel Gelöscht : HKLM\Software\YourFileDownloader Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{9FF9AE6F-4553-41A7-B645-B0E88850EABF} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{C1ED9DA0-AFD0-4B90-AC6A-D3874F591014} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{CE4DB5A3-58E6-41F1-8761-47238DF4F468} Schlüssel Gelöscht : HKLM\SOFTWARE\DataMngr Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C1ED9DA0-AFD0-4B90-AC6A-D3874F591014} Schlüssel Gelöscht : HKLM\SOFTWARE\Tarma Installer Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [DataMngr] Wert Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [10] Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [10] ***** [Internet Browser] ***** -\\ Internet Explorer v9.0.8112.16457 [OK] Die Registrierungsdatenbank ist sauber. -\\ Mozilla Firefox v [Version kann nicht ermittelt werden] Datei : C:\Users\Juergen\AppData\Roaming\Mozilla\Firefox\Profiles\e6vefyyn.default\prefs.js C:\Users\Juergen\AppData\Roaming\Mozilla\Firefox\Profiles\e6vefyyn.default\user.js ... Gelöscht ! Gelöscht : user_pref("CT2504091.LoginRevertSettingsEnabled", false); Gelöscht : user_pref("CT2504091.addressBarTakeOverEnabledInHidden", "true"); Gelöscht : user_pref("CT2504091.fixPageNotFoundErrorInHidden", "true"); Gelöscht : user_pref("CT2504091.newSettings", "{\"dataType\":\"boolean\",\"data\":\"true\"}"); Gelöscht : user_pref("CT2504091.searchInNewTabEnabledInHidden", "true"); Gelöscht : user_pref("CT2504091.serviceLayer_service_login_isFirstLoginInvoked", "{\"dataType\":\"boolean\",\"d[...] Gelöscht : user_pref("CT2504091.serviceLayer_service_login_loginCount", "{\"dataType\":\"number\",\"data\":\"2\[...] Gelöscht : user_pref("CT2504091.serviceLayer_services_login_10.13.40.15_lastUpdate", "1357935485252"); Gelöscht : user_pref("CT2504091.serviceLayer_services_serviceMap_lastUpdate", "1357935485122"); Gelöscht : user_pref("CT2504091.serviceLayer_services_toolbarSettings_lastUpdate", "1357935485164"); Gelöscht : user_pref("CT2504091.serviceLayer_services_translation_lastUpdate", "1357935485188"); Gelöscht : user_pref("CT2504091.toolbarCurrentServerTime", "11-1-2013"); Gelöscht : user_pref("CT2504091_Firefox.csv", "[{\"from\":\"Abs Layer\",\"action\":\"loading toolbar\",\"time\"[...] Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.alert.conduit-services.com/alert/dlg.pkg", "\[...] Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.engine.conduit-services.com/DLG.pkg?ver=3.3.3[...] Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://settings.engine.conduit-services.com/?browser=FF&lut=0", "63[...] Gelöscht : user_pref("CommunityToolbar.EngineOwner", ""); Gelöscht : user_pref("CommunityToolbar.EngineOwnerGuid", ""); Gelöscht : user_pref("CommunityToolbar.EngineOwnerToolbarId", ""); Gelöscht : user_pref("CommunityToolbar.IsEngineShown", true); Gelöscht : user_pref("CommunityToolbar.IsMyStuffImportedToEngine", true); Gelöscht : user_pref("CommunityToolbar.OriginalEngineOwner", ""); Gelöscht : user_pref("CommunityToolbar.OriginalEngineOwnerGuid", ""); Gelöscht : user_pref("CommunityToolbar.OriginalEngineOwnerToolbarId", ""); Gelöscht : user_pref("CommunityToolbar.SearchFromAddressBarSavedUrl", "chrome://browser-region/locale/region.pr[...] Gelöscht : user_pref("CommunityToolbar.ToolbarsList", "CT2504091"); Gelöscht : user_pref("CommunityToolbar.ToolbarsList2", "CT2504091"); Gelöscht : user_pref("CommunityToolbar.alert.alertDialogsGetterLastCheckTime", "Tue Apr 26 2011 14:22:49 GMT+02[...] Gelöscht : user_pref("CommunityToolbar.alert.alertInfoInterval", 60); Gelöscht : user_pref("CommunityToolbar.alert.alertInfoLastCheckTime", "Sat Jan 29 2011 00:18:09 GMT+0100"); Gelöscht : user_pref("CommunityToolbar.alert.clientsServerUrl", "hxxp://alert.client.conduit.com"); Gelöscht : user_pref("CommunityToolbar.alert.locale", "en"); Gelöscht : user_pref("CommunityToolbar.alert.loginIntervalMin", 1440); Gelöscht : user_pref("CommunityToolbar.alert.loginLastCheckTime", "Tue Apr 26 2011 14:22:48 GMT+0200"); Gelöscht : user_pref("CommunityToolbar.alert.loginLastUpdateTime", "1303303927"); Gelöscht : user_pref("CommunityToolbar.alert.messageShowTimeSec", 20); Gelöscht : user_pref("CommunityToolbar.alert.servicesServerUrl", "hxxp://alert.services.conduit.com"); Gelöscht : user_pref("CommunityToolbar.alert.showTrayIcon", false); Gelöscht : user_pref("CommunityToolbar.alert.userCloseIntervalMin", 300); Gelöscht : user_pref("CommunityToolbar.alert.userId", "{2da4a951-d9fb-4b63-8fd6-1c2645717de0}"); Gelöscht : user_pref("CommunityToolbar.isAlertUrlAddedToFeedItemTable", true); Gelöscht : user_pref("CommunityToolbar.isClickActionAddedToFeedItemTable", true); Gelöscht : user_pref("Smartbar.SearchFromAddressBarSavedUrl", "chrome://browser-region/locale/region.properties[...] Gelöscht : user_pref("browser.search.defaultenginename", "Search Results"); Gelöscht : user_pref("browser.search.order.1", "Search Results"); Gelöscht : user_pref("browser.search.selectedEngine", "Search Results"); Gelöscht : user_pref("browser.startup.homepage", "hxxp://www.startfenster.com"); Gelöscht : user_pref("keyword.URL", "hxxp://dts.search-results.com/sr?src=ffb&gct=ds&appid=362&systemid=406&apn[...] -\\ Opera v [Version kann nicht ermittelt werden] Datei : C:\Users\Juergen\AppData\Roaming\Opera\Opera\operaprefs.ini Gelöscht : Home URL=hxxp://www.startfenster.com ************************* AdwCleaner[S1].txt - [12078 octets] - [07/02/2013 20:50:04] ########## EOF - C:\AdwCleaner[S1].txt - [12139 octets] ##########
Es hatte sich offentsichtlich schon einiges auf meinem Rechner installiert wenn ich die obige Löschliste ansehe. Der Cleaner hat aber sehr sauber und zuverlässig gearbeitet, das System ließ sich ohne Problem erneut booten, ich habe adwcleaner dann ein 2. Mal ausgeführt,
die Datei C:\AdwCleaner[R1].txt sah dann so aus:
# AdwCleaner v2.111 - Datei am 07/02/2013 um 20:57:13 erstellt # Aktualisiert am 05/02/2013 von Xplode # Betriebssystem : Windows 7 Professional Service Pack 1 (64 bits) # Benutzer : xxxx # Bootmodus : Normal # Ausgeführt unter : D:\adwcleaner2.111.exe # Option [Suche] **** [Dienste] **** ***** [Dateien / Ordner] ***** Ordner Gefunden : C:\Program Files (x86)\search results toolbar Ordner Gefunden : C:\Users\Juergen\AppData\Roaming\Mozilla\Firefox\Profiles\e6vefyyn.default\extensions\{1fd91a9c-410c-4090-bbcc-55d3450ef433} ***** [Registrierungsdatenbank] ***** ***** [Internet Browser] ***** -\\ Internet Explorer v9.0.8112.16457 [OK] Die Registrierungsdatenbank ist sauber. -\\ Mozilla Firefox v [Version kann nicht ermittelt werden] Datei : C:\Users\Juergen\AppData\Roaming\Mozilla\Firefox\Profiles\e6vefyyn.default\prefs.js [OK] Die Datei ist sauber. -\\ Opera v [Version kann nicht ermittelt werden] Datei : C:\Users\Juergen\AppData\Roaming\Opera\Opera\operaprefs.ini [OK] Die Datei ist sauber. ************************* AdwCleaner[R1].txt - [1109 octets] - [07/02/2013 20:57:13] AdwCleaner[S1].txt - [12191 octets] - [07/02/2013 20:50:04] ########## EOF - C:\AdwCleaner[R1].txt - [1230 octets] ##########
Daraufhin habe ich Firefox komplett deinstalliert, auch die ursprüngliche Firefox-Konfig(!) und erneut installiert. Im IE9 sind die Bandoo Media Inc. Einträge verschwunden, der IE9 läuft wieder sauber, der Firefox, aktuell 18.0.2, ebenfalls und Opera auch!
Ihr könnt ruhig ein weiteres Mal den ADWCleaner starten und checken, was im Output-File steht!
Also bei mir hat die Aktion geholfen, die Browser starten wieder sauber und ich werde in Zukunft noch vorsichtiger Surfen und jedes OK genau überdenken! Die bei mir erfolgreiche Aktion muss natürlich nicht in jedem Fall erfolgreich sein, hier gibt es weitere Hilfe.
UND für die Nutzung wird keine Haftung übernommen!
Eine SUPER HILFE !!!
Vielen Dank für die Hilfe mit AdwCleaner !
Ich hatte mir irgendwo unwissentlich einen Browser-Hijacker namens
Delta-Homes eingefangen, der sich vor meinen Browser gesetzt hatte um Informationen abzufangen. Ich konnte zwar meinen Google Browser danke „home-button“ noch normal benutzen, aber neben dem Effekt dass diese Seite einfach nervte las ich auch im web dass dies ein ganz böser Spion ist der schwer zu entfernen ist, hatte auch schon einiges ausprobiert.
AdwCleaner war dann letztendlich die Lösung !
Wurde zwar zunächst von Norton Antivir in der Ausführung geblockt und entfernt, doch auch da wurde mir geholfen vom bitbuddy webmaster hier 🙂
Vielen Dank nochmals, denn letztendlich führte diese Hilfe zum Erfolg !!!
Gudi