Boonsy  - 33
Experte
(offline)
Dabei seit 03.2008
1758
Beiträge
|
|
Geschrieben am: 07.12.2012 um 13:04 Uhr
|
|
Hallo Leute
der Titel sagts im Prinzip schon. hab grad ein Problem mit dem PC meiner Mutter. wenn man in google was sucht und auf das Suchergebnis klicken will (zb wikipedia) wird man auf eine andere Seite geschickt (alle Arten von Werbung)
komischerweise passieren solche Dinge nur bei der googlesuche, geb ich eine Website direkt in die Adresszeile an oder rufe eine Seite über das Lesezeichen auf, dann kann ich problemlos auf der Seite surfen.
das Problem tritt übrigens bei Firefox UND Chrmoe auf (IE hab ich nicht versucht)
ich dachte gleich daran, dass es ein Virus sein könnte. also mit Antivir nen Systemcheck gemacht. bei ersten Versuch hat das Programm aber nichts gefunden. beim zweiten Versuch (zwischendurch gabs ein update) hat Antivir nen Trojaner gefunden, den hats dann in Quarantäne verschoben.
hab mich dann aber entschieden das Windows neu aufzusetzen, also formatiert, Windows neu draufgehaun.
dann soweit für meine Mutter wieder alles vorbereitet, also ihre Dateien kopiert, Firefox und Thunderbird sowie Open Office installiert und den Treiber für ihren Drucker.
dachte das Problem sollte durch das Formatieren der Festplatte gelöst sein.
Pustekuchen.
das Verwenden von Google ist weiterhin unmöglich und Antivir finet nach wie vor keine Viren.
bin mit meinem Latein am Ende, meine Mutter braucht ihren PC zum Arbeiten und so ist das leider nicht möglich.
wäre super wenn jemand helfen kann
OS ist Windows 7 Professional 32bit
die Kiste is etwas älter, Pentium 4, 1GB Ram und ne ATI Radeon 3600 iwas
die Dateien die ich für meine Mam kopiert habe waren die Dateien/Ordner die sie auf dem Desktop hatte sowie das was bei Eigene Dokumente und Eigene Bilder drin war
von Mozilla hab ich nur ihre Lesezeichen gesichert
von Thunderbird hab ich fast alles gesichert (Emails, Kontakte, Einstellungen etc)
http://www.sysprofile.de/id183480
|
|
AC52066 
Anfänger
(offline)
Dabei seit 12.2012
18
Beiträge
|
Geschrieben am: 07.12.2012 um 14:05 Uhr
Zuletzt editiert am: 07.12.2012 um 18:46 Uhr
|
|
Erstmal die Auslagerungsdatei abstellen:
Windowstaste + R
sysdm.cpl
"Erweitert", bei "Systemleistung" auf "Einstellungen", "Erweitert", bei "Virtueller Arbeitsspeicher" auf "Ändern", "Keine Auslagerungsdatei" bei allen Partitionen "Festlegen", "OK", "OK", Neustart.
klick1 klick2 klick3 klick4 klick5
klick1, downloaden und ausführen, hinterher NICHT neustarten, sondern klick2 downloaden, updaten, abgesicherten Modus, nochmals rkill ausführen, hinterher NICHT neustarten sondern mit Malwarbytes vollständig scannen.
Ab klick3 empfiehlt sich nur für erfahrene Anwender.
Edit:
Autostart nicht vergessen:
Downloaden und alle Autostarteinträge erst "Deaktivieren", dann "Löschen", alle, Neustart.
|
|
Boonsy - 33
Experte
(offline)
Dabei seit 03.2008
1758
Beiträge
|
|
Geschrieben am: 07.12.2012 um 15:03 Uhr
|
|
so, ich hab die Auslagerungsdatei deaktiviert
alles autostart einträge entfernt
rkill ausgeführt
das spuckt er aus:
Zitat: Rkill 2.4.5 by Lawrence Abrams (Grinler)
http://www.bleepingcomputer.com/
Copyright 2008-2012 BleepingComputer.com
More Information about Rkill can be found at this link:
http://www.bleepingcomputer.com/forums/topic308364.html
Program started at: 12/07/2012 03:00:38 PM in x86 mode.
Windows Version: Windows 7 Professional
Checking for Windows services to stop:
* No malware services found to stop.
Checking for processes to terminate:
* No malware processes found to kill.
Checking Registry for malware related settings:
* No issues found in the Registry.
Resetting .EXE, .COM, & .BAT associations in the Windows Registry.
Performing miscellaneous checks:
* Windows Defender Disabled
[HKLM\SOFTWARE\Microsoft\Windows Defender]
"DisableAntiSpyware" = dword:00000001
Checking Windows Service Integrity:
* Windows Defender (WinDefend) is not Running.
Startup Type set to: Manual
* Windows Update (wuauserv) is not Running.
Startup Type set to: Automatic (Delayed Start)
* agp440 [Missing Service]
Searching for Missing Digital Signatures:
* No issues found.
Checking HOSTS File:
* Cannot edit the HOSTS file.
* Permissions could not be fixed. Use Hosts-perm.bat to fix permissions: http://www.bleepingcomputer.com/download/hosts-permbat/
Program finished at: 12/07/2012 03:00:58 PM
Execution time: 0 hours(s), 0 minute(s), and 20 seconds(s)
Scan von Malwarebytes läuft gerade
(hatte den zuvor schon mal laufen lassen ohne Ergebnisse)
http://www.sysprofile.de/id183480
|
|
Boonsy - 33
Experte
(offline)
Dabei seit 03.2008
1758
Beiträge
|
Geschrieben am: 07.12.2012 um 16:10 Uhr
Zuletzt editiert am: 07.12.2012 um 16:14 Uhr
|
|
und wieder hat der Scan kein Ergebnis gebracht...
anscheinend keine Bedrohung und nichts gefunden
was mir grad noch einfällt, als ich die Autostarteinträge entfernt hab, war da ein eintrag: winusbu.dll
was ist das?
edit: diese datei war in User/AppDAta/Roaming versteckt drin bzw ist da noch drin
http://www.sysprofile.de/id183480
|
|
AC52066
Anfänger
(offline)
Dabei seit 12.2012
18
Beiträge
|
|
Geschrieben am: 07.12.2012 um 16:39 Uhr
|
|
Da hätten wir auch schon das Problem.
Ich würde mit der LiveCd scannen, oder mit Malwarebytes im abgesicherten Modus.
Findet dieses Tool einträge?: klick
|
|
Boonsy - 33
Experte
(offline)
Dabei seit 03.2008
1758
Beiträge
|
|
Geschrieben am: 07.12.2012 um 16:42 Uhr
|
|
Zitat von AC52066:
Da hätten wir auch schon das Problem.
Ich würde mit der LiveCd scannen, oder mit Malwarebytes im abgesicherten Modus.
Findet dieses Tool einträge?: klick
mit was für ner LiveCd?
ich versuchs mal im abgesicherten Modus und sag dann Bescheid
http://www.sysprofile.de/id183480
|
|
AC52066
Anfänger
(offline)
Dabei seit 12.2012
18
Beiträge
|
|
Geschrieben am: 07.12.2012 um 16:45 Uhr
|
|
Momment, Malwarebytes updaten, im abgesicherten Modus rkill ausführen, dann ohne Neustart gleich Malwarebytes vollständiger scann alle Partitionen.
|
|
Boonsy - 33
Experte
(offline)
Dabei seit 03.2008
1758
Beiträge
|
|
Geschrieben am: 07.12.2012 um 16:51 Uhr
|
|
Zitat von AC52066: Momment, Malwarebytes updaten, im abgesicherten Modus rkill ausführen, dann ohne Neustart gleich Malwarebytes vollständiger scann alle Partitionen.
ok, scan läuft
http://www.sysprofile.de/id183480
|
|
AC52066
Anfänger
(offline)
Dabei seit 12.2012
18
Beiträge
|
|
Geschrieben am: 07.12.2012 um 17:02 Uhr
|
|
Bei der Gelegenheit, wer sein System kennt, kann damit unerwünschte Vorgänge aufspüren: klick
|
|
Boonsy - 33
Experte
(offline)
Dabei seit 03.2008
1758
Beiträge
|
|
Geschrieben am: 07.12.2012 um 17:15 Uhr
|
|
Scan hat mal wieder nichts gefunden....
http://www.sysprofile.de/id183480
|
|
AC52066
Anfänger
(offline)
Dabei seit 12.2012
18
Beiträge
|
|
Geschrieben am: 07.12.2012 um 17:26 Uhr
|
|
Ich bin sicher beim installieren von irgendwas hat sich so ein Toolbarähnliches dingens eingenistet.
Der scann mit dem Tool geht schnell: klick (Überall Häckchen machen)
Ansonsten mit Hijackthis, und logfile hochladen: klick
Du könntest auch mal diese "winusbu.dll" bei Virustotal prüfen: klick
Wieviel svchost.exe sind im Taskmanager?
|
|
Boonsy - 33
Experte
(offline)
Dabei seit 03.2008
1758
Beiträge
|
Geschrieben am: 07.12.2012 um 17:30 Uhr
Zuletzt editiert am: 07.12.2012 um 17:39 Uhr
|
|
Zitat von AC52066: Ich bin sicher beim installieren von irgendwas hat sich so ein Toolbarähnliches dingens eingenistet.
Der scann mit dem Tool geht schnell: klick (Überall Häckchen machen)
Ansonsten mit Hijackthis, und logfile hochladen: klick
Du könntest auch mal diese "winusbu.dll" bei Virustotal prüfen: klick
Wieviel svchost.exe sind im Taskmanager?
ja aber wie, bzw wo? ich hab doch das System erst neu aufgesetzt und nur Antivir, Druckertreiber, Open Office, Firefox und Thunderbird installiert
der Witz ist, die Datei ist iwie weg, das ist doch nicht mehr normal.
die ist einfach nicht mehr da. ich hab die nicht gelöscht, nicht verschoben und nichts.
svchost.exe ist gar nicht im Taskmanager
und jetzt lässt sich auch ganz normal google benutzen und so
das kann doch nicht sein. das wird doch nich einfach so weg sein. da wrid man noch verrückt...
und wie krieg ich jetzt AntiVir wieder in den Autostart?
und der Scan mit dem aswar Tool hat nichts ergeben
http://www.sysprofile.de/id183480
|
|
AC52066
Anfänger
(offline)
Dabei seit 12.2012
18
Beiträge
|
Geschrieben am: 07.12.2012 um 17:42 Uhr
Zuletzt editiert am: 07.12.2012 um 17:55 Uhr
|
|
Such die Datei winusbu.dll über Windowssuche.
Svchost ist mehrmals im Taskmanager.
Aus der Ferne kann ich nur empfehlen, installier SystemExplorer, und mach ein Bild
Alle Benutzer anzeigen, auch auf Sicherheitsuntersuchung klicken.
Avira in Autostart:
avgnt.exe in den Atostartordner kopieren, oder Reparaturinstallation.
|
|
Boonsy - 33
Experte
(offline)
Dabei seit 03.2008
1758
Beiträge
|
|
Geschrieben am: 07.12.2012 um 17:57 Uhr
|
|
Zitat von AC52066: Such die Datei winusbu.dll über Windowssuche.
Svchost ist mehrmals im Taskmanager.
Aus der Ferne kann ich nur empfehlen, installier SystemExplorer, und mach ein Bild
Alle Benutzer anzeigen, auch auf Sicherheitsuntersuchung klicken.
die Datei lässt sich auch über die Suche nicht finden
Svchost war eben nicht im Taskmanager :D
mit dem einen Tool da zeigts das an, hier ma Screenshot
![[verlinkte Grafik wurde nicht gefunden]](http://www.imgbox.de/users/public/images/uZ8BGNv3kf.png)
http://www.sysprofile.de/id183480
|
|
AC52066
Anfänger
(offline)
Dabei seit 12.2012
18
Beiträge
|
|
Geschrieben am: 07.12.2012 um 18:14 Uhr
|
|
Spybot kannst deinstallieren, die Zeiten sind vorbei.
Brauchst nur Malwarebytes und eine LiveCD, verdächtige Prozesse erkennt man mit dem Programm SystemExplorer, die entfernt man mit Malwarebytes und oder mit einer LiveCd.
Du könntest auch mal auf Sichereitsuntersuchung klicken.
Schätze das Problem ist wie auch immer behoben, ich würd mit dem CCleaner nachwischen, überall Häckchen ausser beim letzten mit dem freien Speicher.
Ausserdem Windowstaste + R:
%SystemRoot%\System32\Cmd.exe /c Cleanmgr /sageset:65535 & Cleanmgr /sagerun:65535
Überall Häckchen, OK, hinterher die Auslagerungsdatei von Windows verwalten lassen klicken, neustarten.
|
|
Boonsy - 33
Experte
(offline)
Dabei seit 03.2008
1758
Beiträge
|
|
Geschrieben am: 07.12.2012 um 18:19 Uhr
|
|
Zitat von AC52066: Spybot kannst deinstallieren, die Zeiten sind vorbei.
Brauchst nur Malwarebytes und eine LiveCD, verdächtige Prozesse erkennt man mit dem Programm SystemExplorer, die entfernt man mit Malwarebytes und oder mit einer LiveCd.
Du könntest auch mal auf Sichereitsuntersuchung klicken.
Schätze das Problem ist wie auch immer behoben, ich würd mit dem CCleaner nachwischen, überall Häckchen ausser beim letzten mit dem freien Speicher.
Ausserdem Windowstaste + R:
%SystemRoot%\System32\Cmd.exe /c Cleanmgr /sageset:65535 & Cleanmgr /sagerun:65535
Überall Häckchen, OK, hinterher die Auslagerungsdatei von Windows verwalten lassen klicken, neustarten.
Spybot hab ich schon deinstalliert
kann ich der Sicherheit jetzt trauen? meine Mutter verwendet ihren PC für Onlineinkäufe bei Amazon oder auch Onlinebanking.
http://www.sysprofile.de/id183480
|
|
[