Zitat von 2002AndreasOk, dann lass bitte mal alles löschen was der Cleaner gefunden hat.
Das war Beitrag 5 da stand nix von avira deaktivieren...
und Beitrag 7:
"Dann lass alles löschen, was Malwarebytes gefunden hat und mach einen neuen Scan mit Malwarebytes, poste das Ergebnis."
steht auch nix davon...
Bei den späteren Beiträgen, war das Kind ja schon in den Brunnen gefallen 
Wie gesagt, ist der awesomehp jetzt draussen 
Zitat von BoersenfegerDies könnte gelingen, kommt aber auf den Fiesling an... wenn du wirklich sicher gehen willst, setzt du dein System neu auf.
Dies wurde dir nun mehrfach mitgeteilt, weitere Nachfragen erübrigen sich....
Anleitungen zum Neuaufsetzen gibt es zuhauf im Internet oder auch hier im Forum... musst du nur nach suchen...
D.h. mit anderen Worten, ich soll Ruhe geben...
Also erst mal ein herzliches Danke an Eure Arbeit und Hilfe. Ich möchte aber doch noch was anmerken.
Ich hab also den Fiesling rausgekriegt, das lag daran, dass es in Win 8.1 mehrere Stellen gibt, wo die Startseite eingetragen werden kann. Das habe(n) ich/wir übersehen. Es sind auch die Kacheln im Startmenue, man muss dort auf "Speicherort öffnen" klicken und dann beim Eintrag über Eigenschaften den Eintrag der Startseite korrigieren, gleiches gilt für den ME...
Da beim Entfernen der Malware ja die Registry korrigiert wird, hätte ich mir schon einen Hinweis gewünscht, dass man den Virenscanner vorher ausschaltet bzw. Änderungen an der Registry zuläßt, das hätte einige Verwirrungen vermieden...
Ansonsten habe ich viel gelernt über Computer und den Umgang damit...
Danke nochmals... "Machts gut und Danke für den Fisch" (Douglas Adams)
An anderer Stelle berichtete ein Benutzer, er hätte mit dem Zurücksetzen auf einen Wiederherstellungspunkt sein System wieder flott gekriegt und den awesomehp rausgekriegt...
Ist das anzuraten und wie geht das?
Ich weiss ja das Datum, wann die Infektion war!
Hab mit dem registrierungseditor nachgeschaut.
Unter Run sind nur 2 Einträge:
(Standard)...
HP Photosmart 5510....
Brauch ich einen anderen Editor, oder was?
OK, ich mach mich nochmal auf die Suche
Die Einträge am Desktop und Taskleiste sind i.O.
Es scheint eher was damit zu tun zu haben, ob die Netzverbindung vor der Windowsanmeldung bereits steht. Wenn sie nämlich unten ist, kann ich Firefox "normal" aufrufen ??
Hallo,
es passiert seltsames:
Ich fahre Windows hoch mit getrennter Netzverbindung. Gehe dann auf den Desktop, verbinde mich mit dem Netz und starte Firefox, es kommt meine übliche Google-Startseite.
Wenn ich nicht über den Desktop gehe, sondern vor der Anmeldung die Netzverbindung hochfahre, dann anmelde und Firefox über die Taskleiste starte oder das Startmenü, kommt wieder awesomehp!!
Malwarebytes wie gesagt negativ, s.o.
Danke schon mal und schönen Tag
Hab in der Registry gesucht und keinen Key "RUN Nextlive" gesehen ...
Malwarebytes ist nochmal gelaufe, hat aber nichts gefunden:
Malwarebytes Anti-Malware 1.75.0.1300
http://www.malwarebytes.org
Datenbank Version: v2014.01.30.07
Windows 8 x64 NTFS
Internet Explorer 11.0.9600.16476
chrissi :: TORDESHIMMELS [Administrator]
02.02.2014 21:19:29
mbam-log-2014-02-02 (21-19-29).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 414000
Laufzeit: 45 Minute(n), 17 Sekunde(n)
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)
(Ende)
-----------------------
Hallo,
hab in der Registry gesucht, konnte aber den Eintrag nicht finden. Muss man beim Suchen was beachten? Ich hab halt nur den Teilstring "PUP..." angegeben...
Die Registry hat ja mehrere Ordner, wo schaut man da am besten?
In den Programmen hab ich nichts verdächtiges gefunden.
Gruss
Ja, und was nun?
:?
Hab diese XML Datei gelöscht...
Gestern ging Firefix einwandfrei, doch
ÜBERRASCHUNG: heute früh war awesomehp wieder da!!
Wie das???? :o:o
Hallo,
ich hab nochmal nachgeschaut und einen falschen Eintrag für das Symbol der Taskleiste gefunden und berichhtigt. Jetzt klappts beim Starten und awesomehp ist WEG!!
Allerdings hab ich im Programmordner unter Mozilla Firefox, Unterordner searchplugins noch eine XML-Datei "awesomehp" gefunden. Kann ich die einfach löschen?
Danke für Eure Hilfe
Lieber Gruss
Ja hab ich gelesen.
Und den Eintrag gleich am Anfang berichtigt..
Für den IE hab ich keine Verknüpfung, weil ich ihn nicht benütze.
Gibt es woanders noch Stellen?
Gruss
hab alles löschen lassen und einen neuen scan gemacht:
Malwarebytes Anti-Malware 1.75.0.1300
http://www.malwarebytes.org
Datenbank Version: v2014.01.30.07
Windows 8 x64 NTFS
Internet Explorer 11.0.9600.16476
chrissi :: TORDESHIMMELS [Administrator]
31.01.2014 18:35:24
mbam-log-2014-01-31 (18-35-24).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 413844
Laufzeit: 1 Stunde(n), 5 Minute(n), 9 Sekunde(n)
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)
(Ende)
-----------------
Allerdings kam beim löschen eine Meldung von avira (war immer aktiv), dass der zugriff auf die registry verhindert war.
Ist das die Ursache, dass awesomehp immer noch da ist?
Hallo,
der (oder die?) Malwarebytes ist gelaufen und hat was gefunden:
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org
Datenbank Version: v2014.01.30.07
Windows 8 x64 NTFS
Internet Explorer 11.0.9600.16476
chrissi :: TORDESHIMMELS [Administrator]
30.01.2014 22:10:57
MBAM-log-2014-01-30 (23-31-24).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 413987
Laufzeit: 1 Stunde(n), 5 Minute(n), 17 Sekunde(n)
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 1
C:\Users\chrissi\AppData\Roaming\newnext.me\nengine.dll (PUP.Optional.NextLive.A) -> Keine Aktion durchgeführt.
Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|NextLive (PUP.Optional.NextLive.A) -> Daten: C:\WINDOWS\SysWOW64\rundll32.exe "C:\Users\chrissi\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l -> Keine Aktion durchgeführt.
Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse: 2
C:\Users\chrissi\AppData\Roaming\newnext.me (PUP.Optional.NextLive.A) -> Keine Aktion durchgeführt.
C:\Users\chrissi\AppData\Roaming\newnext.me\cache (PUP.Optional.NextLive.A) -> Keine Aktion durchgeführt.
Infizierte Dateien: 13
C:\Users\chrissi\AppData\Local\Microsoft\Windows\INetCache\IE\OWS1TK6S\Setup[1].exe (PUP.Optional.InstallCore.A) -> Keine Aktion durchgeführt.
C:\Users\chrissi\AppData\Local\Microsoft\Windows\INetCache\IE\XPUFG5W6\ClickMeInGeneric[1].exe (PUP.Optional.Clickmein) -> Keine Aktion durchgeführt.
C:\Users\chrissi\AppData\Local\Temp\bhs25E.tmp (PUP.Optional.BundleInstaller.A) -> Keine Aktion durchgeführt.
C:\Users\chrissi\AppData\Local\Temp\Wrcg5gyM.exe.part (PUP.Optional.Smart) -> Keine Aktion durchgeführt.
C:\Users\chrissi\AppData\Local\Temp\fullpackage_temp1390592008\package1.zip (PUP.Optional.SkyTech.A) -> Keine Aktion durchgeführt.
C:\Users\chrissi\AppData\Local\Temp\fullpackage_temp1390592008\QQBrowserFrame.dll (PUP.Optional.SkyTech.A) -> Keine Aktion durchgeführt.
C:\Users\chrissi\AppData\Local\Temp\is45637729\1026459_stp\rcpsetup_adppi15_adppi15.exe (PUP.Optional.RegCleanPro) -> Keine Aktion durchgeführt.
C:\Users\chrissi\Downloads\Player(1).exe (PUP.Optional.BundleInstaller.A) -> Keine Aktion durchgeführt.
C:\Users\chrissi\Downloads\Player.exe (PUP.Optional.BundleInstaller.A) -> Keine Aktion durchgeführt.
C:\Users\chrissi\Downloads\video_downloader.exe (PUP.Optional.Bundlore) -> Keine Aktion durchgeführt.
C:\Users\chrissi\AppData\Roaming\newnext.me\nengine.dll (PUP.Optional.NextLive.A) -> Keine Aktion durchgeführt.
C:\Users\chrissi\AppData\Roaming\newnext.me\nengine.cookie (PUP.Optional.NextLive.A) -> Keine Aktion durchgeführt.
C:\Users\chrissi\AppData\Roaming\newnext.me\cache\spark.bin (PUP.Optional.NextLive.A) -> Keine Aktion durchgeführt.
(Ende)Ich hab nichts gelöscht oder verändert aber die Logdatei gespeichert.
Hallo danke für die Hilfe,
hier ist der adwcleaner-Report:
# AdwCleaner v3.018 - Bericht erstellt am 30/01/2014 um 21:16:27
# Updated 28/01/2014 von Xplode
# Betriebssystem : Windows 8.1 (64 bits)
# Benutzername : chrissi - TORDESHIMMELS
# Gestartet von : C:\Users\chrissi\Downloads\adwcleaner.exe
# Option : Suchen
***** [ Dienste ] *****
***** [ Dateien / Ordner ] *****
Datei Gefunden : C:\Users\Public\Desktop\eBay.lnk
Datei Gefunden : C:\WINDOWS\System32\roboot64.exe
Ordner Gefunden C:\Program Files (x86)\MyPC Backup
Ordner Gefunden C:\Program Files (x86)\MyPC Backup
Ordner Gefunden C:\Program Files (x86)\optimizer pro
Ordner Gefunden C:\Users\chrissi\AppData\Roaming\Systweak
Ordner Gefunden C:\Users\chrissi\Documents\optimizer pro
***** [ Verknüpfungen ] *****
***** [ Registrierungsdatenbank ] *****
Schlüssel Gefunden : HKCU\Software\AppDataLow\{1146AC44-2F03-4431-B4FD-889BC837521F}
Schlüssel Gefunden : HKCU\Software\AppDataLow\Software\Crossrider
Schlüssel Gefunden : HKCU\Software\InstallCore
Schlüssel Gefunden : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
Schlüssel Gefunden : HKCU\Software\systweak
Schlüssel Gefunden : [x64] HKCU\Software\InstallCore
Schlüssel Gefunden : [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
Schlüssel Gefunden : [x64] HKCU\Software\systweak
Schlüssel Gefunden : HKLM\Software\{1146AC44-2F03-4431-B4FD-889BC837521F}
Schlüssel Gefunden : HKLM\Software\{6791A2F3-FC80-475C-A002-C014AF797E9C}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
Schlüssel Gefunden : HKLM\Software\systweak
Schlüssel Gefunden : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
***** [ Browser ] *****
-\\ Internet Explorer v11.0.9600.16384
-\\ Mozilla Firefox v26.0 (de)
[ Datei : C:\Users\chrissi\AppData\Roaming\Mozilla\Firefox\Profiles\fuybox9c.default-1390949049818\prefs.js ]
*************************
AdwCleaner[R0].txt - [2046 octets] - [30/01/2014 21:16:27]
########## EOF - C:\AdwCleaner\AdwCleaner[R0].txt - [2106 octets] ##########
Hab sonst nichts gemacht.
Gruss
Hallo,
ich habe mir diese Suchmaschine awesomehp eingefangen. Konnte den Trojaner, der sie eingeschleust hat entfernen mit avira. Firefox habe ich zurückgesetzt, jetzt kann ich wenigstens meine bisherige Startseite wieder manuell aufrufen. Aber awesomehp bleibt als Startseite, egal was man so in die Einstellungen eingibt. awesomehp scheint ziemlich hartnäckig zu sein. Hat sich auch in den IE eingenistet, den ich aber nicht als Standard habe.
Nützt es Firefox einfach neu zu installieren? oder was kann man sonst tun?
Ich weiss nicht, ob ich einen Wiederherstellungspunkt habe, sonst könnte man da evtl. zurücksetzen, oder?
Hab Windows 8.1 und Firefox 26.0.
Danke schon mal und Schönen Tag