"ADW cleaner": evtl. Malware?

Fox2Fox

Sicherheitshalber würde ich aber den Inhalt des alten Profils vorher komplett löschen!

Boersenfeger

:shock:
Welches "alte" meinst du denn? Da neu angelegte? das ist dann nicht nötig.... auch nicht bei einem restaurierten....
Das Profil, dessen Inhalt ins neue Profil kopiert werden soll, kannst du ja wohl erst recht nicht meinen... :-??
Verwirre lieber nicht... :mrgreen:

NRG1

Ich glaube Fox2Fox meinte das:

den Inhalt des FFX-Profils auf dem GT72 sicherheitshalber löschen und erst danach den Inhalt ds sauberen neuen Profils vom msi-GE60 auf den msi-GT72 kopieren.

___EDIT 1:___
ich hab auch angenommen, dass das zurücksetzen von FFX genauso "gut" ist wie das Löschen des Inhaltes vom Profil-Ordner: also wäre das Löschen nicht unbedingt notwendig....

__EDIT 2:___
ich wollte eigentlich ursprünglich diese Schritte vornehmen auf dem msi-GT72:

1. mit ADW-Cleaner die Einträge löschen auf dem msi-GT72 (siehe POST #56 von boersenfeger)
1a. nach dem autom. reboot durch ADW-Cleaner nochmal nachschauen mit ADW-cleaner/MBAM ob
alles verschwand und die LOGS hier im Thread posten

2. FFX/CHROME zurücksetzen auf dem msi-GT72
2a. auch diesmal nochmals nachschauen mit ADW-cleaner und MBAM, ob alles OK ist und die LOGS im thread posten
2b. mal paar Tage testen, ob alles OK ist.

3. wenn nach dem testen alles Ok ist dann das Profil( bzw. nur den Inhalt des FFX-Profilordners) vom "msi-GE60" auf den "msi-GT72" kopieren (Anleitung: siehe POST #59 und POST #60)

Sind die Schritte OK?

__EDIT 3:___
Wenn alles gut Läuft (siehe Punkte 1. bis 3.) dann wäre die Beseitigung von Malware auf dem GT72 somit abgeschlossen, odder ?

Fox2Fox

Zitat von Boersenfeger

Welches "alte" meinst du denn?

Genau so meinte ich es:

Zitat von NRG1

Ich glaube Fox2Fox meinte das:
den Inhalt des FFX-Profils auf dem GT72 sicherheitshalber löschen und erst danach den Inhalt ds sauberen neuen Profils vom msi-GE60 auf den msi-GT72 kopieren.

Zitat von Boersenfeger

Das neu angelegte? das ist dann nicht nötig....

Das würde ich sicherheitshalber so machen, um Überschreibungsprobleme auszuschließen.

Fox2Fox

Zitat von NRG1

1. bis 3.
Sind die Schritte OK?

Meiner Meinung nach ja.

Zitat

Wenn alles gut Läuft (siehe Punkte 1. bis 3.) dann wäre die Beseitigung von Malware auf dem GT72 somit abgeschlossen, odder?

Ja.

Führe die Schritte durch und poste das Ergebnis.

Boersenfeger

Augenscheinlich bin ich begriffsstutzig und bitte dies meinem Alter zuzugestehen... :mrgreen:

Fox2Fox

Zitat von Boersenfeger

Augenscheinlich bin ich begriffsstutzig und bitte dies meinem Alter zuzugestehen... :mrgreen:

Solange dich niemand "Opi Börsi" nennt, bist du nicht so alt wie du dich fühlst.... :lol:

NRG1

Zitat von Boersenfeger

Leere den Mülleimer und OpenCandy ist Geschichte.. Lasse AdwCleaner die gefundenen Daten löschen... Die meisten Sachen betreffen Chrome und nicht Firefox.. dort mal alle Erweiterungen entfernen.

Hi

Ich hab gerade "ADW-cleaner" und "MBAM" angeworfen auf dem "msi-GT72".
"ADW-cleaner" hat etwas gelöscht und nach dem automatischen reboot habe
ich wieder mit "ADW-cleaner" nachgeschaut ob wirklich alles weg ist: alle einträge wurden
erfolgreich gelöscht (bericht ist unten eingefügt). MBAM hat ebenfalls nichts mehr
gefunden (nachdem ich den Papierkorb gelöscht hab).

Jetzt wäre an der Reihe: beide Browser zurücksetzen, oder ?
"JRT" oder andere Tools (die ich beim "msi-GE60" einsetzte) sind glaube ich nicht mehr notwendig, wenn "ADW-cleaner"
und "MBAM" nach dem Löschen/Reboot nichts mehr gefunden haben, oder ....?

Code

# AdwCleaner v5.026 - Bericht erstellt am 21/12/2015 um 19:53:24
# Aktualisiert am 21/12/2015 von Xplode
# Datenbank : 2015-12-21.3 [Server]
# Betriebssystem : Windows 8.1  (x64)
# Benutzername : NRG1 - NRG1GT72
# Gestartet von : C:\_xSET\adw_cleaner_LTD\adwcleaner_5.026.exe
# Option : Suchlauf
# Unterstützung : http://toolslib.net/forum


***** [ Dienste ] *****




***** [ Ordner ] *****




***** [ Dateien ] *****




***** [ DLL ] *****




***** [ Verknüpfungen ] *****




***** [ Aufgabenplanung ] *****




***** [ Registrierungsdatenbank ] *****




***** [ Internetbrowser ] *****




########## EOF - C:\AdwCleaner\AdwCleaner[S3].txt - [615 Bytes] ##########

Alles anzeigen

Boersenfeger

Ich denke, dies könntest du dir ersparen...
Wichtig wäre, das du nun in Zukunft so surfst, das du dir nicht wieder "Üblinge" auf deine Systeme einlädst...
Deswegen nochmal der Hinweis:
Deine Freundin sollte auf allen Geräten, die sie nutzt, einen eigenen eingeschränkten Windows-Benutzer-Account bekommen.
http://windows.microsoft.com/de-de/windows/…count=windows-7 Text ist in Deutsch
Gib ihr dann noch mein Sicherheitskonzept zu lesen... dieses findest du in meiner Signatur.. (du könntest ja auch mal drübergucken :mrgreen: )

NRG1

Nabend allerseits !
OK, dann werde ich mich als erstes mit dem Sicherheitskonzept beschäftigen (Danke für die Links!).

Zitat

Ich denke, dies könntest du dir ersparen...

Das bedeutet dass Zurücksetzen der Browser nicht notwendig ist und dass das Beseitigen
von Malware auf dem "msi-GT72" somit jetzt schon abgeschlossen, oder?

Noch eine Frage:
Wenn von Eurer seite nichts dagegen spricht dann werde ich trotzdem beide Profile
(CHROME und FFX) auf dem msi-GT72 zurücksetzen. Ist nur eine "persönliche" Vereinfachung.
Bin grad dabei mir neue (mir noch unbekannte) ADD-Ons von der Mozilla-Seite auszusuchen.
Es ist für mich einfacher die alten ADD-ONs (und ihre Einstellungen), browser-Enstellungen
etc.. etc... etc... einfach komplett zu löschen (duch das Zurücksetzen) und so 100%-ig
sicher mit unangetasteten und nagelneuen Browsern neu anzufangen.

Besten Dank noch mal an alle für Eure Beratung !

...und schöne Weihnachten!

NRG1

Boersenfeger

Ein Profil zurücksetzen/restaurieren wird von hier nie verurteilt.....
Alternativ kannst du ja auch jeweils ein neues anlegen und das verbliebene als Test-Profil nutzen.. (zum Beispiel für die neuen Erweiterungen)
Ich hielt es nur für nicht mehr notwendig...

Frohe Weihnachten <:o

NRG1

Hi,

ich hab heute auch auf dem "msi-GT72" (wie besprochen) beide Browser
zurückgesetzt. Danach habe ich sofort die Tools "ADW-cleaner" und
"MBAM" gestartet: beide haben nichts gefunden (LOGs sind unten eingefügt).
Ich teste mal vielleicht noch ne Woche lang, ob das so bleibt und dann
werde ich das nagelneue FFX-Profil vom "msi-GE60" auf den "msi-GT72" kopieren.

Ich hab gerade noch einmal nachgeschaut, ob mit dem vor kurzem zurückgesetzten
FFX und CHROME auf dem "msi-GE60" weiterhin alles OK ist: ADW-cleaner und MBAM haben
auch in diesem Fall nichts gefunden.
Besten Dank nochmal für Eure Hilfe mit diesen zwei Laptops !!

Wenn mit dem GT72 alles OK läuft nach der "Testwoche" dann werde
ich mich (ich hoffe) nur noch ein letztes Mal melden in diesem Thread
mit meinem dritten (und letzen) Laptop "Packard-Bell TSX62-HR".
Aber ich denke ich werde auch in diesem Fall ganz einfach beide Profile
zurücksetzen. Vorausgesetzt: auch von Eurer Seite spricht nichts dagegen.
Vor dem Zurücksetzen werde ich noch die zwei tools benutzen und die LOGs hier posten

Schönes neues Jahr allerseits and see yahhhh soon! <;)

Code

# AdwCleaner v5.026 - Bericht erstellt am 29/12/2015 um 19:50:41
# Aktualisiert am 21/12/2015 von Xplode
# Datenbank : 2015-12-29.1 [Server]
# Betriebssystem : Windows 8.1  (x64)
# Benutzername : NRG1 - NRG1GT72
# Gestartet von : C:\_xSET\adw_cleaner_LTD\adwcleaner_5.026.exe
# Option : Suchlauf
# Unterstützung : http://toolslib.net/forum


***** [ Dienste ] *****




***** [ Ordner ] *****




***** [ Dateien ] *****




***** [ DLL ] *****




***** [ Verknüpfungen ] *****




***** [ Aufgabenplanung ] *****




***** [ Registrierungsdatenbank ] *****




***** [ Internetbrowser ] *****




########## EOF - C:\AdwCleaner\AdwCleaner[S4].txt - [615 Bytes] ##########

Alles anzeigen

Code

Malwarebytes Anti-Malware
www.malwarebytes.org


Suchlaufdatum: 29.12.2015
Suchlaufzeit: 19:53
Protokolldatei: MBAM_msi_GT72_FFX_chrome_reset.txt
Administrator: Ja


Version: 2.2.0.1024
Malware-Datenbank: v2015.12.29.05
Rootkit-Datenbank: v2015.12.26.01
Lizenz: Kostenlose Version
Malware-Schutz: Deaktiviert
Schutz vor bösartigen Websites: Deaktiviert
Selbstschutz: Deaktiviert


Betriebssystem: Windows 8.1
CPU: x64
Dateisystem: NTFS
Benutzer: NRG1


Suchlauftyp: Bedrohungssuchlauf
Ergebnis: Abgeschlossen
Durchsuchte Objekte: 350390
Abgelaufene Zeit: 6 Min., 20 Sek.


Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Aktiviert
Heuristik: Aktiviert
PUP: Aktiviert
PUM: Aktiviert


Prozesse: 0
(keine bösartigen Elemente erkannt)


Module: 0
(keine bösartigen Elemente erkannt)


Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)


Registrierungswerte: 0
(keine bösartigen Elemente erkannt)


Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)


Ordner: 0
(keine bösartigen Elemente erkannt)


Dateien: 0
(keine bösartigen Elemente erkannt)


Physische Sektoren: 0
(keine bösartigen Elemente erkannt)




(end)

Alles anzeigen

Boersenfeger

Zitat von NRG1

Ich teste mal vielleicht noch ne Woche lang, ob das so bleibt und dann
werde ich das nagelneue FFX-Profil vom "msi-GE60" auf den "msi-GT72" kopieren.

Achtung! Fehlerquelle!!
Nicht das Profil sondern nur den Inhalt in das jeweilige Andere hineinkopieren....
Ansonsten musst du die profiles.ini (diese befindet sich oberhalb vom Profiles-Ordner mit einem Editor entsprechend verändern...
Das vorhandene Profil solltest du vorher leeren....

NRG1

Zitat von Boersenfeger

Achtung! Fehlerquelle!!
Nicht das Profil sondern nur den Inhalt in das jeweilige Andere hineinkopieren....

OK, stimmt ich glaube ich hab mich nur nicht ganz korrekt ausgedrückt hab aber das "richtige" gemeint. :-??:mrgreen:
Es geht darum das zu machen in meinem Fall (um das diesmal exakt auszudrücken): :mrgreen:

Zitat

Wenn Du Firefox schon vor dem Übertragen des Profilordners auf dem neuen Rechner installiert und gestartet hast:
In diesem Fall ist auch schon ein neuer Profilordner mit den Standardeinstellungen vorhanden. Du kannst jetzt die Dateien und Unterordner des neuen Profilordners mit den Dateien und Unterordnern des alten Profilordners überschreiben lassen. Der Name des neuen Profilordners (Buchstaben-/ Zahlenkombination.default) darf dabei nicht geändert werden.

...stammt aus der Anleitung in diesem POST von 2002andreas:
https://www.camp-firefox.de/forum/viewtopi…=939895#p939895

Schönen neues Jahr allerseits !!!!

Boersenfeger

.. dann ist ja gut...
Den Guten Rutsch wünsche ich dir und allen Mitlesenden auch..

NRG1

Nabend allerseits!

Wie angekündigt melde ich mich zurück mit meinem letzen laptop: Packard Bell TSX62-HR.
Unten sind eingefügt die LOGs von "ADW-cleaner" und "MBAM". Wenn es geht dann möchte
ich so schnell wie möglich die beiden Profile von CHROME und FFX zurücksetzen: also nicht
lange suchen mit diversen Tools sondern falls möglich (falls damit alles vollständig beseitigt werden kann)
Profle zurücksetzen. Aber wie gesagt falls möglich: wenn der andere Weg besser ist dann ist das auch
kein Problem.... Zurücksetzen wäre eben nur für mich persönlich etwas einfacher....

Kurze Rückmeldung: das Profil auf dem msi-GE60 ist weitehin "sauber" (hab gerade nachgeschaut mit
"adw-cleaner" und "MBAM"). Das Profil auf dem msi-GT72 ist ebnefalls sauber (erst vor ca. 1 Woche komplett
zurückgesetzt).

Besten Dank and see yahh !!!

Hier die LOGs:

Code

# AdwCleaner v5.028 - Bericht erstellt am 10/01/2016 um 02:16:11
# Aktualisiert am 04/01/2016 von Xplode
# Datenbank : 2016-01-04.2 [Server]
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (x64)
# Benutzername : NRG1 - NRG1TSX62
# Gestartet von : C:\_xSET\adw_cleaner_LTD\adwcleaner_5.028.exe
# Option : Suchlauf
# Unterstützung : http://toolslib.net/forum


***** [ Dienste ] *****




***** [ Ordner ] *****


Ordner Gefunden : C:\Users\NRG1\AppData\Local\Google\Chrome\User Data\Default\Extensions\cknebhggccemgcnbidipinkifmmegdel
Ordner Gefunden : C:\Users\NRG1\AppData\Local\Google\Chrome\User Data\Default\Extensions\oadboiipflhobonjjffjbfekfjcgkhco
Ordner Gefunden : C:\Users\NRG1\AppData\Local\Google\Chrome\User Data\Default\Extensions\dkpejdfnpdkhifgbancbammdijojoffk


***** [ Dateien ] *****


Datei Gefunden : C:\Users\NRG1\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_cknebhggccemgcnbidipinkifmmegdel_0.localstorage
Datei Gefunden : C:\Users\NRG1\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_cknebhggccemgcnbidipinkifmmegdel_0.localstorage-journal
Datei Gefunden : C:\Users\NRG1\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_oadboiipflhobonjjffjbfekfjcgkhco_0.localstorage
Datei Gefunden : C:\Users\NRG1\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_oadboiipflhobonjjffjbfekfjcgkhco_0.localstorage-journal


***** [ DLL ] *****




***** [ Verknüpfungen ] *****




***** [ Aufgabenplanung ] *****




***** [ Registrierungsdatenbank ] *****




***** [ Internetbrowser ] *****


[C:\Users\NRG1\AppData\Roaming\Mozilla\Firefox\Profiles\k39ta9px.default\prefs.js] [Preference] Gefunden : user_pref("extensions.enabledAddons", "nightlaunchcompanion%40example.com:0.1.20150319.0640beta.1-signed,%7Bd33c2f7c-b1e6-4d46-ab0e-be1f6d05c904%7D:2.0.4.1-signed,%7BD4DD63FA-01E4-46a7-B6B1-EDAB7D6AD3[...]
[C:\Users\NRG1\AppData\Local\Google\Chrome\User Data\Default\Web data] [Search Provider] Gefunden : websearch.ask.com
[C:\Users\NRG1\AppData\Local\Google\Chrome\User Data\Default\Web data] [Search Provider] Gefunden : starter-background-changer.en.softonic.com
[C:\Users\NRG1\AppData\Local\Google\Chrome\User Data\Default\Web data] [Search Provider] Gefunden : conduit.search
[C:\Users\NRG1\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] [Extension] Gefunden : cknebhggccemgcnbidipinkifmmegdel
[C:\Users\NRG1\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] [Extension] Gefunden : dkpejdfnpdkhifgbancbammdijojoffk
[C:\Users\NRG1\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] [Extension] Gefunden : oadboiipflhobonjjffjbfekfjcgkhco
[C:\Users\NRG1\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] [Homepage] Gefunden : hxxp://search.avira.com/?l=dis&o=APN10261&gct=hp&dc=EU&locale=de_DE


########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt - [2933 Bytes] ##########

Alles anzeigen

Code

Malwarebytes Anti-Malware
www.malwarebytes.org


Suchlaufdatum: 10.01.2016
Suchlaufzeit: 02:25
Protokolldatei: MBAM_tsx_2016.txt
Administrator: Ja


Version: 2.2.0.1024
Malware-Datenbank: v2016.01.09.05
Rootkit-Datenbank: v2016.01.09.01
Lizenz: Kostenlose Version
Malware-Schutz: Deaktiviert
Schutz vor bösartigen Websites: Deaktiviert
Selbstschutz: Deaktiviert


Betriebssystem: Windows 7 Service Pack 1
CPU: x64
Dateisystem: NTFS
Benutzer: NRG1


Suchlauftyp: Bedrohungssuchlauf
Ergebnis: Abgeschlossen
Durchsuchte Objekte: 444017
Abgelaufene Zeit: 21 Min., 41 Sek.


Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Aktiviert
Heuristik: Aktiviert
PUP: Aktiviert
PUM: Aktiviert


Prozesse: 0
(keine bösartigen Elemente erkannt)


Module: 0
(keine bösartigen Elemente erkannt)


Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)


Registrierungswerte: 0
(keine bösartigen Elemente erkannt)


Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)


Ordner: 0
(keine bösartigen Elemente erkannt)


Dateien: 2
PUP.Optional.OpenCandy, C:\$Recycle.Bin\S-1-5-21-1380941013-3406578661-1190750501-1001\$RSGT2GC.exe, , [267360d77128f442cf1f2409cc366a96], 
PUP.Optional.OpenCandy, C:\$Recycle.Bin\S-1-5-21-1380941013-3406578661-1190750501-1001\$RY3AWQJ.exe, , [ff9a9d9a4a4fe74f2ec08ba2be4460a0], 


Physische Sektoren: 0
(keine bösartigen Elemente erkannt)




(end)

Alles anzeigen

Fox2Fox

Lasse alles, was gefunden wurde, von MBAM und AdwCleaner löschen.

Danach kannst du das Profil zurücksetzen.

Boersenfeger

BTW: Es ist zielführend, wenn VOR einem Scan der jeweilige Papierkorb geleert würde..

NRG1

Hi
Auf dem "Packard Bell TSX62" habe ich heute das gemacht:

1. alle einträge gelöscht vom "ADW cleaner" und "MBAM"
2. CHROME und FFX zurückgesetzt
3. mit "ADW-cleaner" und "MBAM" nochmal nachgeschaut
4. Ergebnis: beide Tools habe nichts mehr gefunden.
5. Ich teste jetz noch vielleicht noch ne Woche, ob nach dem Zurücksetzen noch etwas auftaucht auf dem "TSX62".

Wie es aussieht sind jetzt alle 3 Laptops frei vom Malware. Ich werde mich noch vielleicht in den nächsten 3-4 Wochen
noch eins, zwei Mal melden in diesem Thread und berichten, ob weitehin alles OK ist auf den drei Laptops...

und ansonsten:

nochmals besten Dank an alle Jungzz und Mädelzzz für Eure Hinweise in diesem Thread !!! :klasse::klasse:

....and see yahh soon guys!

NRG!

NRG1

Hi

Ich wollte mal wieder nach Eurer meinung fragen.
Im LOG-file vom "ADW-Cleaner" ist ein Eintrag aufgetaucht (MBAM fand nichts):
auf dem älteren Laptop "Packard- Bell TSX62" habe ich ein eingeschränkten Windows-Account angelegt.
Beim ersten start von FFX bzw. Chrome fragte mich die Antivirus-Software (F-Secure internet security 2016) ob ich eine "F-secure Toolbar" und ein weiteres Plug-In zum browser hinzufügen soll. Ich wollte dieses mal ausprobieren, wie diese ADD-ONs funktionieren und F-Secure installierte die Features. Ich hab diese Toolbar glaube ich noch nie zuvor installiert.... F-Secure fragte das schon öfter in den letzten Jahren also war es nichts ausssergewöhnliches (hab F-secure schon seit 3-4 Jahren auf allen Laptops/PCs). ADW-cleaner fand einen Eintrag im FFX unter dem eingeschränkten Windows-Account: ist denke ich ein "false/positive"-Ergebnis ....oder? Evtl. diesemal auch wieder nachfragen beim Entwickler von ADW-Cleaner (siehe POST #48 und #49 in diesem Thread) ?

Besten Dank!

Code

# AdwCleaner v5.032 - Bericht erstellt am 03/02/2016 um 21:45:49
# Aktualisiert am 31/01/2016 von Xplode
# Datenbank : 2016-02-02.1 [Server]
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (x64)
# Benutzername : NRG1 - NRG1TSX62
# Gestartet von : C:\_xSET\adw_cleaner_LTD\adwcleaner_5.032.exe
# Option : Suchlauf
# Unterstützung : http://toolslib.net/forum


***** [ Dienste ] *****




***** [ Ordner ] *****




***** [ Dateien ] *****




***** [ DLL ] *****




***** [ Verknüpfungen ] *****




***** [ Aufgabenplanung ] *****




***** [ Registrierungsdatenbank ] *****




***** [ Internetbrowser ] *****


[C:\Users\ONEzzzztsx62\AppData\Roaming\Mozilla\Firefox\Profiles\0m4z3rwu.default\prefs.js] [Preference] Gefunden : user_pref("extensions.enabledAddons", "safesearch%40f-secure.com:1.06.116,%7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:43.0.3");


########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt - [884 Bytes] ##########

Alles anzeigen