Fieses Addon Searchya?!

robinvon

Hallo ,
ich bin neu hier und eigentlich nur User, fast ein DAU, und habe folgendes Problem.
Ich habe kürzlich versehentlich oder unbewußt eine Toolbar von Searchya! installiert. NEbene dem Problem, dass die dazugehörige Homepage als Startseite von mir nicht zu ändern ist, soll diese Toolbar ein ganz schlimmer Finger sein und mich ausspionieren. Nun meine Frage: Wie bekomme ich diesen Dreck wieder weg?
Ich traue den wenigen und mir sehr kompliziert erscheinenden Anleitungen im Netz nicht. Außerdem, wer garantiert mir, dass diese Anleitungen ehrlich gemeint sind und nicht meinen PC für noch mehr Schrott öffnen? :-???
Ich hoffe, einer von euch kann mir helfen.

Besten Dank im voraus!

robinvon

Docc

Hallo robinvon,

searchya ist nicht das eigentliche Problem. Es kommt darauf an, was im Fahrwasser dieser Toolbar auf das System gelangt ist. In diesem Fall müsste man die Sache anders anpacken.

Eventuell kannst du dich erinnern, was dem Problem voraus gegangen ist? Vielleicht ein Programmupdate, die Neuinstallation einer Software, ein Download??

Lade dir bitte Malwarebytes Anti-Malware runter, dann das Tool updaten, einen Full-Scan durchführen. Anschließend ein Logfile erstellen und hier posten. - Funde bitte nicht löschen, sondern in Quarantäne verschieben!!!

gruß,
docc

Bernd.

Zitat

Ich traue den wenigen und mir sehr kompliziert erscheinenden Anleitungen im Netz nicht.

Womit du recht hast, da mir eben so eine Anleitung mitsamt Programm untergekommen ist.
Bitte keine dubiosen Programme von noch weniger bekannten Seiten herunterladen!

Eine leichte Anweisung fand ich hier
http://www.gutefrage.net/frage/searchya-toolbar-entfernen

Zitat

Bei Firefox unter Extras -> Einstellungen und dann bei Allgemein kann die Startseite geändert werden.
Bei IE unter Extras -> Internetoptionen Und die Toolbar kannst du entfernen, indem du beim Fenster nachdem du den Arbeitsplatz geöffnet hast auf Software oder Programme installieren/deinstallieren oder ändern steht da glaube ich.

Letzteres bezieht sich auf die Systemsteuerung > Programme (bzw Software) > Eintrag markieren/deinstallieren.

Die Anwendung von Malwarebytes ist folgerichtig und konsequent und kann vor oder nach der beschrieben Deinstallation/Änderung ausgeführt werden.

MfG

robinvon

Hallo Bernd,

vielen Dank für den Versuch, leider bringt der aber nichts. Den Hinweis habe ich auch gefunden.
Aber:
1. Wenn man die Startseitenadresse ändert fragt Searchya permanent, ob man nicht wieder zur Searchya-Startseite wechseln möchte. Außerdem ändert das nichts an der zusätzlichen Toolbar.
2. In den Systemeinstellungen habe ich leider nirgends eine damit verknüpfte Software zum deinstallieren gefunden.
Kurz, ich glaube nicht, dass der Hinweis bei http://www.gutefrage.net jemanden geholfen hat.

Da habe ich mir wohl einen ganz schönen Mist eingebrockt, denn angeblich ist damit auch ein Keylogger und ein Phishing-Programm verknüpft. Was vielleicht aber nur zur Panikmache und zur Installation von richtig hinterhältigen Programmen dient.

Dennoch, Danke für die Mühe!

Grüße,

robinvon

Bernd.

Ich hatte folgende Passage von weiter von Docc nochmal angesprochen. Hole das bitte umgehend nach!

Zitat von Docc

Hallo robinvon,
Lade dir bitte Malwarebytes Anti-Malware runter, dann das Tool updaten, einen Full-Scan durchführen. Anschließend ein Logfile erstellen und hier posten. - Funde bitte nicht löschen, sondern in Quarantäne verschieben!!!
gruß,
docc

MfG

robinvon

Guten Abend,

ich habe mir, wie empfohlen, "Malwarebytes" installiert und ausgeführt. Leider gab es folgende Problemchen.
Es wurden zahlreiche auffällige Objekte gefunden. Leider konnte ich nur ein Logfile anlegen und die Objekte entweder löschen oder die ganze Aktion abbrechen. In Quarantäne schieben ging nicht, da es nicht angeboten wurde (ich entschied mich fürs löschen). Hier der Inhalt:

Malwarebytes Anti-Malware (Test) 1.61.0.1400
http://www.malwarebytes.org

Datenbank Version: v2012.05.02.06

Windows XP Service Pack 2 x86 NTFS
Internet Explorer 6.0.2900.2180
Dorit :: FRITZ [Administrator]

Schutz: Aktiviert

02.05.2012 21:00:23
mbam-log-2012-05-02 (22-52-58).txt

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 6
HKCR\AppID\{0D82ACD6-A652-4496-A298-2BDE705F4227} (Adware.ClickPotato) -> Keine Aktion durchgeführt.
HKCR\AppID\{7025E484-D4B0-441a-9F0B-69063BD679CE} (Adware.ClickPotato) -> Keine Aktion durchgeführt.
HKCR\AppID\{8258B35C-05B8-4c0e-9525-9BCCC70F8F2D} (Adware.ClickPotato) -> Keine Aktion durchgeführt.
HKCR\AppID\{A89256AD-EC17-4a83-BEF5-4B8BC4F39306} (Adware.ClickPotato) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{46897C77-E7A6-4C33-BFFB-E9C2E2718942} (Adware.Mp3Tube) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7} (Adware.Softomate) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 4
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser|{46897C77-E7A6-4C33-BFFB-E9C2E2718942} (Adware.Mp3Tube) -> Daten: w|‰F¦ç3L¿ûéÂâq‰B -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{B58926D6-CFB0-45d2-9C28-4B5A0F0368AE} (Adware.ClickPotato) -> Daten: -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping|{B58926D6-CFB0-45d2-9C28-4B5A0F0368AE} (Adware.ClickPotato) -> Daten: 8198 -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{46897C77-E7A6-4C33-BFFB-E9C2E2718942} (Adware.Mp3Tube) -> Daten: -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 6
C:\Dokumente und Einstellungen\Dorit\Anwendungsdaten\Desktopicon\eBayShortcuts.exe (Adware.ADON) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Dorit\Lokale Einstellungen\Temp\is1373634743\IWantThis_ROW.exe (Adware.GamePlayLabs) -> Keine Aktion durchgeführt.
c:\dokumente und einstellungen\dorit\lokale einstellungen\temp\7096078.uninstall\uninstall.exe (PUP.Adware.InstallCore) -> Keine Aktion durchgeführt.
c:\system volume information\_restore{08a5f15b-d5f0-4d17-893d-8b358608dcf6}\rp790\a0091664.exe (PUP.Adware.InstallCore) -> Keine Aktion durchgeführt.
D:\Programme\Autodesk\keygen.exe (Malware.Gen) -> Keine Aktion durchgeführt.
D:\Progs_original\Artlantis R 1.0\Artlantis_R_crk.exe (RiskWare.Tool.CK) -> Keine Aktion durchgeführt.
(Ende)

Ich hoffe, das hilft weiter.

Beste Grüße

robinvon

Docc

Hallo robinvon!

Code

D:\Programme\Autodesk\keygen.exe (Malware.Gen) -> Keine Aktion durchgeführt.

Code

D:\Progs_original\Artlantis R 1.0\Artlantis_R_crk.exe (RiskWare.Tool.CK) -> Keine Aktion durchgeführt.

Du verwendest illegale Software (keygen.exe), um dir die Nutzung von kommerzieller Software zu erschleichen. Das hat zwangsläufig zu den von dir geschilderten Problemen geführt. Darüber hinaus wurde das gesamte System kompromittiert.

Ändere unverzüglich (über eine saubere Rechnerverbindung) alle Kenn- und Passwörter, und verzichte bis zur Neuinstallation konsequent auf Online Banking und Online Shopping. Das ist erst dann wieder sicher, wenn das Betriebssystem einschließlich Master Boot Record neu aufgesetzt wurde.

Code

Windows XP Service Pack 2 x86 NTFS
Internet Explorer 6.0.2900.2180

Zudem fehlt für XP das Service Pack 3, was wiederum das Sicherheitsupgrade des Internet Explorers auf Version 8 verhindert. Ob hier nun auch noch das Windows-Betriebssystem gecrackt ist, weißt du besser als ich!

Hier endet unsere Hilfe!!

Ich schließe den Thread mit Hinweis auf die Forenregeln, wegen der Verwendung von Cracks und illegaler Software.

Nachzulesen in den Forenregeln, Punkt [F]: https://www.camp-firefox.de/forum/viewtopic.php?f=1&t=66525

gruß,
docc