Unbekannte Malware

[Martin]

Hy Allerseits
Weiß jemand um was es sich bei dieser Malware handeln kann:
Wenn die Person in dem Wellensittichforum unterwegs ist bei dem ich auch angemeldet bin bekommt sie diesen Effekt

SDC12021.JPG

Wörter sind plötzlich grün und unterstrichen und sind mit Werbeseiten verlinkt:

SDC12022.JPG

Leider hat die Person nicht viel Ahnung von Computern (wie man sehen kann bekommt sie noch nicht einmal ein Screenshot hin..)
Hoffe ihr könnt es trotzdem erkennen.
Sie hat wohl Kaspersky drauf und auch schon öfter durchlaufen lassen bekommt aber keine Fehlermeldung.
Ich habe ihr geraten SpyBot zu installieren, aber um die richtigen Gegenmaßnahmen zu ergreifen wäre es natürlich besser zu wissen was das sein könnte.
Ich tippe auf ein PUP bin aber nicht sicher , mich wundert auch das Kaspersky sich bei ihr noch nicht gemeldet hat..

[Tante Google]

[moinmoin]

Da wird Kaspersky auch nichts melden, das ist Werbung die mit einem Adblocker unterdrückt werden kann.

[Mav]

martin, da ich von ausgehe, das DU ein wenig von Computern verstehst, sag ihr das sie "TEAM-Viewer" installieren soll
(Du natürlich auch)

dann kannst du selber bei ihr auf dem Rechner schauen und entsprechende Schritte einleiten
So mache ich es auch bei meinen Kollegen - hat sich mittlerweile ganz gute eingespielt

[Stealth]

Lacht jetzt nicht ich habe den Schitt jetzt auch über all hier im Forum sehe ich den Schitt und habe den Adblock drauf.

Edit: Firefox neuinstalliert und Adblock wieder dazu und die Sorge ist weg

[Martin]

Na ja ich vermute eine mit irgend ein anderen Programm zusammen installierte Toolbar weswegen auch Kaspersky nicht meckert..

[Gumfuzi]

ja, so Toolbars sind echt das letzte...

[Stealth]

Was genau es bei mir war weiß ich jetzt nicht, was ich nun auch nicht wirklich weiter untersucht habe.
Toolbar schließe ich zwar eigentlich aus, aber vielleicht ist wirklich mal was durchgerutscht.

Firefox deinstalliert > neu installiert > Adblock wieder dazu und die Sorgen sind weg.
Ich hatte zwar ein kompletten Scan gemacht, aber er hatte natürlich nichts gefunden.

[Stealth]

So nun bin ich überfordert, ich habe diesen Werbekram schon wieder und bin mir nicht sicher wober es kommt und abhilfe schaffen kann. Habe euch dazu auch ein Screenshot beigefügt. Zudem hatte ich gestern Firefox neuinstalliert und ging ja für einige Stunden auch gut.

Firefox 23
Add-ons: Adblocker

[moinmoin]

Schau mal in den Autostart, ob da irgendetwas mit startet. Kann durchaus die Ask-Toolbar sein.

[Stealth]

ASK ist nicht dabei als Eintrag.

[moinmoin]

Na toll Ask war doch nur ein Beispiel. Kann ja auch sonst irgendwas sein.
Schau dir die Autostarteinträge einmal mit Autoruns an. http://technet.microsoft.com/de-de/sysi ... 63902.aspx

[Stealth]

Mache ich, gebe sobald ich was habe Rückmeldung.

[Martin]

Mache ich, gebe sobald ich was habe Rückmeldung.

Hattest du nach der Deinstallation denn auch alle Extension im AppData Ordner gelöscht ? - denn dort vermute ich die Quelle von dem Script der diese Verknüpfungen generiert..

[Stealth]

So der gute moinmoin und ich haben gerade über die gesamten Dienste die gestartet wurden auf Anhieb nichts gefunden, bis der gute auf eine Idee gekommen ist, die Addons in Firefox mal zu deaktieren, um sehen ob da eines mit bei ist.
Und tatsächlich, hier wurde folgendes gefunden, was nach der Deaktivierung und Neustart von Firefox endlich den gewünschen Erfolg hatte.
Wenn der Dienst aus dem Autostart genommen wurde, mit dem Programm was @moinmoin gepostet hat, ist dieser Fehler auch nicht mehr im IE.

Hierfür habe ich noch 2 Screenshots beigefügt.

Danke nochmals an moinmoin für die ganze Hilfe

[Martin]

Diesmal hat es mich im IE (brauche ich eh nie musste aber mit gesäubert werden um es ganz runter zu bekommen) und in Google Chrome kalt erwischt.
Und zwar hat sich die Adware Win32.Agent.qvo bei mir eingenistet.
Das Teil ändert die Suchmaschine - es tut weiterhin so als ob Google genutzt wird leitet aber alles zu sich um und verändert auch im Kontextmenü vom Browser und nicht nur da (Shell) die Suchanfrage.
SpyBot hat zwar einiges gefunden aber leider nicht alles.
Was noch hinterhältiger war das Anfragen wie ich den Scheiß herunter bekomme mich dazu bringen wollte Spyhunter 4 zu installieren - Na klar ich treibe den Teufel ganz bestimmt mit dem Beelzebub aus
Also habe ich gestern Nacht mir meine Registry vorgenommen um die restlichen Einträge zu finden und manuell zu löschen bzw. wieder zurück zu ändern das Google nicht mehr umgangen wird...nur musste ich feststellen das der Windows interne Registry Editor leider nicht besonders gut arbeitet und auch nicht alle noch vorhandenen Einträge findet.
So bin ich auf den RegAlyzer.exe über SpyBot gestoßen und mit dem habe ich dann tatsächlich noch alle restlichen verbliebenen Einträge gefunden..
Nach drei Stunden registry durchsuchen und ändern flimmerten mir schon kryptische Zahlenreihen vor den Augen aber es war geschafft und mein Chrome öffnete sich wieder so wie er von Hause aus aussehen sollte...