Vollständige Version anzeigen : Search.socialdownloadr.com redirect Virus lässt sich nicht entfernen


G33z4RR
09.02.2017, 16:15

Hallo zusammen,
Ich habe unerwünschterweise den Virus Search;socialdownloadr~com redirect auf meinem System eingefangen :/ und werde ihn einfach nicht mehr los...
Habe die Schritte zur Entfernung der bösartigen Software auf der Seite
(;;;trojaner-board~de/178252-search-socialdownloadr-com-redirect-entfernen;html#Virus_aus_Browser_entfernen)
befolgt und nur mäßigen Erfolg erzielt.
Habe dazu folgende Software verwendet:
-Adwcleaner
-CCleaner
-Kaspersky Antivirus
-Avast Free Antivirus (hatte ich eh schon im System)
-Malwarebytes Anti-Malware

Denke der größteil des Viruses wurde damit schon eliminiert, nur ploppt regelmäßig Malwarebytes Anti-Malware oder Kaspersky auf und gibt Meldungen durch das Youndoo~com Virus entdeckt wurde - in die Qarantäne verschieben und löschen, bringt anscheinend keinen Erfolg, da der Virus/Wurm/Trojaner sich immer wieder selbst aktiviert und plötzlich da ist. Auffalend ist auch das mein Antivirus Avast wie von Geisterhand dann deaktiviert wird -;-

Habe dann gestern Abend HiJackThis als Administrator ausgeführt und den (jetzt aktueller) Log in die Automatische Logfileauswertung eingefügt.

Logfile of Trend Micro HijackThis v2;0;5
Scan saved at 17:04:39, on 09;02;2017
Platform: Windows 7 SP1 (WinNT 6;00;3505)
MSIE: Internet Explorer v11;0 (11;00;9600;18538)

FIREFOX: 51;0;1 (x86 de)
Boot mode: Normal

Running processes:
E:\Program Files (x86)\Malwarebytes Anti-Malware\mbam;exe
E:\Program Files (x86)\Common Files\Microsoft Shared\Ink\TabTip32;exe
E:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 17;0;0 (1)\avpui;exe
E:\Program Files\AVAST Software\Avast\avastui;exe
E:\Program Files\Tablet\Wacom\32\WacomDesktopCenter;exe
E:\Program Files (x86)\Mozilla Firefox\firefox;exe
E:\Users\R2-D2\Downloads\HijackThis;exe
E:\Windows\SysWOW64\DllHost;exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ;go;microsoft~com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ;go;microsoft~com/fwlink/p/?LinkId=255141
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ;go;microsoft~com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ;go;microsoft~com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ;go;microsoft~com/fwlink/p/?LinkId=255141
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = E:\Windows\SysWOW64\blank;htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system;ini: UserInit=userinit;exe,
O2 - BHO: ScriptInjectionPluginBrowserHelperObject - {2E38825B-8815-42CF-9126-C58BC28D4591} - E:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 17;0;0 (1)\IEExt\ie_plugin;dll
O2 - BHO: Skype for Business Click to Call BHO - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - E:\Program Files (x86)\Microsoft Office\Office16\OCHelper;dll
O2 - BHO: avast! Online Security - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - E:\Program Files\AVAST Software\Avast\aswWebRepIE;dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - E:\PROGRA~2\MICROS~1\Office16\URLREDIR;DLL
O2 - BHO: Microsoft OneDrive for Business Browser Helper - {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} - E:\PROGRA~2\MICROS~1\Office16\GROOVEEX;DLL
O3 - Toolbar: Kaspersky Protection Toolbar - {093F479D-712E-46CD-9E06-62E734A05F68} - E:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 17;0;0 (1)\IEExt\ie_plugin;dll
O4 - HKLM\.;\Run: [StartCCC] "E:\Program Files (x86)\ATI Technologies\ATI;ACE\Core-Static\amd64\CLIStart;exe" MSRun
O4 - HKLM\.;\Run: [AvastUI;exe] "E:\Program Files\AVAST Software\Avast\AvastUI;exe" /nogui
O4 - HKCU\.;\Run: [CCleaner Monitoring] "E:\Program Files\CCleaner\CCleaner64;exe" /MONITOR
O4 - HKUS\S-1-5-19\.;\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar;exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\.;\RunOnce: [mctadmin] E:\Windows\System32\mctadmin;exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\.;\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar;exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\.;\RunOnce: [mctadmin] E:\Windows\System32\mctadmin;exe (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\.;\Run: [] (User 'SYSTEM')
O4 - HKUS\;DEFAULT\.;\Run: [] (User 'Default user')
O8 - Extra context menu item: An OneNote s&enden - res://E:\PROGRA~1\MICROS~2\Office16\ONBttnIE;dll/105
O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - res://E:\PROGRA~1\MICROS~2\Office16\EXCEL;EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\Program Files (x86)\Microsoft Office\Office16\ONBttnIE;dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\Program Files (x86)\Microsoft Office\Office16\ONBttnIE;dll
O9 - Extra button: ;%CommonProgramFiles%\Microsoft Shared\Office16\oregres;dll,-430 - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - E:\Program Files (x86)\Microsoft Office\Office16\OCHelper;dll
O9 - Extra 'Tools' menuitem: ;%CommonProgramFiles%\Microsoft Shared\Office16\oregres;dll,-430 - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - E:\Program Files (x86)\Microsoft Office\Office16\OCHelper;dll
O9 - Extra button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - E:\Program Files (x86)\Microsoft Office\Office16\ONBttnIELinkedNotes;dll
O9 - Extra 'Tools' menuitem: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - E:\Program Files (x86)\Microsoft Office\Office16\ONBttnIELinkedNotes;dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O18 - Protocol: mso-minsb;16 - {3459B272-CC19-4448-86C9-DDC3B4B2FAD3} - E:\Program Files (x86)\Microsoft Office\Office16\MSOSB;DLL
O18 - Protocol: osf;16 - {5504BE45-A83B-4808-900A-3A5C36E7F77A} - E:\Program Files (x86)\Microsoft Office\Office16\MSOSB;DLL
O18 - Filter hijack: text/xml - {807583E5-5146-11D5-A672-00B0D022E945} - E:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE16\MSOXMLMF;DLL
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - E:\Program Files (x86)\Common Files\Adobe\ARM\1;0\armsvc;exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - E:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService;exe
O23 - Service: ;%SystemRoot%\system32\Alg;exe,-112 (ALG) - Unknown owner - E:\Windows\System32\alg;exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - E:\Windows\system32\atiesrxx;exe (file missing)
O23 - Service: AMD FUEL Service - Advanced Micro Devices, Inc. - E:\Program Files\ATI Technologies\ATI;ACE\Fuel\Fuel;Service;exe
O23 - Service: Avast Antivirus (avast! Antivirus) - AVAST Software - E:\Program Files\AVAST Software\Avast\AvastSvc;exe
O23 - Service: Kaspersky Anti-Virus Service 17;0;0 (AVP17;0;0) - AO Kaspersky Lab - E:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 17;0;0 (1)\avp;exe
O23 - Service: Disc Soft Lite Bus Service - Disc Soft Ltd - E:\Program Files\DAEMON Tools Lite\DiscSoftBusServiceLite;exe
O23 - Service: ;%SystemRoot%\system32\efssvc;dll,-100 (EFS) - Unknown owner - E:\Windows\System32\lsass;exe (file missing)
O23 - Service: ;%systemroot%\system32\fxsresm;dll,-118 (Fax) - Unknown owner - E:\Windows\system32\fxssvc;exe (file missing)
O23 - Service: ;%SystemRoot%\system32\ieetwcollectorres;dll,-1000 (IEEtwCollectorService) - Unknown owner - E:\Windows\system32\IEEtwCollector;exe (file missing)
O23 - Service: ;keyiso;dll,-100 (KeyIso) - Unknown owner - E:\Windows\system32\lsass;exe (file missing)
O23 - Service: klvssbrigde64 - AO Kaspersky Lab - E:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 17;0;0 (1)\x64\vssbridge64;exe
O23 - Service: MBAMScheduler - Malwarebytes - E:\Program Files (x86)\Malwarebytes Anti-Malware\mbamscheduler;exe
O23 - Service: MBAMService - Malwarebytes - E:\Program Files (x86)\Malwarebytes Anti-Malware\mbamservice;exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - E:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice;exe
O23 - Service: ;comres;dll,-2797 (MSDTC) - Unknown owner - E:\Windows\System32\msdtc;exe (file missing)
O23 - Service: ;%SystemRoot%\System32\netlogon;dll,-102 (Netlogon) - Unknown owner - E:\Windows\system32\lsass;exe (file missing)
O23 - Service: ;%systemroot%\system32\psbase;dll,-300 (ProtectedStorage) - Unknown owner - E:\Windows\system32\lsass;exe (file missing)
O23 - Service: Cyberlink RichVideo64 Service(CRVS) (RichVideo64) - CyberLink - E:\Program Files\CyberLink\Shared files\RichVideo64;exe
O23 - Service: ;%systemroot%\system32\Locator;exe,-2 (RpcLocator) - Unknown owner - E:\Windows\system32\locator;exe (file missing)
O23 - Service: ;%SystemRoot%\system32\samsrv;dll,-1 (SamSs) - Unknown owner - E:\Windows\system32\lsass;exe (file missing)
O23 - Service: Service KMSELDI - ;ByELDI - E:\Program Files\KMSpico\Service_KMS;exe
O23 - Service: ;%SystemRoot%\system32\snmptrap;exe,-3 (SNMPTRAP) - Unknown owner - E:\Windows\System32\snmptrap;exe (file missing)
O23 - Service: ;%systemroot%\system32\spoolsv;exe,-1 (Spooler) - Unknown owner - E:\Windows\System32\spoolsv;exe (file missing)
O23 - Service: ;%SystemRoot%\system32\sppsvc;exe,-101 (sppsvc) - Unknown owner - E:\Windows\system32\sppsvc;exe (file missing)
O23 - Service: Adobe SwitchBoard (SwitchBoard) - Adobe Systems Incorporated - E:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard;exe
O23 - Service: ;%SystemRoot%\system32\ui0detect;exe,-101 (UI0Detect) - Unknown owner - E:\Windows\system32\UI0Detect;exe (file missing)
O23 - Service: ;%SystemRoot%\system32\vaultsvc;dll,-1003 (VaultSvc) - Unknown owner - E:\Windows\system32\lsass;exe (file missing)
O23 - Service: ;%SystemRoot%\system32\vds;exe,-100 (vds) - Unknown owner - E:\Windows\System32\vds;exe (file missing)
O23 - Service: ;%systemroot%\system32\vssvc;exe,-102 (VSS) - Unknown owner - E:\Windows\system32\vssvc;exe (file missing)
O23 - Service: ;%SystemRoot%\system32\Wat\WatUX;exe,-601 (WatAdminSvc) - Unknown owner - E:\Windows\system32\Wat\WatAdminSvc;exe (file missing)
O23 - Service: ;%systemroot%\system32\wbengine;exe,-104 (wbengine) - Unknown owner - E:\Windows\system32\wbengine;exe (file missing)
O23 - Service: ;%Systemroot%\system32\wbem\wmiapsrv;exe,-110 (wmiApSrv) - Unknown owner - E:\Windows\system32\wbem\WmiApSrv;exe (file missing)
O23 - Service: ;%PROGRAMFILES%\Windows Media Player\wmpnetwk;exe,-101 (WMPNetworkSvc) - Unknown owner - E:\Program Files (x86)\Windows Media Player\wmpnetwk;exe (file missing)
O23 - Service: Wacom Professional Service (WTabletServicePro) - Wacom Technology, Corp. - E:\Program Files\Tablet\Wacom\WTabletServicePro;exe

--
End of file - 9896 bytes


Nach der Logfileauswertung wurden mir ca. 10 Dienste aufgezeigt mit der Meldung:
"der angebliche Systemprozess läuft nicht im System32 Ordner und ist deshalb als schädlich einzustufen. Dieser Dienst (alg;exe) scheint schädlich zu sein.
Prozess läuft nicht im System32 Ordner!" - als Beispiel.

Wenn ich jetzt diese 10 Dienste im HjackThis auswähle und auf "Fix checked" klicke, diese anschließend aus der Quarantäne des Programmes lösche und Neustarte und erneut HjackThis drüber laufen lasse, werden mir wieder GENAU DIE SELBEN schädlichen 10 Dienste aufgezeigt - de facto es wurde nichts gelöscht.

Was kann ich tun? Oder kann mir einer die Möglichkeit nennen wie ich Pfade des Viruses im Registry-Ordner finde, um diese dann Manuell zu löschen?

Beste Grüße

Hardware Preisvergleich | Amazon Blitzangebote!

Videos zum Thema
Video Loading...
raid-rush
09.02.2017, 16:40

Die Antivirensoftware ist meist eh wirkungslos gegen aktuellere Viren. Evtl hat sich das im Firefox mit eingeklingt. Deinstalliere den Browser mal komplett und lösche auch den Userfolder mit den Addons etc. die Bookmarks kannst ja vorher sichern.

Den Avast runter werfen weil zwei bzw drei (Windows Defender) Antivirenprogramme die blockieren sich nur gegenseitig.

Systemwiederherstellung evtl deaktivieren, da können sich auch Viren verstecken.


G33z4RR
10.02.2017, 00:43

Hallo,
-Firefox neu installiert inkl. löschung der Userfolder und Addons
-Avast deinstalliert
-Systemwiederherstellung deaktiviert

Anschließend HiJackThis;exe Verfahren gestartet und nach wie vor das selbe Problem - Es tut sich nichts: nach dem Löschvorgang ist vor dem Löschvorgang Das geht sogar soweit das wenn ich die Quarantäne lösche/leere und HiJackThis erneut starte, die selben Programme vom vorherigen Suchlauf noch dort drin sich befinden, gelöscht wird gar nichts.

Wie kann ich die Pfade dieser Programe ins Registry verfolgen? :/ bzw. wie kann ich diesen Mist manuell löschen?
z. B. O23 - Service: ;%systemroot%\system32\vssvc;exe,-102 (VSS) - Unknown owner - E:\Windows\system32\vssvc;exe (file missing) (ist sehr wahrscheinlich ein Virus)


SpectrumX
10.02.2017, 14:15

Mein Tipp: Mit einer Linux Live CD (z;B. Knoppix) Daten sichern, Kiste platt machen und neu aufsetzen, alle wichtigen Passwörter sofort von einem sauberen System ändern. Ist für Privatanwender i;d;R auch die schnellere Lösung.

Ich jedenfalls würde mich nicht darauf verlassen, dass alles sauber ist nach der Löschung durch irgendwelche AV-Tools. Du kannst (schon gar nicht als Laie) gar nicht beurteilen was die Malware evtl. alles nachgeladen hat und wo sie sich überall reingesetzt hat. Stichwort Rootkits...


raid-rush
10.02.2017, 15:20

Starte mal (;download;sysinternals~com/files/Autoruns;zip) und gehe dort die Dienste und Autostart Einträge durch. Dort kannst du sie dann auch löschen. (Als Admin ausführen, sonst geht's nicht)


G33z4RR
13.02.2017, 20:05

Habe jetzt meine Festplatte formatiert und das System neu aufgesetzt und hab aus Neugier HijackThis drüber laufen lassen. Die Logfileauswertung ist aber beinah die selbe - lol
#attach#56370#/attach#

Glaube eher das Problem liegt bei HijackThis...

Autoruns werde ich auch in Zukunft weiter benutzen, richtig praktisch und nützlich das Programm, vielen Dank!


SpectrumX
15.02.2017, 18:21

HijackThis kannste du eh vergessen, das ist komplett veraltet und ungeeignet. Die Analyse-Datenbank wird meines Wissens nach auch seit Jahren nicht mehr gepflegt... Aber es wird schon iwas drauf gewesen sein wenn mehrere Programme angesprungen sind, MBAM ist ja eigentlich recht zuverlässig.


G33z4RR
15.02.2017, 20:05

Ja Eben, da war auf jeden Fall iein Mist drauf. Denke aber mittlerweile ist alles in Ordnung, da weder Kaspersky noch MBAM anspringt. Vielen Dank für eure Hilfe!


Ähnliche Themen zu Search.socialdownloadr.com redirect Virus lässt sich nicht entfernen
  • programm lässt sich nicht entfernen
    hab auf meinem 7650 symbnes;sis (nes-emulator) installiert, oder wollte ich... und beim installieren kam die meldung: "kann nicht installiert werden, telefon unterstützt speicherkarte nicht" so dann wollte ich das gleich wieder entfernen, allerdings ging das nicht jetzt steht beim manager, dass das [...]

  • Schreibgeschützt lässt sich nicht entfernen!
    Hi, ich hab folgendes Problem mit meinem System: wenn ich bei einem Ordner schreibgeschützt entferne (den Haken wegmache) und dann auf annehmen klicke funktioniert das aber wenn ich den Ordner dann schließe und nochmal die Eigenschaften öffne dann zeigt der mir wieder an, dass der Ordner schreibg [...]

  • [Windows 7] trojan.heur.rp.pq0 virus lässt sich nicht entfernen
    Hallo also ich habe von einem freund per icq einen link geschickt bekommen. Mein bruder hat diesen leider ausgeführt. Nun habe ich eine trojaner namens trojan;heur;rp;pq0 ..;nach einem neustart trojan;heur;rp;qq0 auf dem rechner der sich nach dem entfernen immer wieder selbst erstellt sozusagen . [...]

  • Virus lässt sich nicht entfernen
    moin, also ich hab folgendes Problem, ich hab mein rechner neu installiert aber vergessen mir erst nen Antiviren proggi druff zu machn. Nun hab ich, denke ich mal, nen Virus drauf..;Ich wollte mir Antivir rauf machn aber es kommt ein Fehler dass eine Datei nicht beschrieben werden kann. Das gl [...]



raid-rush.ws | Imprint & Contact pr