firefox-Einstellungen verändern sich immer wieder

    Ich benutze Windows10 und Firefox.


    Schon x mal habe ich in Firefox als Standardsuchmaschine und als Startsteite google eingegeben. Unter "Ein-Klick-Suchmaschinen" habe ich alles abgewählt außer google.
    Starte ich Firefox neu, erscheint aber pentrant Yahoo als Startseite.
    Dabei ist als Link-Startseite in den Firefox-einstelllungen folgendes hinterlegt:


    "http://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRghCIw4JAAwQQhhFcQsNTA0XFlAOeFwBBBRFEgYacwlaBQoXEVYFIk0FA18DB0VXfWFoKB8fHGdGM0xUFUo5VFc="


    Das sieht mir sehr seltsam aus...Ich ändere dann die Einstellungen wieder ab - und bis zum nächsten Mal verschwinden sie wieder, und ich sehe wieder diesen "Müll". Was kann ich tun?

    Hallo Brigitte,


    willkommen im Viren-Forum! Bei der Entfernung von Malware ist es wichtig, dass Du immer alle Punkte in der vorgegebenen Reihenfolge abarbeitest und keine Programme ohne Absprache installierst.


    Bitte alle anfallenden Punkte in einem Benutzerkonto mit Admin-Rechten durchführen, also nicht in einem Benutzerkonto mit eingeschränkten Rechten arbeiten.


    Stoppe und frage, wenn etwas nicht funktioniert oder unklar ist.


    Berichte mir zu jedem Punkt, dass Du ihn erledigt hast.


    Wenn Logdateien angefragt werden, kannst Du .txt-Dateien direkt hier im Forum hochladen => im Textfeld unten Dateianhänge anklicken => auf Hochladen klicken => Datei auswählen => Datei wird automatisch hochgeladen.



    ===== Punkt 1 =====


    Suchlauf mit Farbar Recovery Scan Tool im Normal-Modus


    Lade die passende Version von Farbar Recovery Scan Tool herunter FRST.exe (32-Bit) ::: FRST64.exe (64-Bit).
    Speichere das Tool auf Deinem Desktop (nicht woanders hin).
    Wenn Du unsicher bist, ob Dein Windows unter 32-Bit oder 64-Bit läuft, kontrolliere das hier:
    Start => Rechtsklick auf Computer => Eigenschaften => Systemtyp


    • Starte die FRST.exe respektive die FRST64.exe per Doppelklick -
      Vista- und Win7-Benutzer starten per Rechtsklick und wählen Als Administrator ausführen.
    • Mache Haken bei:
    • Registry
    • Internet
    • Shortcut.txt
    • Addition.txt
    • Akzeptiere die Bedingungen mit "Ja" und klicke Untersuchen


    Das Tool erstellt drei Berichte namens FRST.txt, Shortcut.txt sowie Addition.txt im gleichen Pfad, in welchem sich die FRST.exe befindet. Lade die Berichte bitte hier im Forum als Anhang wie folgt hoch: => im Textfeld unten Dateianhänge anklicken => auf Hochladen klicken => Datei auswählen => die Datei wird automatisch hochgeladen.


    Hinweis:
    FRST wird aktuell häufig aktualisiert - neue Versionen werden automatisch heruntergeladen.
    Ältere Versionen werden in den Ordner FRST-OlderVersion verschoben.

    Hallo Petra,
    erstmal danke für Deine schnelle Antwort, ist ja Luxus. Gerade mal zwei Wochen alt und schon ist mein neuer Rechner beim Arzt... :(
    Die exe wurde erstmal standardmäßig im Download-Ordner abgespeichert, ich habe sie von dort ausgeschnitten und auf dem Desktop eingefügt, danach ausgeführt und die Warnmeldung von Windows auch weggeklickt. Das wird hoffentlich alles so richtig gewesen sein.
    Anbei die 3 Berichte.
    Gruß, Brigitte.

    Hallo Brigitte,


    ja, da hat sich schon einiges an Ad- und Spyware angesammelt.


    Es ist wichtig, dass Du die Punkte in der vorgegebenen Reihenfolge abarbeitest.
    Stoppe und frage, wenn etwas nicht funktioniert oder unklar ist.



    ===== Punkt 1 =====


    Bitte die folgenden schädlichen Programme über Systemsteuerung => Programme und Funktionen deinstallieren:


    Ad-/Spyware:
    IncrediMail
    Photo Notifier and Animation Creator
    Results Hub
    SecurityUtility




    ===== Punkt 2 =====


    Adware mit AdwCleaner beseitigen


    • Lade bitte AdwCleaner herunter und speichere ihn auf dem Desktop.


    • AdwCleaner ist geeignet für Windows XP/Vista/7/8 in 32- und 64-Bit-Versionen.


    • Starte die adwcleaner.exe mit einem Doppelklick.
      Vista- und Windows 7/8-User starten bitte per Rechtsklick auf das Icon und wählen "Als Administrator ausführen".
    • Klicke nun erst auf den Button Suchen
    • Wenn der Scan durchgelaufen ist und die Ergebnisse unter den einzelnen Reitern anzeigt, klicke auf den Button Löschen.
    • AdwCleaner macht Dich darauf aufmerksam, dass alle laufenden Programme geschlossen werden, damit die Bereinigung erfolgen kann.
      Also angefangene Arbeiten speichern und die Anwendung schließen.


    • Am Ende des Suchlaufs klicke auf Bericht, das öffnet eine Textdatei.
    • Lade bitte den Bericht als Dateianhang hoch.
    • Die Logdatei findest Du auch unter C:\AdwCleaner\AdwCleaner[Sx].txt.




    ===== Punkt 3 =====


    Java deinstallieren - Experiment


    Auf Java am besten ganz verzichten, brauchen die meisten Benutzer nicht.
    Ohne Java können viele Sicherheitslücken erst gar nicht ausgenutzt werden.
    Siehe hierzu diesen Blogeintrag: Leben ohne Java




    ===== Punkt 4 =====


    Erstelle nun bitte frische Logs mit FRST, damit ich prüfen kann, ob noch weiterer Handlungsbedarf besteht.

    Liebe Petra, ich bin Dir sehr dankbar für Deine Hilfe. Komme leider heute nach einem langen Arbeitstag erst spät zum Antworten.
    zu Punkt 1:
    IncrediMail und Photo Notifier and Animation Creator
    habe ich NICHT deinstalliert - deswegen weil das mein Mail-Programm ist seit mindestens 10 Jahren. Ich nutze die kostenpflichtige, werbungsfreie Premiumversion, es handelt sich dabei also nicht um Ad-/Spyware.
    zu Punkt 2:
    Hier habe ich die zu IncrediMail (IM) gehörenden Teile nicht gelöscht, anbei Screenshots meiner Einstellungen im AdwCleaner sowie einen Bericht nach dem Suchlauf (so wie von Dir geschrieben) und einen
    Bericht, den ich nach der Löschung erstellt habe, ich wusste nicht genau, welchen Du meinst.
    zu Punkt 3:
    Ja, ich habe schon gehört, Java ist schwierig. Ich nutze allerdings einen Route Converter, mit dem ich von der Software MagicMaps Tour Explorer erstellte ikt-Dateien umwandeln kann in gxp-Dateien, und der benötigt Java...Mein Problem mit Firefox zeigte sich schon, bevor ich Java installiert habe - dennoch danke für Deinen Hinweis.
    Falls ich das Programm trotzdem deinstallieren soll, sag Bescheid.
    Gruß, Brigitte.

    Hallo Brigitte,


    zu Punkt 1: die Adware-freie Pro Version ist ok.


    zu Punkt 2: diese Einträge trotzdem noch mit dem AdwCleaner löschen, gehören nicht zu IM:


    Code
    [!] Schlüssel Nicht Gelöscht : [x64] HKCU\Software\OCS [!] Schlüssel Nicht Gelöscht : [x64] HKCU\Software\{3BDFD1D7-7A9B-4D29-80B3-D00E66E62885} [!] Schlüssel Nicht Gelöscht : HKU\S-1-5-21-3067783740-214361916-2767786210-1001\Software\AppDataLow\Software\{3BDFD1D7-7A9B-4D29-80B3-D00E66E62885}
[-] Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
[!] Schlüssel Nicht Gelöscht : [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
[!] Schlüssel Nicht Gelöscht : HKU\S-1-5-21-3067783740-214361916-2767786210-1001\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}


    Berichte mir bitte wie der Computer jetzt läuft und erstelle frische Logs mit FRST :)

    Hallo Petra,
    die von Dir oben genannten 4 Schlüssel habe ich im AdwCleaner nicht gesehen, auch nicht im Reiter "Registry".... Drei andere Schlüssel waren drin, die habe ich gelöscht.
    Anbei der Bericht vor und nach der Löschung sowie die Frst-Logs.


    Mein Rechner läuft soweit gut (er lief nicht langsam oder so), positive Veränderung: Beim Öffnen von Firefox startet das Programm jetzt nicht mit yahoo sondern mit der Firefox-Startseite- die ist auch bei den Einstellungen eingetragen. Allerdings: wenn ich einen neuen Tab öffne, dann ist das die Yahoo-Seite. Warum, ist mir unklar.
    Gruß
    Brigitte.

    Hallo Petra,
    leider war heute als Standard-Start-Seite in Firefox schon wieder die oben in meinem ersten Eintrag genannte aufgeführt :(
    dies nur als Info und Ergänzung zum gestrigen Beitrag.
    Gruß
    Brigitte

    Hallo Brigitte...
    Ich möchte Petra ungerne bei der Bereinigung stören - könntest du aber bitte einmal das noch tun:

    • Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
    • Danach die PPFScan.exe starten.
    • Lass auf Nachfrage des Programms die 64Bit Version des Scanners starten.
    • Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
    • Wähle im Untermenü Script laden und ausführen.
    • Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mit Ja.
    • Nach dem Scan beendet sich der Scanner und es öffnet sich im Windows-Explorer der Ordner C:\PPF_Scan1. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei speedyshare.com/ hoch und poste die Download Links hier.

    Danach auf Petra warten.

    Du erhalst nach dem hochladen einen Löschlink oder Löschcode. Der ist für dich. Sind wir fertig, kannst du die Dateien damit später bei Speedyshare wieder löschen lassen. Nach dem Upload jeder Datei werhälst du auch einen Downloadlink. Den brauchen wir hier, um uns die Dateien anzusehen. Als Anhang für das Forum sind die Dateien leider zu groß - deswegen der Umweg.

    Zitat von AHT

    Du erhalst nach dem hochladen einen Löschcode. Sind wir fertig, kannst du die Dateien damit später bei Speedyshare wieder löschen lassen...

    Löschcodes sehe ich - soll ich mir die nun aufschreiben und danach die Codes aus der speedy Seite löschen? Oder soll ich sie unverändert stehen lassen und einfach die Links in meinen Beitrag kopieren?

    Die Links in deinen Beitrag kopieren - mit den Löschcodes noch nichts tun - die erst aufschreiben. Sind wir hier ganz fertig, kannst du die Dateien löschen - vorher nicht.

    ok, ich verstehe das nun so, dass ich die Codes unangetastet lasse.
    hier die Links:
    http://speedy.sh/zRukq/Firewall.txt
    http://speedy.sh/uSQtF/Hidden.txt
    http://speedy.sh/QCyPp/Threads.txt
    http://speedy.sh/yYB6Z/Warnings.txt
    http://speedy.sh/Barm5/Disks.txt
    http://speedy.sh/rT3fx/Drivers.txt
    http://speedy.sh/3sD7z/Eventlog.txt
    http://speedy.sh/DJvhu/Files.txt
    http://speedy.sh/v2nWQ/Firefox-prefs-bapyvt4p.default.txt
    http://speedy.sh/neNwy/MD5.txt
    http://speedy.sh/NXk4B/Memory.txt
    http://speedy.sh/kct9r/Modules.txt
    http://speedy.sh/t8PA3/ppFiles.txt
    http://speedy.sh/Pq6KD/ppRegistry.txt
    http://speedy.sh/6FmVv/Processes.txt
    http://speedy.sh/mpfdn/Scripting.txt
    http://speedy.sh/fZ7EN/Services.txt

    OK - hat sich schon geklärt. Die Datei, die mir ins Auge gefallen ist, gehört zu einem Treiber des Motherboards und ist beim Scan in Verwendung gewesen.
    In FireFox sitzt noch was:
    FF Extension: Results Hub - C:\Users\Pasqu\AppData\Roaming\Mozilla\Firefox\Profiles\bapyvt4p.default\Extensions\{773f4ac1-b11f-40ae-b848-c91d9250e85d}.xpi [2015-09-13]
    https://www.virustotal.com/de/…ea2eeb0b341f058/analysis/


    Das müsste auch noch weg:

    • user_pref("browser.newtab.url", "http://searchinterneat-a.akamaihd.net/t?eq=U0EeFFhaR1oWHFRAdwhZVFgSDFMScgwVVV9GRBgbJQBdTA1CEgwQcFtcUl9BQhNBNARaB0tXUUEeGGlxR1dMc1BQNVVMEnEEQw==");
    • user_pref("browser.startup.homepage", "http://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRghCIw4JAAwQQhhFcQsNTA0XFlAOeFwBBBRFEgYacwlaBQoXEVYFIk0FA18DB0VXfWFoKB8fHGdGM0xUFUo5VFc=");
    • user_pref("keyword.URL", "http://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfVhbVggQFFRAbV8JUwxcFVMUJRQABAAUDAEQcwALUVsVElMTIx9aFQQTR0cFME0FB18EURNNfWtdEkwdVUZrNVs=&q={searchTerms}");

    Der Schutz dafür ist weg. Müsste jetzt einfach zu entfernen sein.

    Danke Andreas :)


    Hallo Brigitte,


    ===== Punkt 1 =====


    Fix mit Farbar Recovery Scan Tool


    Lade die angehängte fixlist.txt herunter und speichere die Datei im selben Pfad, in welchem sich die FRST(64).exe befindet.





    • Starte nun erneut die FRST.exe bzw. die FRST64.exe per Rechtsklick und wähle "Als Administrator ausführen", klicke dieses Mal auf den Entfernen-Button.
    • Wenn der Fix durchgelaufen ist, meldet FRST "Fix completed".




    Das Tool erstellt eine Datei Fixlog.txt im gleichen Pfad. Lade bitte Fixlog.txt hier im Forum hoch.


    Hinweis für Mitleser: Das Skript ist individuell für diesen Computer angepasst und darf nicht auf anderen Systemen angewendet werden.




    ===== Punkt 2 =====


    Firefox - Reste über about:config entfernen


    Firefox starten
    In die Adresszeile eingeben => about:config => Enter drücken
    Bestätige, dass Du vorsichtig sein wirst.


    Folgende Einstellungen sind nicht korrekt und müssen geändert werden:
    Gib searchinterneat unter Suchen ein.
    Es erscheinen alle Zeilen, die das Suchwort enthalten.


    Um die Einträge zurückzusetzen, einfach rechte Maustaste auf die einzelnen Zeilen und zurücksetzen wählen.
    Wenn alle Zeilen zurückgesetzt sind, schließe den Tab von about:config.


    Schaue auch unter Extras => Addons => Erweiterungen
    Wenn da noch etwas von searchinterneat zu finden ist, bitte entfernen.


    Ebenfalls unter Suchmaschinen verwalten schauen, ob Du da noch etwas von searchinterneat findest, ebenfalls dort entfernen und z. B. Google als Standard-Suchmaschine einstellen.

    Zitat von AHT

    Das müsste auch noch weg:

    Hallo AHT, soll ich nun zuerst das obige "Das müsste auch noch weg" bearbeiten - wenn ja, wie?? bzw. wo?? löschen
    oder zuerst Petras Anleitung? Mit der obigen Anmerkung :


    Zitat von AHT

    Die Startseite hat die Erweiterung auch wieder geändert - das steht (noch) nicht im LOG von Farbar.

    kann ich leider nichts anfangen, muss ich da was beachten? wenn ja was?
    DANKE!
    Gruß,Brigitte.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden