[xxxonividxxx]

Hallo,

ich habe seit ein paar Tagen ein kleines Problem....

Wenn ich meinen Pc starte öffnet sich automatisch Chrome mit der Site farmastar.net...

Die Site läuft dann im so vor sich hin, bis man den Browser schließt.

Hab jetzt schon eine Virensuche mit AVG Free durchlaufen lassen und habe auch schon das Windows-Tool zum entfernen bösartiger Söftware durchlaufen lassen, ohne nennenswerte Funde...

hatte jemand schon mal das Problem und könnte mir eventuell bei der Beseitigung davon helfen?

Ich danke für jeden hilfreichen Tipp im voraus....

[Prince]

Mal den ADWCleaner und Malwarebytes' Anti-Malware drüberlaufen lassen.

[Freiheit09]

Habs auch mit den Programmen (ADWCleaner und Malwarebytes' Anti-Malware) nicht weg bekommen aber in der regedt32 nen eintrag gefunden und gelöscht dann kam nix mehr.

[xxxonividxxx]

danke erstmal an prince für den hilfe versuch^^
und auch danke an freiheit09

ADWCleaner und Malwarebytes' Anti-Malware haben leider das gewünschte Problem nicht beseitigt...

Habe dann auch im regedit nach den Eintrag gesucht und bin dann auch fündig geworden... habe die Einträge gelöscht und nun startet der Browser nicht mehr mit der site.... (wie ich im nach hinein gesehen habe startete vor dem Start des Browsers ein cmd)

aber eine andere Frage stellt sich mir als Laie dennoch, bin ich nun das Problem endgültig los oder muss ich immernoch mit einen vorhanden sein des "ungewollten Gastes" rechnen?
-> Ich habe ADWCleaner / Trojan Remover / Windows Tool zum entfernen... / AVG und Anti-Malware drüberlaufen lassen (es kamen zwar auch funde, diese wurden beseitigt, danach trat bis zum regedit editieren das Problem weiterhin auf

ich danke euch beiden für eure hilfe im voraus, habe übrigens auch mal einen Screenshot von den daten des Störenfriedes gemacht (Angaben aus msconfig) - falls dieser weiterhilft stelle ich Ihn gern online

[eitch100]

Zitat:

Zitat von xxxonividxxx

aber eine andere Frage stellt sich mir als Laie dennoch, bin ich nun das Problem endgültig los oder muss ich immernoch mit einen vorhanden sein des "ungewollten Gastes" rechnen?
-> Ich habe ADWCleaner / Trojan Remover / Windows Tool zum entfernen... / AVG und Anti-Malware drüberlaufen lassen (es kamen zwar auch funde, diese wurden beseitigt, danach trat bis zum regedit editieren das Problem weiterhin auf

Also wenn das etwas wirklich bösartiges ist, bekommst du das mit Sicheheit nicht einfach durch das Löschen einiger Registryeinträge mit entsprechendem Namen weg, da die Hacker nicht so blöd sind und alle Registryeinträge so leicht erkennbar machen... Einige Schädlinge sitzen auch im MBR oder nisten sich in der Systemwiederherstellung ein. Wenn du also besagte Antivirensoftware rüberlaufen lässt, die Funde (angeblich) beseitigt wurden, aber es bei nochmaligem Suchlauf wieder Treffer gibt, sitzt das Problem tiefer. Dann muss man den Übeltäter identifizieren und gezielt bekämpfen.

[Undertaker2011]

Mein Rat: Sichere die Daten und mach das System platt!

[Destiny]

Wenn er davon Ahnung hat, kann er das machen. Ansonsten vielleicht jemanden aus dem Freundeskreis, der sich gut mit so etwas auskennt oder mal bei einer PC Werkstatt nachfragen. Die helfen manchmal auch und es muss nicht immer alles neu aufgesetzt werden.

[eitch100]

ich habe nochmal ein bisschen gegoogelt...

Also 1. heißt es nicht farmastar.net sondern anscheinend ja wohl farmaster.net

Das scheint ein relativ neues "Teil" zu sein, aber z.B. bei trojaner-board.de beherrschbar. [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] Da wird unter anderem mit FRST (Farbar's Recovery Scan Tool) gearbeitet. Damit kenne ich mich nicht weiter aus und überlasse es jedem es selbst zu versuchen... Zumindest muss/soll wohl erst der CMD Start nach dem Booten aus der Registry gekillt werden....

Ob JRT (Junkware Removal Tool) auch funktioniert, weiß ich leider nicht... [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Edit:

Zitat:

Zitat von Destiny

...oder mal bei einer PC Werkstatt nachfragen. Die helfen manchmal auch...

Mit sowas brauchst du das nicht in die Werkstatt bringen. Die lassen da auch nur ein paar Standardprogramme rübersausen und beten, dass es reicht. Ansonsten könnte man das auch nicht bezahlen, wenn die sich mit jedem Virus explizit auseinandersetzen würden...

[xxxonividxxx]

Hi^^,

ich hab jetzt mehrmals Malwarebyte's Anti Malware, ADWCleaner und Junkware Removal Tool durchlaufen lassen und es wurde nix bis auf meine preferences von Chrome (durch ADW Cleaner) erkannt... auch nach löschen von dieser Datei wurden die Preferences mir immer wieder bei ADW Cleaner angezeigt... kann das ein Fehler des tools sein?

[Freiheit09]

Die Programme finden auch rein gar nix die werden eh immer gepostet standartmässig ich hab was mit Kaspersky gefunden.

[eitch100]

@xxxonividxxx
Wenn das etwa so aussieht...
##### C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\preferences #####
...ist das völlig normal. Das besagt nur, dass Adwcleaner diese Datei überprüft hat. Die Datei wird von Chrome automatisch angelegt und in ihr werden die Einstellungen gespeichert.

Hast du JRT auch als Administrator ausgeführt? Hast du noch Probleme? Finden die Programme noch etwas?

@Freiheit09
Das liegt daran, dass sich diese Programme sowohl bei der Identifizierung und Beseitigung bewährt haben. Mit irgendetwas muss man ja mal anfangen... Kaspersky oder auch der Eset Online Scanner sind natürlich auch gute Virenscanner... Wie gesagt, ist das A und O erstmal, dass man weiß, was man bekämpft, damit man es gezielt entfernen kann. Und wenn keinerlei Logs gepostet werden, ist es sowieso schwer zu helfen... Das heißt jetzt allerdings nicht, dass ich der große Log-Analyst wäre...

Und hier ist mal ein Item aus einem FRST Log, was ein Teil des Problems ist...
HKLM-x32\...\Run: [CMD] => cmd.exe /k if %date:~6,4%%date:~3,2%%date:~0,2% LEQ 20140911 (exit) else (start hxxp://farmaster.net/ && exit)

[xxxonividxxx]

Zitat:

Zitat von eitch100

Hast du JRT auch als Administrator ausgeführt? Hast du noch Probleme? Finden die Programme noch etwas?

ne ganz normal, mit doppelklick, hat ja auch gestartet und durchsucht, werde es aber gleich nochmal als admin durchlaufen lassen^^

@ eitech100: es zeigt auch als admin ausgeführt kein virus an

[eitch100]

Ist ja erstmal ein gutes Zeichen. Da das Ding wohl recht frisch war, solltest du auf jeden Fall recht zeitnah mit aktuellen Versionen der Virenscanner kontrollieren... Könntest auch noch mal mit dem "Eset Online Scan" eine weitere Meinung einholen... Und guck am Besten nochmal, ob du in der Registry einen Eintrag wie den unten aus Post #11 findest.

[ckjthedogmaster]

Zitat:

Zitat von xxxonividxxx

es wurde nix bis auf meine preferences von Chrome (durch ADW Cleaner) erkannt...

Dann schaue doch einfach mal in den Erweiterungen, Plugins und Addons. Das bei allen Browsern. Was da nicht hingehört (Toolbars etc... ) löschen.

Z.b. die Delta-Toolbar wird bei ADW als schädlich erkannt.

Aber das CMD- Fenster kommt nicht mehr? Sollte ja eigentlich nicht.

Zitat:

Zitat von eitch100

Da das Ding wohl recht frisch war, solltest du auf jeden Fall recht zeitnah mit aktuellen Versionen der Virenscanner kontrollieren...

Naja, ne ernste Infektion ist es ja erstmal nicht, wenn es sich lediglich eine Datei anlegt. Wahrscheinlich vom TE selber noch installiert mit irgendwelchen Müll.

Mfg

[eitch100]

@ckjthedogmaster
Da hast du etwas falsch verstanden oder etwas hastig gelesen...

Die Datei, die der Adwcleaner ausspuckt, wird automatisch von Google Chrome angelegt und ist nicht das Problem. (Siehe Post #11)

Aber... wenn eine Infektion immer wieder eine Datei anlegen würde, kann man natürlich nicht darauf schließen, ob es ernst ist oder nicht. Zumindest wäre die Infektion nicht vollständig beseitigt...