Search.socialdownloadr.com redirect Virus lässt sich nicht entfernen

Dieses Thema im Forum "Viren, Trojaner & Malware" wurde erstellt von G33z4RR, 9. Februar 2017 .

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. 9. Februar 2017
    Hallo zusammen,
    Ich habe unerwünschterweise den Virus Search.socialdownloadr.com redirect auf meinem System eingefangen :/ und werde ihn einfach nicht mehr los...
    Habe die Schritte zur Entfernung der bösartigen Software auf der Seite
    http://www.trojaner-board.de/178252-search-socialdownloadr-com-redirect-entfernen.html#Virus_aus_Browser_entfernen
    befolgt und nur mäßigen Erfolg erzielt.
    Habe dazu folgende Software verwendet:
    -Adwcleaner
    -CCleaner
    -Kaspersky Antivirus
    -Avast Free Antivirus (hatte ich eh schon im System)
    -Malwarebytes Anti-Malware

    Denke der größteil des Viruses wurde damit schon eliminiert, nur ploppt regelmäßig Malwarebytes Anti-Malware oder Kaspersky auf und gibt Meldungen durch das Youndoo.com Virus entdeckt wurde - in die Qarantäne verschieben und löschen, bringt anscheinend keinen Erfolg, da der Virus/Wurm/Trojaner sich immer wieder selbst aktiviert und plötzlich da ist. Auffalend ist auch das mein Antivirus Avast wie von Geisterhand dann deaktiviert wird -.-

    Habe dann gestern Abend HiJackThis als Administrator ausgeführt und den (jetzt aktueller) Log in die Automatische Logfileauswertung eingefügt.
    Code:
    Logfile of Trend Micro HijackThis v2.0.5
    Scan saved at 17:04:39, on 09.02.2017
    Platform: Windows 7 SP1 (WinNT 6.00.3505)
    MSIE: Internet Explorer v11.0 (11.00.9600.18538)
    
    FIREFOX: 51.0.1 (x86 de)
    Boot mode: Normal
    
    Running processes:
    E:\Program Files (x86)\Malwarebytes Anti-Malware\mbam.exe
    E:\Program Files (x86)\Common Files\Microsoft Shared\Ink\TabTip32.exe
    E:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 17.0.0 (1)\avpui.exe
    E:\Program Files\AVAST Software\Avast\avastui.exe
    E:\Program Files\Tablet\Wacom\32\WacomDesktopCenter.exe
    E:\Program Files (x86)\Mozilla Firefox\firefox.exe
    E:\Users\R2-D2\Downloads\HijackThis.exe
    E:\Windows\SysWOW64\DllHost.exe
    
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/p/?LinkId=255141
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/p/?LinkId=255141
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = E:\Windows\SysWOW64\blank.htm
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
    F2 - REG:system.ini: UserInit=userinit.exe,
    O2 - BHO: ScriptInjectionPluginBrowserHelperObject - {2E38825B-8815-42CF-9126-C58BC28D4591} - E:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 17.0.0 (1)\IEExt\ie_plugin.dll
    O2 - BHO: Skype for Business Click to Call BHO - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - E:\Program Files (x86)\Microsoft Office\Office16\OCHelper.dll
    O2 - BHO: avast! Online Security - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - E:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
    O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - E:\PROGRA~2\MICROS~1\Office16\URLREDIR.DLL
    O2 - BHO: Microsoft OneDrive for Business Browser Helper - {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} - E:\PROGRA~2\MICROS~1\Office16\GROOVEEX.DLL
    O3 - Toolbar: Kaspersky Protection Toolbar - {093F479D-712E-46CD-9E06-62E734A05F68} - E:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 17.0.0 (1)\IEExt\ie_plugin.dll
    O4 - HKLM\..\Run: [StartCCC] "E:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\amd64\CLIStart.exe" MSRun
    O4 - HKLM\..\Run: [AvastUI.exe] "E:\Program Files\AVAST Software\Avast\AvastUI.exe" /nogui
    O4 - HKCU\..\Run: [CCleaner Monitoring] "E:\Program Files\CCleaner\CCleaner64.exe" /MONITOR
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] E:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] E:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [] (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [] (User 'Default user')
    O8 - Extra context menu item: An OneNote s&enden - res://E:\PROGRA~1\MICROS~2\Office16\ONBttnIE.dll/105
    O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - res://E:\PROGRA~1\MICROS~2\Office16\EXCEL.EXE/3000
    O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\Program Files (x86)\Microsoft Office\Office16\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\Program Files (x86)\Microsoft Office\Office16\ONBttnIE.dll
    O9 - Extra button: @%CommonProgramFiles%\Microsoft Shared\Office16\oregres.dll,-430 - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - E:\Program Files (x86)\Microsoft Office\Office16\OCHelper.dll
    O9 - Extra 'Tools' menuitem: @%CommonProgramFiles%\Microsoft Shared\Office16\oregres.dll,-430 - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - E:\Program Files (x86)\Microsoft Office\Office16\OCHelper.dll
    O9 - Extra button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - E:\Program Files (x86)\Microsoft Office\Office16\ONBttnIELinkedNotes.dll
    O9 - Extra 'Tools' menuitem: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - E:\Program Files (x86)\Microsoft Office\Office16\ONBttnIELinkedNotes.dll
    O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
    O18 - Protocol: mso-minsb.16 - {3459B272-CC19-4448-86C9-DDC3B4B2FAD3} - E:\Program Files (x86)\Microsoft Office\Office16\MSOSB.DLL
    O18 - Protocol: osf.16 - {5504BE45-A83B-4808-900A-3A5C36E7F77A} - E:\Program Files (x86)\Microsoft Office\Office16\MSOSB.DLL
    O18 - Filter hijack: text/xml - {807583E5-5146-11D5-A672-00B0D022E945} - E:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE16\MSOXMLMF.DLL
    O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - E:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
    O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - E:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
    O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - E:\Windows\System32\alg.exe (file missing)
    O23 - Service: AMD External Events Utility - Unknown owner - E:\Windows\system32\atiesrxx.exe (file missing)
    O23 - Service: AMD FUEL Service - Advanced Micro Devices, Inc. - E:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe
    O23 - Service: Avast Antivirus (avast! Antivirus) - AVAST Software - E:\Program Files\AVAST Software\Avast\AvastSvc.exe
    O23 - Service: Kaspersky Anti-Virus Service 17.0.0 (AVP17.0.0) - AO Kaspersky Lab - E:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 17.0.0 (1)\avp.exe
    O23 - Service: Disc Soft Lite Bus Service - Disc Soft Ltd - E:\Program Files\DAEMON Tools Lite\DiscSoftBusServiceLite.exe
    O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - E:\Windows\System32\lsass.exe (file missing)
    O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - E:\Windows\system32\fxssvc.exe (file missing)
    O23 - Service: @%SystemRoot%\system32\ieetwcollectorres.dll,-1000 (IEEtwCollectorService) - Unknown owner - E:\Windows\system32\IEEtwCollector.exe (file missing)
    O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - E:\Windows\system32\lsass.exe (file missing)
    O23 - Service: klvssbrigde64 - AO Kaspersky Lab - E:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 17.0.0 (1)\x64\vssbridge64.exe
    O23 - Service: MBAMScheduler - Malwarebytes - E:\Program Files (x86)\Malwarebytes Anti-Malware\mbamscheduler.exe
    O23 - Service: MBAMService - Malwarebytes - E:\Program Files (x86)\Malwarebytes Anti-Malware\mbamservice.exe
    O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - E:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe
    O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - E:\Windows\System32\msdtc.exe (file missing)
    O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - E:\Windows\system32\lsass.exe (file missing)
    O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - E:\Windows\system32\lsass.exe (file missing)
    O23 - Service: Cyberlink RichVideo64 Service(CRVS) (RichVideo64) - CyberLink - E:\Program Files\CyberLink\Shared files\RichVideo64.exe
    O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - E:\Windows\system32\locator.exe (file missing)
    O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - E:\Windows\system32\lsass.exe (file missing)
    O23 - Service: Service KMSELDI - @ByELDI - E:\Program Files\KMSpico\Service_KMS.exe
    O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - E:\Windows\System32\snmptrap.exe (file missing)
    O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - E:\Windows\System32\spoolsv.exe (file missing)
    O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - E:\Windows\system32\sppsvc.exe (file missing)
    O23 - Service: Adobe SwitchBoard (SwitchBoard) - Adobe Systems Incorporated - E:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
    O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - E:\Windows\system32\UI0Detect.exe (file missing)
    O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - E:\Windows\system32\lsass.exe (file missing)
    O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - E:\Windows\System32\vds.exe (file missing)
    O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - E:\Windows\system32\vssvc.exe (file missing)
    O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - E:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
    O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - E:\Windows\system32\wbengine.exe (file missing)
    O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - E:\Windows\system32\wbem\WmiApSrv.exe (file missing)
    O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - E:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
    O23 - Service: Wacom Professional Service (WTabletServicePro) - Wacom Technology, Corp. - E:\Program Files\Tablet\Wacom\WTabletServicePro.exe
    
    --
    End of file - 9896 bytes
    
    Nach der Logfileauswertung wurden mir ca. 10 Dienste aufgezeigt mit der Meldung:
    "der angebliche Systemprozess läuft nicht im System32 Ordner und ist deshalb als schädlich einzustufen. Dieser Dienst (alg.exe) scheint schädlich zu sein.
    Prozess läuft nicht im System32 Ordner!" - als Beispiel.

    Wenn ich jetzt diese 10 Dienste im HjackThis auswähle und auf "Fix checked" klicke, diese anschließend aus der Quarantäne des Programmes lösche und Neustarte und erneut HjackThis drüber laufen lasse, werden mir wieder GENAU DIE SELBEN schädlichen 10 Dienste aufgezeigt - de facto es wurde nichts gelöscht.

    Was kann ich tun? Oder kann mir einer die Möglichkeit nennen wie ich Pfade des Viruses im Registry-Ordner finde, um diese dann Manuell zu löschen?

    Beste Grüße
     
  2. 9. Februar 2017
    AW: Search.socialdownloadr.com redirect Virus lässt sich nicht entfernen

    Die Antivirensoftware ist meist eh wirkungslos gegen aktuellere Viren. Evtl hat sich das im Firefox mit eingeklingt. Deinstalliere den Browser mal komplett und lösche auch den Userfolder mit den Addons etc. die Bookmarks kannst ja vorher sichern.

    Den Avast runter werfen weil zwei bzw drei (Windows Defender) Antivirenprogramme die blockieren sich nur gegenseitig.

    Systemwiederherstellung evtl deaktivieren, da können sich auch Viren verstecken.
     
  3. 10. Februar 2017
    AW: Search.socialdownloadr.com redirect Virus lässt sich nicht entfernen

    Hallo,
    -Firefox neu installiert inkl. löschung der Userfolder und Addons
    -Avast deinstalliert
    -Systemwiederherstellung deaktiviert

    Anschließend HiJackThis.exe Verfahren gestartet und nach wie vor das selbe Problem - Es tut sich nichts: nach dem Löschvorgang ist vor dem Löschvorgang Das geht sogar soweit das wenn ich die Quarantäne lösche/leere und HiJackThis erneut starte, die selben Programme vom vorherigen Suchlauf noch dort drin sich befinden, gelöscht wird gar nichts.

    Wie kann ich die Pfade dieser Programe ins Registry verfolgen? :/ bzw. wie kann ich diesen Mist manuell löschen?
    z. B. O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - E:\Windows\system32\vssvc.exe (file missing) (ist sehr wahrscheinlich ein Virus)
     
  4. 10. Februar 2017
    AW: Search.socialdownloadr.com redirect Virus lässt sich nicht entfernen

    Mein Tipp: Mit einer Linux Live CD (z.B. Knoppix) Daten sichern, Kiste platt machen und neu aufsetzen, alle wichtigen Passwörter sofort von einem sauberen System ändern. Ist für Privatanwender i.d.R auch die schnellere Lösung.

    Ich jedenfalls würde mich nicht darauf verlassen, dass alles sauber ist nach der Löschung durch irgendwelche AV-Tools. Du kannst (schon gar nicht als Laie) gar nicht beurteilen was die Malware evtl. alles nachgeladen hat und wo sie sich überall reingesetzt hat. Stichwort Rootkits...
     
  5. 10. Februar 2017
    AW: Search.socialdownloadr.com redirect Virus lässt sich nicht entfernen

    Starte mal http://download.sysinternals.com/files/Autoruns.zip und gehe dort die Dienste und Autostart Einträge durch. Dort kannst du sie dann auch löschen. (Als Admin ausführen, sonst geht's nicht)
     
  6. 13. Februar 2017
    Zuletzt von einem Moderator bearbeitet: 15. April 2017
    AW: Search.socialdownloadr.com redirect Virus lässt sich nicht entfernen

    Habe jetzt meine Festplatte formatiert und das System neu aufgesetzt und hab aus Neugier HijackThis drüber laufen lassen. Die Logfileauswertung ist aber beinah die selbe - lol
    Unbenannt.jpg

    Glaube eher das Problem liegt bei HijackThis...

    Autoruns werde ich auch in Zukunft weiter benutzen, richtig praktisch und nützlich das Programm, vielen Dank!
     
  7. 15. Februar 2017
    AW: Search.socialdownloadr.com redirect Virus lässt sich nicht entfernen

    HijackThis kannste du eh vergessen, das ist komplett veraltet und ungeeignet. Die Analyse-Datenbank wird meines Wissens nach auch seit Jahren nicht mehr gepflegt... Aber es wird schon iwas drauf gewesen sein wenn mehrere Programme angesprungen sind, MBAM ist ja eigentlich recht zuverlässig.
     
  8. 15. Februar 2017
    AW: Search.socialdownloadr.com redirect Virus lässt sich nicht entfernen

    Ja Eben, da war auf jeden Fall iein Mist drauf. Denke aber mittlerweile ist alles in Ordnung, da weder Kaspersky noch MBAM anspringt. Vielen Dank für eure Hilfe!
     
  9. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.