Wie kann ich Flipora-Malware/Trojaner entfernen?

[Sensenei]

Hallo Leute,

wenigstens betreifft das nicht mich sondern einen Kumpel. Über eine gefakte Facebook-Freundschaftsanfrage hat dieser sich Malware eingefangen. Das äußerte sich durch penetrante Integration in den Browser, indem die Startseite auf irgendwas mit "static.websearch....." verändert wurde und "Websearch" als neue Standardsuchmaschine eingetragen wurde. Bei Nutzung des Browser werden mehrfache Tabs geöffnet und Suchanfragen immer auf Websearch umgeleitet. Was sonst noch im Hintergrund passiert, weiß ich nicht.

Ich habe gestern einen Hinjackthis-Scan gemacht und dort eine entsprechende Exe im Temp-Ordner gefunden, die nach ein bissl Googeln auf Flipora hinwies. Also die Exe gelöscht, den ganzen Temp-Ordner entfernt und neu gestartet. Ein neuer Scan mit hijackthis zeigte keinen merkwürdigen Prozess mehr. Das dumme ist aber, dass ich trotzdem diese Veränderungen am Browser nicht zurücksetzen kann. Ich kann es zwar in den Einstellungen verändern, jedoch sind nach einem Browser-Neustart die Websearch-Einträge usw. trotzdem wieder da. Irgendwo scheint also noch was zu hängen.

Ich habe gestern noch Spybot und 1-2-3 Spyware free drüberlaufen lassen. Beide Tools haben komischerweise nix gefunden. Hat jemand von Euch eine Idee, wo ich da noch schauen kann? Ich könnte natürlich ganz hart alles, was nur im entferntesten einen Flipora-Eintrag in der Registry aufweist, rausfeuern. Aber ich möchte vermeiden, das System zu zerschießen. Denn dann bin ich der, der es ihm wieder installieren darf, da mein Kumpel davon leider keine Ahnung hat. Wäre schön, wenn Ihr da eine Lösung hättet.

 

[Silencer23]

Systemwiederherstellung machen. In der Hoffnung, das er noch weiss, wann er sich das Ding eingefangen hat und das auch ein Wiederherstellungspunkt dazu existiert.

Gruss Silencer23

 

[Z3phyr]

Setz einfach neu auf. Das kostet dich weniger Nerven als das Teil von Hand zu entfernen.

 

[Sensenei]

Hmm, Wiederherstellung muss ich nochmal schauen, befürchte jedoch, dass die Funktion bei ihm deaktiviert ist. Den Zeitpunkt aber würden wir rauskriegen, das sollte nicht das Thema sein. Kläre ich nochmal.

@Zephyr: Wenn es mein Rechner wäre, würde ich das wahrscheinlich auch als Grund nehmen, um mein System mal wieder frisch zu machen. Aber an Fremdrechnern versuche ich das zu umgehen, wenn letztlich ich derjenige bin, der ihn dann wieder komplett (inkl. aller Programme und Einstellungen) aufsetzen muss. Das kostet einfach Zeit und ich habe darauf sowas von keinen Bock!

 

[Silencer23]

Das auf einem "sauberen" System erstellen und dann bei ihm von CD booten.
Alternativ dazu geht das auch via USB Stick, einfach danach mal googlen.

Gruss Silencer23

 

[Sensenei]

Ok, danke für den Link. Grundsätzlich kenne ich diese Variante, dachte aber, dass es sich hierbei um einen reinen Virenscanner handelt. Das werd ich in jedem Fall mal ausprobieren.

 

[Wolverine]

Ich kann es zwar in den Einstellungen verändern, jedoch sind nach einem Browser-Neustart die Websearch-Einträge usw. trotzdem wieder da. Irgendwo scheint also noch was zu hängen.

um was für einen browser handelt es sich den ? bei firefox könntest du dich einfach mit "about:config" (ins url fenster eintippen ohne anführungsstriche/ firefox warnt dich) für firefox einloggen und dort alle einträge per suche finden und löschen und auf den standard wert zurück stellen... in der suche dann einfach das " Websearch" etc. suchen und ändern.

Geht recht einfach bei firefox, bei andren bin ich da nicht so bewandert.

MfG.

Wolverine

 

[The-Endless]

Wenn es mein Rechner wäre, würde ich das wahrscheinlich auch als Grund nehmen, um mein System mal wieder frisch zu machen. Aber an Fremdrechnern versuche ich das zu umgehen, wenn letztlich ich derjenige bin, der ihn dann wieder komplett (inkl. aller Programme und Einstellungen) aufsetzen muss. Das kostet einfach Zeit und ich habe darauf sowas von keinen Bock!

dann mach doch hin und wieder mal ein backup, oder zumindest ein backup von einem sauberen, frisch installiertem system.

aufwendige, kostspielige software brauchst du nicht. ob man es wahrhaben will oder nicht, aber die windows backup funktion funktioniert eigentlich ganz gut (unter windows 7 und höher).

wenn es auch was kosten darf empfehle ich drivesnapshot. eins der (wenn nicht sogar das beste) backup programme die ich kenne.

 

[Sensenei]

@Wolverine:
Es handelt sich um Firefox. Und in diesem Config-Bereich bin ich bereits gewesen und habe die relevanten Punkte zurückgesetzt. Aber nach Browser-Neustart sind die Alt-Einträge wieder da.

@The-Endless:
Prinzipiell mache ich das bei meinen eigenen Rechnern auch so. Bei ihm hab ich es halt nicht getan. Beim nächsten Mal werde ich aber wohl.

 

[The-Endless]

haste mal geschaut ob sich da nicht vieleicht etwas als addon/plugin eingenistet hat?

was ist mit anderen browsern, verhalten die sich auch so wie der ff?

wie sieht es mit einem frischen profil im ff aus? ist das teil dann immernoch da?

 

[Sensenei]

Hmm, danke auch nochmal für diese Hinweise. Ich werde dem nachgehen, wenn ich das nächste Mal davor sitze. Arbeits- und zeitbedingt werde ich wohl erst in der zweiten Wochenhälfte wieder an den Rechner kommen, bis dahin muss die Analyse jetzt wohl doch noch warten. Von daher bitte ich um Geduld - ich gebe Bescheid, was meine Bemühungen dann gebracht haben.

 

[iDGames]

Ich kann nur Malwarebytes Anti-Malware empfehlen. Das hat bei mir bisher alles finden und entfernen können. Eventuell solltest du damit im abgesichterten Modus scannen.

 

[Silencer23]

Dabei bitte beachten, dass es "etwas" unklug ist, ein Programm, was gegen Trojaner und Co. helfen soll auf einem infiziertem System zu installieren.
Daher immer versuchen, das Ganze via Bootvorgang zu machen.
Hat man erst einmal ein sauberes System, erstellt man sich solch ein Medium und in der Regel kann man dieses auch weiterhin in ferner Zukunft nutzen, da sich diese auch bei Netzanbindung selbstständig nach dem Bootvorgang und Start updaten.

Gruss Silencer23