[Hilfe] fb downloader entfernen

[tobietob]

Hallo,

seit dem meine Frau beim dm Online Fotodienst, die dortige Software installiert hat, hat sie den fb downloader am Rechner. Die fb downloader search ist Startseite bei allen installierten Browsern (firefoxx, ie) und öffnet sich auch bei jedem neuen Tab.

Ich habe den fb downloader bereits über die Programm deinstallation deinstalliert, trotzdem bleibt der fb downloader als Standard Suche und kann nicht geändert werden.

Firefoxx und IE wurden auch neu installiert, das ändert leider nix. Wie krieg ich das Ding denn wieder runter ohne ihr System neu aufsetzten zu müssen?

Hoffe von euch kann mir wer helfen

Danke und Grüße,

tobi

 

[UsAs]

Das scheint Malware zu sein.

Lad dir mal MBAM runter:

Malwarebytes' Anti-Malware Download - ComputerBase

Dann installieren, aktuelle Definitionen laden und einen Full-Scan machen. Etwaige Schädlinge entfernen lassen und das Log hier noch einmal posten.

Gruß

 

[tobietob]

Hi UsAs,

Danke für deine schnelle Antwort! Werde das heute Abend gleich mal probieren. Soll ich das Log vorm Entfernen der Schädlinge schon reinstellen oder erst nach dem 2. Full Scan?

LG, tobi

 

[UsAs]

Du kannst es sowwohl, als auch reinstellen. Ein Log vor der Säuberung, eins nachher. MBAM merkt sich die Schädlinge in einer Liste. Sprich du kannst gefundene Malware auch später säubern, ohne es direkt nach dem Scan tun zu müssen. D.h. erst ein Log mit dem ersten Scan, dann säubern, noch einmal scannen und dann noch einmal das Log posten. Dann kann man sehen, ob alles wieder clean ist.

 

[tobietob]

Hey UsAs,

hab jetzt mal die Frau per Skype instruiert und schon den ersten Scan durchführen lassen. Leider hat das Ding nix gefunden?

Logfile:

Malwarebytes Anti-Malware 1.65.1.1000
Malwarebytes : Free anti-malware download

Datenbank Version: v2012.11.28.04

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Kathrin :: NOOB-2 [Administrator]

28.11.2012 11:23:17
mbam-log-2012-11-28 (11-23-17).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 324711
Laufzeit: 38 Minute, 16 Sekunde

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Irgend ne Idee?

Danke noch mal für deine Hilfe!

 

[UsAs]

Dann wissen wir da schon wneigstens einmal, dass es dort clean zu sein scheint. Wie sieht es in der Suchanbieterliste bei Firefox aus, kannst du ihn darin entfernen?



Wie ich das sehe, steckt das Ding doch etwas tiefer drin.

Es wurde hier auch schon einmal behandelt:

forum.avira.com/wbb/index.php?page=Thread&threadID=150318

Allerdings kannst du die OTL Anweisungen nicht 1:1 bei dir einsetzen.

 

[Jabba03]

Also wenn ich sowas habe mache ich das mit s+d spybot und lass den Rüberlaufen .

 

[tobietob]

Also das mit der Suchanbieterliste habe ich mal gemacht, da stand es auch drin, habs entfernt -- hilft allerdings nichts.

Werde auch mal s+d spybot probieren. Noch weitere Ideen?

Danke für die Unterstützung

 

[UsAs]

MBAM ist besser als Spybot (meiner Meinung nach). Aber es kann sein, dass man mit Oldtimer desinfizieren muss. Kanns du mir mal überhaupt sagen, welche SW dieses Drecksding mitinstalliert hat? Vllt. finden wir da einen Anhaltspunkt.

Weiterhin könntest du die Registry mal nach "http://search.fbdownloader.com" durchsuchen und hier posten, in welchen Strings ein Suchergebnis gefunden wurde. Sollte das für die Dame zu hoch sein, schalte dich per Teamviewer auf den PC und erledige das gerade schnell selber

 

[tobietob]

Die SW, mit der sie sich das eingefangen hat muss wohl die Online-Foto Software von DM gewesen sein: Mein cewe Fotobuch -> Cewe Fotobuch Download

Hier die Ergebnisse der Registry Suche:



Hilft das?

 

[UsAs]

Lösche einmal die folgenden Schlüssel:



Vorher allerdings einmal, zur Sicherung, den jeweiligen Schlüssel exportieren.

 

[tobietob]

Hey, danke für die schnelle Antwort, wieder mal

Also beide Einträge sind gelöscht, Suche immer noch im Browser als Standard, PC danach neugestartet aber fb downloader search ist dann immer noch als Startseite und bei neuen Tabs in allen Browsern da. Die 'Sicherungen' liegen halt in nem Ordner (Dokumente). Muss ich nach dem Löschen noch irgendwas machen oder heißt das jetzt schlicht, dass es nicht funktioniert?

 

[biaaas]

Sicher das es mit der DM Fotosoftware gekommen ist? Das passt irgendwie nicht zu denen, auch gibt es bei google keine weiteren Treffer (außer diesen Thread)die den downloader mit dm oder cewe verbinden. Wenn das wirklich damit kommt, sollte der Aufschrei größer sein.
Schau dir auch mal die Browser Addons und Autostart an. Dann schau noch mal was alles installiert ist, und verdächtigt sein könnte.

 

[Dusauber]

Ich hab mir den auch gefangen, über einen Download bei Softronic. Nun habe ich da für den FF einen Tipp bekommen. Also "about:config" in die Adresszeile eingeben und nach "FBDownloader" suchen. Die gefundenen Einträge zurück setzen.

 

[tobietob]

Sicher das es mit der DM Fotosoftware gekommen ist? Das passt irgendwie nicht zu denen, auch gibt es bei google keine weiteren Treffer (außer diesen Thread)die den downloader mit dm oder cewe verbinden. Wenn das wirklich damit kommt, sollte der Aufschrei größer sein.
Schau dir auch mal die Browser Addons und Autostart an. Dann schau noch mal was alles installiert ist, und verdächtigt sein könnte.

Hey, also so genau kann ich das natürlich nicht nachvollziehen. Sie meint aber, dass es seitdem da ist.

Ich hab mir den auch gefangen, über einen Download bei Softronic. Nun habe ich da für den FF einen Tipp bekommen.

Also "about:config" in die Adresszeile eingeben und nach "FBDownloader" suchen. Die gefundenen Einträge zurück setzen.

Danke für den Tipp. Die Frau ist jetzt übers WE ohne Laptop unterwegs, da hab ich jetzt keinen Zugriff drauf. Wird aber am Sonntag ausprobiert und dann geb ich noch mal bescheid obs geklappt hat. Vielen Dank auf jeden Fall für eure Hilfe.

 

[Dusauber]

Und in Zukunft einfach Softronic meiden, dann gibt es den auch nicht mehr "Gratis" bei jedem Download.

 

[UsAs]

Der IE muss aber auch zurückzusetzen sein (vllt. einfachster Weise über das Internetoptionen-Kontextmenü?).

 

[Dusauber]

Bei mir im IE hatte der sich aber nicht eingenistet. Es gibt da auf Seite 4 aber auch eine Lösung.

 

[Dusauber]

Gerade als ich den PC angemacht hatte, ist direkt nach dem Hochfahren diese Meldung (s.Anhang) aufgepopt. Der ist also immer noch nicht 100% weg.

 

[UsAs]

So hartnäckig, qie mir das Gerät erscheint, würde ich persönlich einmal neu aufsetzen bzw. vorhandenes Backup einspielen.

 

[Dusauber]

Im FF konnte ich wieder 6 Einträge zurücksetzen. In der Reg. war aber nichts mehr hinzugekommen.

Dann nochmal neu gestartet und da war er schon wieder. Auf ok geklickt und wieder im FF nachgeschaut, keine Einträge. Nun habe ich den Link "Seite 3" von Bollerkopp noch mal studiert, und demnach in der Reg. nach "Softronic" gesucht und alle entsprechende Einträge gelöscht. Nach dem erneuten neu starten kam nichts mehr, und hoffe, daß ich jetzt Ruhe habe.

 

[Pocoyo]

Hallo zusammen,
hatte das gleiche Problem mit dem fb downloader search....meine Frau hat sich den IKEA Küchenplaner runtergeleden. Auch normal unter progamme deinstalliert, tauchte trotzdem immer wieder im Firefox auf. Add-On nachgeschaut da war er auch noch drin...also auch da deinstalliert, tauchte aber immer noch auf. HiJackthis draüberlaufen lassen ausgewertet und siehe da immer noch 3 Einträge in der Registry. Die auch noch mit Hijackthis runtergeschmissen und siehe da es ist ruhe.
Hoffe das hilft auch bei anderen.

 

[Dusauber]

Na gut, so geht's wohl auch, ich hab aber seit gestern Ruhe.
...und willkommen im HWL-Forum.

 

[biaaas]

Ich habe heut mal die dm Software installiert. Also da war nichts von irgend welcher adware dabei.

 

[tobietob]

Ich hab mir den auch gefangen, über einen Download bei Softronic. Nun habe ich da für den FF einen Tipp bekommen. Also "about:config" in die Adresszeile eingeben und nach "FBDownloader" suchen. Die gefundenen Einträge zurück setzen.

Hey, sind jetzt endlich dazu gekommen den Tipp mit "about:config" zu testen, hat geholfen und nun scheints komplett weg. Auch nach mehrmaligem Neustart etc. bleibt der FBDownloader bzw. die Suche verschwunden

Noch mal unser "Leidensweg" um die fbdownloader search im Firefox wegzukriegen:

1. MBAM runtergeladen nach FBDownloader gesucht -> Keine Ergebnisse
2. Suchanbieteliste gecheckt, FBDownloader Search entfernt -> hilft nix
3. Registry nach "http://search.fbdownloader.com" durchsucht -> 2 Einträge mit http:// search. fbdownloader.com/... gelöscht -> noch keine Veränderung
4. Im FF "about:config" in die Adresszeile eingegeben und nach "FBDownloader" gesucht -> Die gefundenen Einträge zurückgesetzt -> fbdownloader search weg!

Ich weiß nicht ob alle 4 Schritte oder nur der Letzte/die letzten Zwei entscheidend waren. Genauso ist nach wie vor unklar woher das Ding kam, wir haben noch mal überlegt aber in dem Zeitraum, wo das Ding auftauchte definitv keine andere Software als die CEWE Fotosoftware von DM runtergeladen, was nicht heißen muss, dass es daher kam.

Auf jeden Fall Danke für eure Hilfe und evtl. Hilft der Thread ja auch dem Ein oder Anderen, der sich mit dem Problem rumschlägt.

 

[Dusauber]

Ja prima. Aber wie ich bereits sagte, war der bei mir erst richtig verschwunden, nach dem ich alle Softronic-Einträge in der Reg. entfernt hatte. Aber weil Du ja nicht weißt, woher ihr den habt, werden diese Einträge bei Euch wahrscheinlich auch nicht zu finden sein.