Mystart Incredibar eingefangen

[Kapri]

Hallo zusammen,

ich habe mir heute beim Runterladen eines Updates des PDF Makers diesen lästigen Virus eingefangen, der dazu führt, dass ich bei einem neuen Tab in Firefox immer auf der mystart.incredibar-Startseite lande, ich diese Startseite nicht mehr wegbekomme und beim schnellen Eintippen von URLs ich immer wieder auf dieser nervigen Suchseite lande, die keine Suchseite ist. Ich habe zwei ähnliche Threads gefunden und in vorauseilendem Gehorsam all das laufen lassen, was ihr den beiden anderen betroffenen Usern empfohlen habt. Die entsprechenden Text-Dateien hänge ich an dieses Post dran.

Vielen Dank im Voraus für eure Hilfe.

Viele Grüße
Kapri

[kira]

Herzlich Willkommen in unserem Forum!

**Bevor wir unsere Zusammenarbeit beginnen, lies dir diese Einführung durch und ich bitte um kurze Bestätigung, dass du dies gelesen und akzeptiert hast!:-> Worauf musst Du während der Bereinigung achten?

ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG! - da die Fehlerprüfung und Handlung werden über große Entfernungen (online) durchgeführt, besteht keine Haftung unsererseits für die daraus entstehenden Folgen.

► Unrechtmäßig erworbene Software (durch Keygen, Crack, Keymaker) wird nicht geduldet, in diesem Fall wird der Support eingestellt.!
Die von mir angegebenen Anweisungen, immer vollständig und genau erledigen (werden ja oft mehrere Schritte gleichzeitig angewendet)
∎ Falls unvorhersehbare Probleme auftreten sollten, bitte um sofortige Rückmeldung! Bis auf weiteres (ohne Abspräche) keine eigenen Aktivitäten vornehmen!

► Erster Teil des 3-teiligen Verfahren, werden wir dein System auf Viren untersuchen, bzw nach einem anderen Verursacher suchen:
**Vista und Win7 Verwender: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen

1.
Um festzustellen, ob veraltete oder schädliche Software unter Programme installiert sind, ich würde gerne noch all deine installierten Programme sehen:

• Download den CCleaner
  
• Software-Lizenzvereinbarung lesen, falls irgendeine Toolbar angeboten wird, bitte abwählen!-> starten -> Falls nötig, auf "Deutsch" einstellen.
• starten-> klick auf `Extras` (um auf deinem System installierte Software zu anzeigen)-> dann auf `Als Textdatei speichern...`
• ein Textdatei wird automatisch erstellt, poste auch dieses Logfile (also die Liste alle installierten Programme...eine Textdatei)

Bitte alle Ergebnisse im Code-Tags posten!

vor dein Log schreibst Du (also am Anfang des Logfiles):[code]
hier kommt dein Logfile rein
dahinter - also am Ende der Logdatei:[/code]

gruß
kira

[Kapri]

Hallo Kira,
ich habe die Bedingungen gelesen und bin damit einverstanden.

Hier das Logfile von CCleaner:

Code:

AAVUpdateManager	Akademische Arbeitsgemeinschaft	04.10.2011	18,5MB	15.00.0000
Adobe AIR	Adobe Systems Inc.	30.11.2010		1.5.3.9130
Adobe Flash Player 10 ActiveX	Adobe Systems Incorporated	22.07.2011		10.0.45.2
Adobe Flash Player 10 Plugin	Adobe Systems Incorporated	08.09.2011	6,00MB	10.3.183.7
Adobe Photoshop Elements 8.0	Adobe Systems Incorporated	30.11.2010	1,54GB	8.0
Adobe Premiere Elements 8.0	Adobe Systems Incorporated	30.11.2010	1,23GB	8.0
Adobe Reader X (10.1.3) - Deutsch	Adobe Systems Incorporated	30.06.2012	121MB	10.1.3
Alps Pointing-device for VAIO	ALPS ELECTRIC CO., LTD.	30.11.2010		
Amazon MP3-Downloader 1.0.9		25.07.2011		
Apple Application Support	Apple Inc.	13.06.2012	61,0MB	2.1.9
Apple Mobile Device Support	Apple Inc.	13.06.2012	24,5MB	5.2.0.6
Apple Software Update	Apple Inc.	23.07.2011	2,38MB	2.1.3.127
ArcSoft Magic-i Visual Effects 2	ArcSoft	22.07.2011	38,0MB	2.0.1.115
ArcSoft WebCam Companion 3	ArcSoft	23.07.2011		3.0.21.390
ATI Catalyst Install Manager	ATI Technologies, Inc.	31.07.2011	22,2MB	3.0.769.0
Avira Free Antivirus	Avira	16.05.2012	104MB	12.0.0.1125
AVM FRITZ!Box Dokumentation	AVM Berlin	25.05.2012		
AVM FRITZ!Box Druckeranschluss	AVM Berlin	25.05.2012		
Bonjour	Apple Inc.	16.10.2011	2,04MB	3.0.0.10
CCleaner	Piriform	22.06.2012		3.20
Cisco AnyConnect Secure Mobility Client	Cisco Systems, Inc.	21.06.2012		3.0.5080
Citavi	Swiss Academic Software	09.03.2012	74,3MB	3.2.0.0
Dropbox	Dropbox, Inc.	05.06.2012		1.4.7
EndNote X5	Thomson Reuters	19.09.2011	82,5MB	15.0.0.5478
Evernote	Evernote Corp.	30.11.2010	80,9MB	3.5.4.2224
Facebook Messenger 2.1.4554.0	Facebook	29.06.2012	33,6MB	2.1.4554.0
FreeMind		20.12.2011	16,0MB	0.9.0
Google Earth	Google	17.11.2011	92,7MB	6.1.0.5001
IBM SPSS Statistics 20	IBM Corp	29.03.2012	799MB	20.0.0.0
IHMC CmapTools v5.04.02	Institute for Human & Machine Cognition	12.11.2011		5.0.4.2
Incredibar Toolbar  on IE and Chrome		02.07.2012		
Intel(R) Control Center	Intel Corporation	30.11.2010		1.2.1.1007
Intel(R) Management Engine Components	Intel Corporation	30.11.2010		6.0.0.1179
Intel(R) Rapid Storage Technology	Intel Corporation	30.11.2010		9.6.0.1014
Intel(R) Turbo Boost Technology Driver	Intel Corporation	30.11.2010		01.02.00.1002
iTunes	Apple Inc.	13.06.2012	182MB	10.6.3.25
Java(TM) 6 Update 20 (64-bit)	Sun Microsystems, Inc.	30.11.2010	90,5MB	6.0.200
Java(TM) 6 Update 32	Oracle	16.05.2012	95,7MB	6.0.320
LightsOut Client	AxoNet Software GmbH	25.07.2011		
LightsOut Client		25.07.2011		
Malwarebytes Anti-Malware Version 1.61.0.1400	Malwarebytes Corporation	02.07.2012	18,0MB	1.61.0.1400
McAfee Security Scan Plus	McAfee, Inc.	13.06.2012	10,2MB	3.0.207.4
Mendeley Desktop 1.3.2	Mendeley Ltd.	31.03.2012		1.3.2
Microsoft .NET Framework 4 Client Profile	Microsoft Corporation	25.07.2011	38,8MB	4.0.30319
Microsoft .NET Framework 4 Client Profile DEU Language Pack	Microsoft Corporation	25.07.2011	2,93MB	4.0.30319
Microsoft Office 2010	Microsoft Corporation	30.11.2010	6,31MB	14.0.4763.1000
Microsoft Office Professional Plus 2010	Microsoft Corporation	18.10.2011		14.0.6029.1000
Microsoft Silverlight	Microsoft Corporation	18.05.2012	50,6MB	5.1.10411.0
Microsoft SQL Server 2005 Compact Edition [ENU]	Microsoft Corporation	30.11.2010	1,72MB	3.1.0000
Microsoft Visual C++ 2005 ATL Update kb973923 - x64 8.0.50727.4053	Microsoft Corporation	24.01.2012	258KB	8.0.50727.4053
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053	Microsoft Corporation	24.01.2012	250KB	8.0.50727.4053
Microsoft Visual C++ 2005 Redistributable	Microsoft Corporation	06.10.2011	300KB	8.0.61001
Microsoft Visual C++ 2005 Redistributable (x64)	Microsoft Corporation	30.11.2010	708KB	8.0.61000
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.4148	Microsoft Corporation	31.07.2011	780KB	9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161	Microsoft Corporation	02.08.2011	788KB	9.0.30729.6161
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17	Microsoft Corporation	29.03.2012	588KB	9.0.30729
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161	Microsoft Corporation	30.03.2012	600KB	9.0.30729.6161
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219	Microsoft Corporation	22.10.2011	16,5MB	10.0.40219
Mozilla Firefox 13.0.1 (x86 de)	Mozilla	17.06.2012	35,8MB	13.0.1
Mozilla Maintenance Service	Mozilla	17.06.2012	309KB	13.0.1
MSXML 4.0 SP3 Parser	Microsoft Corporation	30.11.2010	1,47MB	4.30.2100.0
MSXML 4.0 SP3 Parser (KB973685)	Microsoft Corporation	26.07.2011	1,53MB	4.30.2107.0
Norton Online Backup	Symantec Corporation	30.11.2010	6,19MB	2.1.17869
PDFCreator	Frank Heindörfer, Philip Chinery	02.07.2012		1.4.1
pdfsam		24.08.2011		2.2.1
PMB	Sony Corporation	30.11.2010	261MB	5.3.00.06040
QuickTime	Apple Inc.	24.08.2011	73,0MB	7.70.80.34
Realtek HDMI Audio Driver for ATI	Realtek Semiconductor Corp.	30.11.2010		6.0.1.6034
Realtek High Definition Audio Driver	Realtek Semiconductor Corp.	30.11.2010		6.0.1.6098
Remote Play mit PlayStation®3	Sony Corporation	30.11.2010		1.0.2.06210
Remote-Tastatur mit PlayStation 3	Sony Corporation	30.11.2010		1.0.2.06170
ResearchSoft Direct Export Helper		19.09.2011		
SmartSound Quicktracks for Premiere Elements 8.0	SmartSound Software Inc	30.11.2010	25,4MB	3.11.3090
Sony Ericsson PC Companion 2.02.002	Sony Ericsson	12.12.2011	17,4MB	2.02.002
Steuer-Spar-Erklärung 2011	Akademische Arbeitsgemeinschaft Verlag	04.10.2011	383MB	16.14
VAIO - Media Gallery	Sony Corporation	30.11.2010		1.3.0.06230
VAIO - PMB VAIO Edition Guide	Sony Corporation	31.07.2011	72,3MB	1.5.00.03020
VAIO - PMB VAIO Edition plug-in (Click to Disc)	Sony Corporation	30.11.2010	126MB	3.3.00.06180
VAIO - PMB VAIO Edition plug-in (VAIO Image Optimizer)	Sony Corporation	30.11.2010	39,3MB	1.3.00.06110
VAIO - PMB VAIO Edition plug-in (VAIO Movie Story)	Sony Corporation	30.11.2010	70,5MB	2.3.00.06180
VAIO Care	Sony Corporation	31.07.2011		6.4.1.05290
VAIO Control Center	Sony Corporation	30.11.2010		4.3.0.05310
VAIO Data Restore Tool	Sony Corporation	30.11.2010		1.4.0.05240
VAIO DVD Menu Data	Sony Corporation	30.11.2010		2.2.00.05120
VAIO Gate	Sony Corporation	31.07.2011		2.4.0.06210
VAIO Gate Default	Sony Corporation	30.11.2010		2.2.0.07020
VAIO Media plus	Sony Corporation	30.11.2010		2.1.0.18210
VAIO Media plus Opening Movie	Sony Corporation	30.11.2010		2.1.0.13220
VAIO Movie Story Template Data	Sony Corporation	30.11.2010	438MB	2.3.00.06040
VAIO Quick Web Access	Sony Corporation	30.11.2010	282MB	1.3.4.2
VAIO Sample Contents	Sony Corporation	30.11.2010		1.3.0.06041
VAIO screensaver	Sony Europe	22.07.2011		1.0.0.0
VAIO Smart Network	Sony Corporation	30.11.2010		3.3.0.06080
VAIO Update	Sony Corporation	22.07.2011		5.4.1.04200
VAIO-Handbuch	Sony Corporation	30.11.2010		1.1.0.05280
VAIO-Support für Übertragungen	Sony Corporation	30.11.2010		1.2.0.06230
WIDCOMM Bluetooth Software	Broadcom Corporation	30.11.2010	183MB	6.3.0.5600
Windows Home Server-Connector	Microsoft Corporation	22.07.2011	18,9MB	6.0.3436.0
Windows Live Anmelde-Assistent	Microsoft Corporation	30.11.2010	1,93MB	5.000.818.5
Windows Live Essentials	Microsoft Corporation	30.11.2010		14.0.8117.0416
Windows Live Sync	Microsoft Corporation	30.11.2010	2,79MB	14.0.8117.416
Windows Live-Uploadtool	Microsoft Corporation	30.11.2010	224KB	14.0.8014.1029

Danke und Grüße
Kapri

[kira]

1.
Deinstalliere unter Systemsteuerung-> Software/Programme :

Code:

Incredibar Toolbar

Leider oft tragen sich "ungebetene Gäste direkt in die Suchleiste, Startseite und unter Erweiterungen ein" und sie können schon wirklich lästig sein... meistens aus Unwissenheit oder Ignoranz wird mitinstalliert, manche davon gehört sogar zur gefährlichsten Art der Adware , oder auch zum eine "Foistware-Gruppe".

Immer die benutzerdefinierte Installation wählen, nicht die Standardinstallation, weil dann oft Sachen mitinstalliert werden, die man nicht braucht oder nicht möchte.
Bei Installation bitte die Lizenzbestimmungen immer lesen, und nicht sofort überall den Haken setzen bzw gesetzten Haken belassen, weil damit stimmt man nämlich zu, dass andere "Fremdprogramm", oder sogar Adware (Werbe-Pop-ups) durch Partnerprogrammen, Sponsoren etc - mitinstalliert wird, weil sich Freeware damit finanziert.
In diese Kategorie gehören noch einige, wie z.B: -> Unerwünschte Toolbars

Daher ist es ratsam, nach jeder Installation in alle installierten Browser zu kontrollieren, ob:
die aktuelle Webseite als Startseite unter die Lupe nehmen
unter Extras ⇒ Erweiterungen nach ungewollte AddOns/PlugIns, Toolbars schauen
In der Liste Zurzeit installierte Programme (unter Systemsteuerung) nachsehen, ob sich so etwas "ungewoltes" (Programm, Toolbar etc) eingenistet hat!

2.
deinstalliere...
Wenn Du nicht absichtlich installiert hast, da oft mit andere Programm wird mitinstalliert bzw angeboten (vermutlich über Adobe oder Flash Player auf dem Rechner gelandet!), deinstalliere:

Code:

McAfee Security Scan Plus

obwohl selbst die Programmierer/hersteller ein sehr gute Ruf hat, durch dieses "Helferprinzip" wird dein PC nicht noch mehr geschützt, aber beeinträchtigt die Systemleistung
Immer die benutzerdefinierte Installation wählen, nicht die Standardinstallation, weil dann oft Sachen mitinstalliert werden, die man nicht braucht oder nicht möchte.
Bei Installation bitte die Lizenzbestimmungen immer lesen, und nicht sofort überall den Haken setzen bzw gesetzten Haken belassen, weil damit stimmt man nämlich zu, dass andere "Fremdprogramm", oder sogar Adware (Werbe-Pop-ups) durch Partnerprogrammen, Sponsoren etc - mitinstalliert wird, weil sich Freeware damit finanziert.

3.

Achtung wichtig!:
Falls Du selber im Logfile Änderungen vorgenommen hast, musst Du durch die Originalbezeichnung ersetzen und so in Script einfügen! sonst funktioniert nicht!
(Benutzerordner, dein Name oder sonstige Änderungen durch X, Stern oder andere Namen ersetzt)

Fixen mit OTL

• Starte die OTL.exe.
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Kopiere folgendes Skript (unverändert - also beginnend :OTL bis zur letzten Zeile [emptytemp] (ohne "code"!):

Code:

:OTL
IE - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-1800667063-1569571411-3556973297-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.com/?ocid=EIE9HP&PC=UP50
IE - HKU\S-1-5-21-1800667063-1569571411-3556973297-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
IE - HKU\S-1-5-21-1800667063-1569571411-3556973297-1001\..\SearchScopes,DefaultScope = {CFF4DB9B-135F-47c0-9269-B4C6572FD61A}
IE - HKU\S-1-5-21-1800667063-1569571411-3556973297-1001\..\SearchScopes\{0691B084-F0DF-46DE-98F9-EF546ADC5D61}: "URL" = http://services.zinio.com/search?s={searchTerms}&rf=sonyslices
IE - HKU\S-1-5-21-1800667063-1569571411-3556973297-1001\..\SearchScopes\{5352EFB5-0BA8-4ED0-BFE5-A2434C39E751}: "URL" = http://de.shopping.com/?linkin_id=8056363
IE - HKU\S-1-5-21-1800667063-1569571411-3556973297-1001\..\SearchScopes\{6ED99945-4E78-47C3-8E98-CE0B6AF84385}: "URL" = http://rover.ebay.com/rover/1/707-37276-16609-9/4?satitle={searchTerms}
IE - HKU\S-1-5-21-1800667063-1569571411-3556973297-1001\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http://mystart.incredibar.com/mb139/?search={searchTerms}&loc=IB_DS&a=6PQCe0FrOA&i=26
IE - HKU\S-1-5-21-1800667063-1569571411-3556973297-1001\..\SearchScopes\{E5F071A4-50D6-4152-B6D1-F47BEAB6A8AF}: "URL" = http://de.search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&type=827316&p={searchTerms}
IE - HKU\S-1-5-21-1800667063-1569571411-3556973297-1001\..\SearchScopes\{F5408DA2-F157-46A9-9474-15A5417F4FCB}: "URL" = http://www.bing.com/search?FORM=UP50DF&PC=UP50&q={searchTerms}&src=IE-SearchBox
IE - HKU\S-1-5-21-1800667063-1569571411-3556973297-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-1800667063-1569571411-3556973297-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local;<local>
FF - prefs.js..browser.search.defaultenginename: "MyStart Search"
FF - prefs.js..browser.search.selectedEngine: "MyStart Search"
FF - prefs.js..keyword.URL: "http://mystart.incredibar.com/mb139/?loc=IB_DS&a=6PQCe0FrOA&&i=26&search="
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
[2012.06.29 14:34:02 | 000,000,853 | ---- | M] () -- C:\Users\karin\AppData\Roaming\Mozilla\Firefox\Profiles\ho5w0vcd.default\searchplugins\11-suche.xml
[2012.06.29 14:34:02 | 000,002,209 | ---- | M] () -- C:\Users\karin\AppData\Roaming\Mozilla\Firefox\Profiles\ho5w0vcd.default\searchplugins\englische-ergebnisse.xml
[2012.06.29 14:34:02 | 000,010,506 | ---- | M] () -- C:\Users\karin\AppData\Roaming\Mozilla\Firefox\Profiles\ho5w0vcd.default\searchplugins\gmx-suche.xml
[2012.06.29 14:34:02 | 000,002,368 | ---- | M] () -- C:\Users\karin\AppData\Roaming\Mozilla\Firefox\Profiles\ho5w0vcd.default\searchplugins\lastminute.xml
[2012.07.02 10:17:28 | 000,002,203 | ---- | M] () -- C:\Users\karin\AppData\Roaming\Mozilla\Firefox\Profiles\ho5w0vcd.default\searchplugins\MyStart Search.xml
[2012.06.29 14:34:02 | 000,005,489 | ---- | M] () -- C:\Users\karin\AppData\Roaming\Mozilla\Firefox\Profiles\ho5w0vcd.default\searchplugins\webde-suche.xml
[2012.02.15 19:34:53 | 000,001,392 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.02.15 19:34:53 | 000,002,252 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\bing.xml
[2012.02.15 19:34:53 | 000,001,153 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\eBay-de.xml
[2012.02.15 19:34:53 | 000,001,178 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.02.15 19:34:53 | 000,001,105 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\yahoo-de.xml
O2 - BHO: (Incredibar.com Helper Object) - {6E13DDE1-2B6E-46CE-8B66-DC8BF36F6B99} - C:\Program Files (x86)\Incredibar.com\incredibar\1.5.11.14\bh\incredibar.dll (Montera Technologeis LTD)
O3 - HKLM\..\Toolbar: (Incredibar Toolbar) - {F9639E4A-801B-4843-AEE3-03D9DA199E77} - C:\Program Files (x86)\Incredibar.com\incredibar\1.5.11.14\incredibarTlbr.dll (Montera Technologeis LTD)
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
[2012.07.02 12:09:14 | 000,001,124 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2012.07.02 12:09:14 | 000,001,120 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2012.07.02 10:26:01 | 000,000,928 | ---- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-1800667063-1569571411-3556973297-1001UA.job
[2012.07.01 16:26:00 | 000,000,906 | ---- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-1800667063-1569571411-3556973297-1001Core.job
[2012.06.29 16:21:46 | 000,000,928 | ---- | C] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-1800667063-1569571411-3556973297-1001UA.job
[2012.06.29 16:21:45 | 000,000,906 | ---- | C] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-1800667063-1569571411-3556973297-1001Core.job
[2012.07.01 16:26:00 | 000,000,906 | ---- | M] () -- C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1800667063-1569571411-3556973297-1001Core.job
[2012.07.02 10:26:01 | 000,000,928 | ---- | M] () -- C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1800667063-1569571411-3556973297-1001UA.job

:Files
C:\Users\karin\AppData\Roaming\pdfforge
C:\Program Files (x86)\Incredibar.com
ipconfig /flushdns /c

:Commands
[purity]
[emptytemp]

• und füge es hier ein:
• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klick auf .
• OTL verlangt einen Neustart. Bitte zulassen.
• Nach dem Neustart findest Du ein Textdokument.
  Kopiere den Inhalt hier in Code-Tags in Deinen Thread.

4.
Java aktualisieren- über Systemsteuerung-> Nach Update suchen...
oder
Downloade nun die Offline-Version von Java "Empfohlen Version Java(TM) 7 Update 4 " von Oracle und installiere sie. Achte darauf, eventuell angebotene Toolbars nicht mitzuinstallieren, also während der Installation den Haken bei der Toolbar entfernen.

5.
Öffne CCleaner - Anleitung CCleaner

• "Cleaner"->"Analysieren"-> Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"-> "Fehler beheben"->"Alle beheben"
• Starte dein System neu auf

6.
Tipps (unabhängig davon ob man ihn benutzt oder nicht, muss gepflegt werden!):
-> Tipps zu Internet Explorer
-> Standard Suchmaschine des Explorers ändern
-> Wie kann ich den Cache im Internet Explorer leeren?

7.
Vorbereitung

• Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
• Bitte während der Online-Scans deaktivieren:
  Anti-Virus-Programm und Firewall.
• Internet Explorer starten => im Menü unter Extras => Internetoption => Datenschutz => den Haken bei "Popupblocker einschalten" entfernen und
• unter dem Reiter "Sicherheit" => die Sicherheitsstufe ggfs. auf "Mittelhoch" herabsetzen.
  Nicht vergessen, sie hinterher wieder einzuschalten bzw. die Internetoptionen wie zuvor einzustellen..
• Während der Online-Scans auf andere Online-Aktivitäten verzichten.
• Du musst das Herunterladen und Installieren von ActiveX-Steuerelementen (Controls) zulassen.
• 
  
  .

• Eset Online Scanner (NOD32)
  • Unterstützte Betriebssysteme: Microsoft Windows 7 - Vista - XP - 2000 - NT.
  • Anmerkung für Vista und Windows 7-User: Bitte den Browser unbedingt als Administrator starten.
  • Dein Anti-Virus-Programm während des Scans deaktivieren.
  • Button "ESET Online Scanner" drücken.
  • IE-User müssen das Installieren eines ActiveX Elements erlauben.
  • Einen Haken bei "YES, I accept the Terms of Use." machen und auf den Button "Start" drücken.
  • Einen Haken bei "Remove found threads" und "Scan archives" machen.
  • Start drücken.
  • Signaturen werden heruntergeladen.
  • Der Scan beginnt automatisch.
  • Wenn fertig, das Protokoll speichern und mir posten.
  • Finish drücken.
  • Browser schließen.
  • Deinstallation nachdem das Protokoll mir gepostet hast: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

8.
erneut einen Scan mit OTL: - ältere Logdateien löschen!

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt - OTL.txt und extra.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

** Die Logs von OTL meistens sind zu lang, kannst auch als Textdatei anhängen (auf "Erweitert") klicken

► berichte erneut über den Zustand des Computers. Ob noch Probleme auftreten, wenn ja, welche?

[Kapri]

Hallo Kira,
zunächst das Protokoll des ersten OTL Vorgangs:

Code:

All processes killed
========== OTL ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ not found.
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKU\S-1-5-21-1800667063-1569571411-3556973297-1001\SOFTWARE\Microsoft\Internet Explorer\Main\\Default_Page_URL| /E : value set successfully!
HKU\S-1-5-21-1800667063-1569571411-3556973297-1001\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
HKEY_USERS\S-1-5-21-1800667063-1569571411-3556973297-1001\Software\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_USERS\S-1-5-21-1800667063-1569571411-3556973297-1001\Software\Microsoft\Internet Explorer\SearchScopes\{0691B084-F0DF-46DE-98F9-EF546ADC5D61}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0691B084-F0DF-46DE-98F9-EF546ADC5D61}\ not found.
Registry key HKEY_USERS\S-1-5-21-1800667063-1569571411-3556973297-1001\Software\Microsoft\Internet Explorer\SearchScopes\{5352EFB5-0BA8-4ED0-BFE5-A2434C39E751}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5352EFB5-0BA8-4ED0-BFE5-A2434C39E751}\ not found.
Registry key HKEY_USERS\S-1-5-21-1800667063-1569571411-3556973297-1001\Software\Microsoft\Internet Explorer\SearchScopes\{6ED99945-4E78-47C3-8E98-CE0B6AF84385}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6ED99945-4E78-47C3-8E98-CE0B6AF84385}\ not found.
Registry key HKEY_USERS\S-1-5-21-1800667063-1569571411-3556973297-1001\Software\Microsoft\Internet Explorer\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}\ not found.
Registry key HKEY_USERS\S-1-5-21-1800667063-1569571411-3556973297-1001\Software\Microsoft\Internet Explorer\SearchScopes\{E5F071A4-50D6-4152-B6D1-F47BEAB6A8AF}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E5F071A4-50D6-4152-B6D1-F47BEAB6A8AF}\ not found.
Registry key HKEY_USERS\S-1-5-21-1800667063-1569571411-3556973297-1001\Software\Microsoft\Internet Explorer\SearchScopes\{F5408DA2-F157-46A9-9474-15A5417F4FCB}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F5408DA2-F157-46A9-9474-15A5417F4FCB}\ not found.
HKU\S-1-5-21-1800667063-1569571411-3556973297-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKU\S-1-5-21-1800667063-1569571411-3556973297-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyOverride| /E : value set successfully!
Prefs.js: "MyStart Search" removed from browser.search.defaultenginename
Prefs.js: "MyStart Search" removed from browser.search.selectedEngine
Prefs.js: "http://mystart.incredibar.com/mb139/?loc=IB_DS&a=6PQCe0FrOA&&i=26&search=" removed from keyword.URL
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@tools.google.com/Google Update;version=3\ deleted successfully.
C:\Program Files (x86)\Google\Update\1.3.21.111\npGoogleUpdate3.dll moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@tools.google.com/Google Update;version=9\ deleted successfully.
File C:\Program Files (x86)\Google\Update\1.3.21.111\npGoogleUpdate3.dll not found.
C:\Users\karin\AppData\Roaming\Mozilla\Firefox\Profiles\ho5w0vcd.default\searchplugins\11-suche.xml moved successfully.
C:\Users\karin\AppData\Roaming\Mozilla\Firefox\Profiles\ho5w0vcd.default\searchplugins\englische-ergebnisse.xml moved successfully.
C:\Users\karin\AppData\Roaming\Mozilla\Firefox\Profiles\ho5w0vcd.default\searchplugins\gmx-suche.xml moved successfully.
C:\Users\karin\AppData\Roaming\Mozilla\Firefox\Profiles\ho5w0vcd.default\searchplugins\lastminute.xml moved successfully.
C:\Users\karin\AppData\Roaming\Mozilla\Firefox\Profiles\ho5w0vcd.default\searchplugins\MyStart Search.xml moved successfully.
C:\Users\karin\AppData\Roaming\Mozilla\Firefox\Profiles\ho5w0vcd.default\searchplugins\webde-suche.xml moved successfully.
C:\Program Files (x86)\mozilla firefox\searchplugins\amazondotcom-de.xml moved successfully.
C:\Program Files (x86)\mozilla firefox\searchplugins\bing.xml moved successfully.
C:\Program Files (x86)\mozilla firefox\searchplugins\eBay-de.xml moved successfully.
C:\Program Files (x86)\mozilla firefox\searchplugins\wikipedia-de.xml moved successfully.
C:\Program Files (x86)\mozilla firefox\searchplugins\yahoo-de.xml moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6E13DDE1-2B6E-46CE-8B66-DC8BF36F6B99}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6E13DDE1-2B6E-46CE-8B66-DC8BF36F6B99}\ not found.
File C:\Program Files (x86)\Incredibar.com\incredibar\1.5.11.14\bh\incredibar.dll not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{F9639E4A-801B-4843-AEE3-03D9DA199E77} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F9639E4A-801B-4843-AEE3-03D9DA199E77}\ not found.
File C:\Program Files (x86)\Incredibar.com\incredibar\1.5.11.14\incredibarTlbr.dll not found.
Registry value HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce\\mctadmin deleted successfully.
Registry value HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce\\mctadmin deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorAdmin deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorUser deleted successfully.
C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job moved successfully.
C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job moved successfully.
C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1800667063-1569571411-3556973297-1001UA.job moved successfully.
C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1800667063-1569571411-3556973297-1001Core.job moved successfully.
File C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-1800667063-1569571411-3556973297-1001UA.job not found.
File C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-1800667063-1569571411-3556973297-1001Core.job not found.
File C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1800667063-1569571411-3556973297-1001Core.job not found.
File C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1800667063-1569571411-3556973297-1001UA.job not found.
========== FILES ==========
C:\Users\karin\AppData\Roaming\pdfforge\PDFArchitect folder moved successfully.
C:\Users\karin\AppData\Roaming\pdfforge\Images2PDF folder moved successfully.
C:\Users\karin\AppData\Roaming\pdfforge folder moved successfully.
File\Folder C:\Program Files (x86)\Incredibar.com not found.
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Aufl”sungscache wurde geleert.
C:\Users\karin\Desktop\cmd.bat deleted successfully.
C:\Users\karin\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 41620 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: karin
->Temp folder emptied: 3843062 bytes
->Temporary Internet Files folder emptied: 408970163 bytes
->Java cache emptied: 642424 bytes
->FireFox cache emptied: 83062017 bytes
->Google Chrome cache emptied: 7745483 bytes
->Flash cache emptied: 43156 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 3938 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 309500 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 481,00 mb
 
 
OTL by OldTimer - Version 3.2.53.1 log created on 07032012_092854

Files\Folders moved on Reboot...
C:\Users\karin\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
File\Folder C:\Users\karin\AppData\Local\Temp\~DF18AA77F75DA1DD16.TMP not found!
File\Folder C:\Users\karin\AppData\Local\Temp\~DF29FF06CCAE7DAE1F.TMP not found!
File\Folder C:\Users\karin\AppData\Local\Temp\~DF52683FB87DB97E0A.TMP not found!
File\Folder C:\Users\karin\AppData\Local\Temp\~DF53702A95C431C5FA.TMP not found!
File\Folder C:\Users\karin\AppData\Local\Temp\~DF8400A6E62E150F14.TMP not found!
File\Folder C:\Users\karin\AppData\Local\Temp\~DF9782800169249FD2.TMP not found!
File\Folder C:\Users\karin\AppData\Local\Temp\~DF9E882829F6A3E46C.TMP not found!
File\Folder C:\Users\karin\AppData\Local\Temp\~DFE43FF3E88712F86E.TMP not found!
File\Folder C:\Users\karin\AppData\Local\Temp\~DFE5FCAE0C9955B9D2.TMP not found!
File\Folder C:\Users\karin\AppData\Local\Temp\~DFE81AE379C339021C.TMP not found!
File\Folder C:\Users\karin\AppData\Local\Temp\~DFF17D7278F3A8A43C.TMP not found!
File\Folder C:\Users\karin\AppData\Local\Temp\~DFF83CF32F2DDF3060.TMP not found!

PendingFileRenameOperations files...
File C:\Users\karin\AppData\Local\Temp\FXSAPIDebugLogFile.txt not found!
File C:\Users\karin\AppData\Local\Temp\~DF18AA77F75DA1DD16.TMP not found!
File C:\Users\karin\AppData\Local\Temp\~DF29FF06CCAE7DAE1F.TMP not found!
File C:\Users\karin\AppData\Local\Temp\~DF52683FB87DB97E0A.TMP not found!
File C:\Users\karin\AppData\Local\Temp\~DF53702A95C431C5FA.TMP not found!
File C:\Users\karin\AppData\Local\Temp\~DF8400A6E62E150F14.TMP not found!
File C:\Users\karin\AppData\Local\Temp\~DF9782800169249FD2.TMP not found!
File C:\Users\karin\AppData\Local\Temp\~DF9E882829F6A3E46C.TMP not found!
File C:\Users\karin\AppData\Local\Temp\~DFE43FF3E88712F86E.TMP not found!
File C:\Users\karin\AppData\Local\Temp\~DFE5FCAE0C9955B9D2.TMP not found!
File C:\Users\karin\AppData\Local\Temp\~DFE81AE379C339021C.TMP not found!
File C:\Users\karin\AppData\Local\Temp\~DFF17D7278F3A8A43C.TMP not found!
File C:\Users\karin\AppData\Local\Temp\~DFF83CF32F2DDF3060.TMP not found!

Registry entries deleted on Reboot...

Dann noch das "Protokoll" des Eset Online Scanners (es enthält nur eine Zeile, ich hoffe, ich habe hier alles so gemacht wie es angedacht war):

Code:

C:\Users\karin\Downloads\PDFCreator-1_2_3_setup.exe	Win32/Toolbar.Widgi application	cleaned by deleting - quarantined

Ich habe extra nicht die Option "delete" gewählt, sondern nur den Scan laufen lassen, das "Protokoll" gespeichert und auf "Finish" gedrückt. Jetzt werde ich das Programm wieder deinstallieren und die Dateien löschen wie oben in deiner Anweisung beschrieben. Dann führe ich nochmals OTL aus und poste die zwei Files wieder hier.

Schon mal als Zwischeninfo: in Firefox ist immer noch beim Öffnen eines neuen Tabs die Seite "Mystart" drin, aber wenn ich das Ergebnis des Eset Scans richtig interpretiere, hängt es mit dem PDFCreator zusammen, richtig? Es folgt dann gleich noch ein zweites Posting mit den neuen OTL Dateien.

Grüße
Kapri

[Kapri]

Hi noch im Anhang, da sie sehr lang sind, die OTL Logfiles.

Wie in meinem vorhergehenden Posting schon geschrieben, habe ich immer noch in Firefox beim Öffnen eines neuen Tabs die Mystart Seite:

mystart.incredibar.com/mb139?a=6PQCe0FrOA&loc=FF_NT

Tausend Dank schon einmal bis hierher und schöne Grüße
Kapri

[kira]

1.
das Tool ausführen:

• Schliesse alle offenstehende Fenster und starte AdwCleaner
• Klicke auf Delete
• Klicke bei: AdwCleaner-Information OK
• Klicke bei: AdwCleaner-Restart Required OK
• Alle ikone verschwinden vom Desktop, das ist normal
• Dein Rechner wird jetzt neu gestartet und es öffnet ein Log (C:\ AdwCleaner[xx].txt poste dessen Inhalt hier ins Forum
• Wenn die Startseite infiziert war, stelle sie neu ein auf Google.de oder nach deine Wahl
  Notice:
  Dieses Tool kommt aus Frankreich daher wird die Startseite auf Google.fr zurueck gesetzt

2.
-> Startseite festlegen


ob sich dein Problem dadurch beheben ließ?

[Kapri]

Hello,
gleich vorab: das Problem ließ sich dadurch beheben, das lästige Ding beim Öffnen neuer Tabs ist endlich weg. Tausend Dank! Ganz toller Service hier.

Eine Frage hab ich noch: Malwarebytes hat gestern eine Trojaner-Datei entdeckt und in Quarantäne genommen. Lösche ich die Datei dort im Ordner "Quarantäne" oder wie verfahre ich am besten, damit auch wirklich nichts passiert? Screenshot hier:

malware.jpg

Hier der Inhalt des Logfiles vom adwcleaner:

Code:

# AdwCleaner v1.700 - Logfile created 07/04/2012 at 08:41:13
# Updated 26/06/2012 by Xplode
# Operating system : Windows 7 Home Premium  (64 bits)
# User : karin - PORTOBELLO
# Running from : C:\Users\karin\Desktop\adwcleaner.exe
# Option [Delete]


***** [Services] *****


***** [Files / Folders] *****

Folder Deleted : C:\ProgramData\boost_interprocess

***** [Registry] *****

Key Deleted : HKCU\Software\IM
Key Deleted : HKCU\Software\ImInstaller
Key Deleted : HKLM\SOFTWARE\Web Assistant
Key Deleted : HKLM\SOFTWARE\Google\Chrome\Extensions\dlnembnfbcpjnepmfjmngjenhhajpdfd
Value Deleted : HKLM\SOFTWARE\Mozilla\Firefox\extensions [{336D0C35-8A85-403a-B9D2-65C292C39087}]
[x64] Key Deleted : HKLM\SOFTWARE\Web Assistant
[x64] Key Deleted : HKLM\SOFTWARE\Google\Chrome\Extensions\dlnembnfbcpjnepmfjmngjenhhajpdfd

***** [Registre - GUID] *****

Key Deleted : HKLM\SOFTWARE\Classes\AppID\{608D3067-77E8-463D-9084-908966806826}
Key Deleted : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
Key Deleted : HKLM\SOFTWARE\Classes\Interface\{7D86A08B-0A8F-4BE0-B693-F05E6947E780}

***** [Internet Browsers] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Registry is clean.

-\\ Mozilla Firefox v13.0.1 (de)

Profile name : default 
File : C:\Users\karin\AppData\Roaming\Mozilla\Firefox\Profiles\ho5w0vcd.default\prefs.js

C:\Users\karin\AppData\Roaming\Mozilla\Firefox\Profiles\ho5w0vcd.default\user.js ... Deleted !

Deleted : user_pref("browser.newtab.url", "hxxp://mystart.incredibar.com/mb139?a=6PQCe0FrOA&loc=FF_NT");
Deleted : user_pref("extensions.incredibar.actvtyRptTime", "1341221289031");
Deleted : user_pref("extensions.incredibar.admin", false);
Deleted : user_pref("extensions.incredibar.aflt", "orgnl");
Deleted : user_pref("extensions.incredibar.afterInstallRpt", "sent");
Deleted : user_pref("extensions.incredibar.cntry", "DE");
Deleted : user_pref("extensions.incredibar.dfltLng", "EN");
Deleted : user_pref("extensions.incredibar.dfltSrch", false);
Deleted : user_pref("extensions.incredibar.dfltlng", "en");
Deleted : user_pref("extensions.incredibar.dfltsrch", "false");
Deleted : user_pref("extensions.incredibar.did", "10669");
Deleted : user_pref("extensions.incredibar.envrmnt", "production");
Deleted : user_pref("extensions.incredibar.excTlbr", false);
Deleted : user_pref("extensions.incredibar.hdrMd5", "0BE9D29A08051BDEE6C785E75DD9B082");
Deleted : user_pref("extensions.incredibar.hmpg", false);
Deleted : user_pref("extensions.incredibar.hrdid", "0");
Deleted : user_pref("extensions.incredibar.id", "d66cad1600000000000078843c039cb0");
Deleted : user_pref("extensions.incredibar.installerproductid", "26");
Deleted : user_pref("extensions.incredibar.instlDay", "15523");
Deleted : user_pref("extensions.incredibar.instlRef", "");
Deleted : user_pref("extensions.incredibar.instlday", "15523");
Deleted : user_pref("extensions.incredibar.instlref", "");
Deleted : user_pref("extensions.incredibar.isDcmntCmplt", false);
Deleted : user_pref("extensions.incredibar.isdcmntcmplt", "false");
Deleted : user_pref("extensions.incredibar.keywordurl", "");
Deleted : user_pref("extensions.incredibar.lastVrsnTs", "1.5.11.1410:17:37");
Deleted : user_pref("extensions.incredibar.mntrvrsn", "1.2.0");
Deleted : user_pref("extensions.incredibar.newTab", false);
Deleted : user_pref("extensions.incredibar.newtab", "false");
Deleted : user_pref("extensions.incredibar.newtaburl", "");
Deleted : user_pref("extensions.incredibar.noFFXTlbr", false);
Deleted : user_pref("extensions.incredibar.ppd", "123%5F1");
Deleted : user_pref("extensions.incredibar.prdct", "incredibar");
Deleted : user_pref("extensions.incredibar.productid", "26");
Deleted : user_pref("extensions.incredibar.propectorlck", 79781288);
Deleted : user_pref("extensions.incredibar.prtnrId", "Incredibar");
Deleted : user_pref("extensions.incredibar.prtnrid", "Incredibar");
Deleted : user_pref("extensions.incredibar.sg", "none");
Deleted : user_pref("extensions.incredibar.smplGrp", "none");
Deleted : user_pref("extensions.incredibar.smplgrp", "none");
Deleted : user_pref("extensions.incredibar.srch", "");
Deleted : user_pref("extensions.incredibar.srchprvdr", "");
Deleted : user_pref("extensions.incredibar.tlbrId", "base");
Deleted : user_pref("extensions.incredibar.tlbrSrchUrl", "hxxp://mystart.Incredibar.com/?a=6PQCe0FrOA&loc=IB_T[...]
Deleted : user_pref("extensions.incredibar.tlbrid", "base");
Deleted : user_pref("extensions.incredibar.tlbrsrchurl", "hxxp://mystart.Incredibar.com/?a=6PQCe0FrOA&loc=IB_T[...]
Deleted : user_pref("extensions.incredibar.upn2", "6PQCe0FrOA");
Deleted : user_pref("extensions.incredibar.upn2n", "92543159866624036");
Deleted : user_pref("extensions.incredibar.vrsn", "1.5.11.14");
Deleted : user_pref("extensions.incredibar.vrsnTs", "1.5.11.1410:17:37");
Deleted : user_pref("extensions.incredibar.vrsni", "1.5.11.14");
Deleted : user_pref("extensions.incredibar.vrsnts", "1.5.11.1410:17:37");
Deleted : user_pref("extensions.incredibar_i.aflt", "orgnl");
Deleted : user_pref("extensions.incredibar_i.dfltLng", "");
Deleted : user_pref("extensions.incredibar_i.did", "10669");
Deleted : user_pref("extensions.incredibar_i.excTlbr", false);
Deleted : user_pref("extensions.incredibar_i.id", "d66cad1600000000000078843c039cb0");
Deleted : user_pref("extensions.incredibar_i.installerproductid", "26");
Deleted : user_pref("extensions.incredibar_i.instlDay", "15523");
Deleted : user_pref("extensions.incredibar_i.instlRef", "");
Deleted : user_pref("extensions.incredibar_i.ms_url_id", "");
Deleted : user_pref("extensions.incredibar_i.newTab", false);
Deleted : user_pref("extensions.incredibar_i.ppd", "123%5F1");
Deleted : user_pref("extensions.incredibar_i.prdct", "incredibar");
Deleted : user_pref("extensions.incredibar_i.productid", "26");
Deleted : user_pref("extensions.incredibar_i.prtnrId", "Incredibar");
Deleted : user_pref("extensions.incredibar_i.smplGrp", "none");
Deleted : user_pref("extensions.incredibar_i.tlbrId", "base");
Deleted : user_pref("extensions.incredibar_i.tlbrSrchUrl", "hxxp://mystart.Incredibar.com/?a=6PQCe0FrOA&loc=IB[...]
Deleted : user_pref("extensions.incredibar_i.upn2", "6PQCe0FrOA");
Deleted : user_pref("extensions.incredibar_i.upn2n", "92543159866624036");
Deleted : user_pref("extensions.incredibar_i.vrsn", "1.5.11.14");
Deleted : user_pref("extensions.incredibar_i.vrsnTs", "1.5.11.1410:17:37");
Deleted : user_pref("extensions.incredibar_i.vrsni", "1.5.11.14");
Deleted : user_pref("{336D0C35-8A85-403a-B9D2-65C292C39087}.ScriptData_WSG_whiteList", "{\"search.babylon.com\[...]

-\\ Google Chrome v [Unable to get version]

File : C:\Users\karin\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] File is clean.

*************************

AdwCleaner[R1].txt - [14260 octets] - [02/07/2012 12:33:44]
AdwCleaner[S1].txt - [6954 octets] - [04/07/2012 08:41:13]

########## EOF - C:\AdwCleaner[S1].txt - [7082 octets] ##########

Danke nochmal!
Grüße
Karin

[kira]

woher kommt das "Ding" auf einmal her?

1.
starte Malwarebytes Anti-Malware
-> Funde aus Quarantäne löschen
-> Update ziehen
-> Vollständiger Suchlauf wählen
-> Funde löschen lassen
-> Scanergebnis hier posten!

2.
eine weitere Systembereinigung herbeizuführen, bitte führe folgendes Programm aus:
SUPERAntiSpyware Free Edition

3.
erneut einen Scan mit OTL: - ältere Logdateien löschen!

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt - OTL.txt und extra.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

** Die Logs von OTL meistens sind zu lang, kannst auch als Textdatei anhängen (auf "Erweitert") klicken

[Kapri]

woher kommt das "Ding" auf einmal her?

Von der Uhrzeit her kam es während des Eset Online Scans daher. Ich habe während des Scans nicht gesurft und sonst auch nichts gemacht am Rechner, aber ein Browser-Fenster war offen und Avira ja ausgeschaltet so lange....

Malwarebytes Scan-Ergebnis:

Code:

Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.07.05.02

Windows 7 x64 NTFS
Internet Explorer 9.0.8112.16421
karin :: PORTOBELLO [Administrator]

Schutz: Aktiviert

05.07.2012 09:32:06
mbam-log-2012-07-05 (09-32-06).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 412625
Laufzeit: 1 Stunde(n), 54 Minute(n), 44 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

SuperAntiSpyWare habe ich laufen lassen. Log hast du nicht explizit verlangt, drum poste ich es auch nicht. Soll ich´s noch nachreichen?

OTL hab ich auch nochmal laufen lassen, Logfiles sind im Anhang zu finden. Ich glaub, jetzt ist alles ok, oder?

Wie immer: tausend Dank! Dieses Forum hier ist eine große Hilfe. Und gelernt hab ich auch was.