Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 18
  1. #1
    Stammgast
    Registriert seit
    12.07.2012
    Beiträge
    28

    MyStart Incredibar - wie entferne ich es??

    Hallo zusammen,
    ich habe ein großes Problem.
    Ich habe mir über den PDF creator runtergeladen und dabei auch die mystart incredibar toolbar bekommen.
    Bis jetzt hab ich das alles versucht
    - deinstallation eines zugehörigen programms aus der systemsteuerung
    - entfernen des entsprechenden add-ons aus den firefox-einstellungen
    - deinstallation von Firefox und Google Chrome
    - startseite wieder umgestellt, neue tabs werden auch nicht mehr mit der lästigen seite geöffnet

    Die Antiviren-/Malwareprogramme hat zwei Viren gefunden. Eset hat leider nichts gefunden.
    Malwareprogramm gab dieses Ergebnis:Malwarebytes Anti-Malware (Test) 1.62.0.1300
    Code:
    www.malwarebytes.org
    
    Datenbank Version: v2012.07.12.08
    
    Windows XP Service Pack 3 x86 NTFS
    Internet Explorer 8.0.6001.18702
    User :: USER-EBAF789C51 [Administrator]
    
    Schutz: Aktiviert
    
    12.07.2012 19:44:10
    mbam-log-2012-07-12 (19-44-10).txt
    
    Art des Suchlaufs: Quick-Scan
    Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
    Deaktivierte Suchlaufeinstellungen: P2P
    Durchsuchte Objekte: 204714
    Laufzeit: 7 Minute(n), 47 Sekunde(n)
    
    Infizierte Speicherprozesse: 0
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Speichermodule: 0
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Registrierungsschlüssel: 1
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (PUP.BundleInstaller.VG) -> Erfolgreich gelöscht und in Quarantäne gestellt.
    
    Infizierte Registrierungswerte: 0
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Dateiobjekte der Registrierung: 0
    Ich habe jetzt - wie vielfach empfohlen - einen Systemscan mit OTL gemacht. Ergebnis ist folgendes:
    Code:
    OTL logfile created on: 12.07.2012 21:58:25 - Run 1
    OTL by OldTimer - Version 3.2.54.0     Folder = C:\Dokumente und Einstellungen\User\Eigene Dateien\Downloads
    Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
    Internet Explorer (Version = 8.0.6001.18702)
    Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
     
    1,99 Gb Total Physical Memory | 1,35 Gb Available Physical Memory | 67,81% Memory free
    3,84 Gb Paging File | 3,36 Gb Available in Paging File | 87,62% Paging File free
    Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
     
    %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
    Drive C: | 149,05 Gb Total Space | 124,60 Gb Free Space | 83,60% Space Free | Partition Type: NTFS
     
    Computer Name: USER-EBAF789C51 | User Name: User | Logged in as Administrator.
    Boot Mode: Normal | Scan Mode: Current user | Quick Scan
    Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
     
    ========== Processes (SafeList) ==========
     
    PRC - [2012.07.12 21:53:57 | 000,596,480 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\User\Eigene Dateien\Downloads\OTL.exe
    PRC - [2012.07.03 13:46:44 | 000,655,944 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
    PRC - [2012.07.03 13:46:44 | 000,462,920 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe
    PRC - [2012.05.08 19:52:48 | 000,348,624 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
    PRC - [2012.05.08 19:52:48 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
    PRC - [2012.01.18 14:02:04 | 000,254,696 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
    PRC - [2011.08.02 09:33:30 | 004,910,912 | ---- | M] (DT Soft Ltd) -- C:\Programme\DAEMON Tools Lite\DTLite.exe
    PRC - [2008.04.14 14:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
    PRC - [2008.04.08 11:13:44 | 001,613,824 | ---- | M] () -- C:\Programme\HP Wireless Printer Adapter\ConnectMgr.exe
    PRC - [2007.02.21 12:19:58 | 000,819,200 | ---- | M] (Intel Corporation) -- C:\Programme\Intel\Wireless\Bin\ZCfgSvc.exe
    PRC - [2007.02.21 12:19:40 | 000,294,912 | ---- | M] (Intel(R) Corporation) -- C:\Programme\Intel\Wireless\Bin\WLKEEPER.exe
    PRC - [2007.02.21 12:17:42 | 000,970,752 | ---- | M] (Intel Corporation) -- C:\Programme\Intel\Wireless\Bin\iFrmewrk.exe
    PRC - [2007.02.20 13:29:08 | 001,191,936 | ---- | M] (Dell Inc) -- C:\Programme\Dell\QuickSet\quickset.exe
    PRC - [2007.02.20 13:24:34 | 000,475,136 | ---- | M] (Dell Inc.) -- C:\Programme\Dell\QuickSet\NicConfigSvc.exe
    PRC - [2006.10.26 14:40:34 | 000,335,872 | ---- | M] (Microsoft Corporation) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
     
     
    ========== Modules (No Company Name) ==========
     
    MOD - [2012.05.08 19:52:48 | 000,398,288 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll
    MOD - [2008.04.08 11:13:44 | 001,613,824 | ---- | M] () -- C:\Programme\HP Wireless Printer Adapter\ConnectMgr.exe
    MOD - [2008.01.15 01:10:06 | 000,282,624 | ---- | M] () -- C:\Programme\HP Wireless Printer Adapter\scLanUtil.dll
    MOD - [2008.01.08 02:25:10 | 000,229,376 | ---- | M] () -- C:\Programme\HP Wireless Printer Adapter\scComm.dll
    MOD - [2008.01.08 00:00:52 | 000,225,280 | ---- | M] () -- C:\Programme\HP Wireless Printer Adapter\scUtil.dll
    MOD - [2007.10.11 03:47:36 | 000,086,016 | ---- | M] () -- C:\Programme\HP Wireless Printer Adapter\scUsb.dll
    MOD - [2007.03.16 18:10:44 | 000,086,016 | ---- | M] () -- C:\WINDOWS\system32\preflib.dll
    MOD - [2007.03.16 18:10:38 | 000,757,760 | ---- | M] () -- C:\WINDOWS\system32\bcm1xsup.dll
    MOD - [2007.02.21 12:13:02 | 000,118,784 | ---- | M] () -- C:\Programme\Intel\Wireless\Bin\iWMSProv.dll
    MOD - [2007.02.20 13:29:46 | 000,098,304 | ---- | M] () -- C:\Programme\Dell\QuickSet\dadkeyb.dll
    MOD - [2005.10.13 13:53:36 | 000,090,223 | ---- | M] () -- C:\Programme\Dell\QuickSet\preflibcl.dll
     
     
    ========== Win32 Services (SafeList) ==========
     
    SRV - [2012.07.12 18:31:20 | 000,250,056 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
    SRV - [2012.07.03 13:46:44 | 000,655,944 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService)
    SRV - [2012.06.15 00:17:46 | 000,113,120 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
    SRV - [2012.06.05 15:17:44 | 000,160,944 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Programme\Skype\Updater\Updater.exe -- (SkypeUpdate)
    SRV - [2012.05.08 19:52:48 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Stopped] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
    SRV - [2012.05.08 19:52:48 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
    SRV - [2011.07.20 06:18:24 | 000,440,696 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv)
    SRV - [2010.01.09 21:37:50 | 004,640,000 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE -- (osppsvc)
    SRV - [2010.01.09 21:18:00 | 000,149,352 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
    SRV - [2007.02.21 12:19:40 | 000,294,912 | ---- | M] (Intel(R) Corporation) [Auto | Running] -- C:\Programme\Intel\Wireless\Bin\WLKEEPER.exe -- (WLANKEEPER) Intel(R)
    SRV - [2007.02.20 13:24:34 | 000,475,136 | ---- | M] (Dell Inc.) [Auto | Running] -- C:\Programme\Dell\QuickSet\NicConfigSvc.exe -- (NICCONFIGSVC)
    SRV - [2006.10.26 14:40:34 | 000,335,872 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe -- (MDM)
     
     
    ========== Driver Services (SafeList) ==========
     
    DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
    DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
    DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
    DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
    DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
    DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
    DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
    DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
    DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbdev.sys -- (hwusbdev)
    DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard)
    DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbnet.sys -- (ewusbnet)
    DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
    DRV - [2012.07.03 13:46:44 | 000,022,344 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mbam.sys -- (MBAMProtector)
    DRV - [2012.05.08 19:52:48 | 000,137,928 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
    DRV - [2012.05.08 19:52:48 | 000,083,392 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
    DRV - [2012.03.17 23:07:27 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr)
    DRV - [2012.03.17 23:07:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
    DRV - [2011.10.22 15:33:10 | 000,232,512 | ---- | M] (DT Soft Ltd) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\dtsoftbus01.sys -- (dtsoftbus01)
    DRV - [2007.10.30 20:54:06 | 000,039,552 | ---- | M] (Hewlett-Packard Development Company) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hpnuhub.sys -- (HPNUHUB)
    DRV - [2007.03.27 04:12:46 | 000,012,032 | ---- | M] (Hewlett-Packard Development Company) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hpnuhst.sys -- (hpnuhst)
    DRV - [2007.03.16 18:10:46 | 000,604,928 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\BCMWL5.SYS -- (BCM43XX)
    DRV - [2007.02.21 12:16:12 | 000,012,416 | ---- | M] (Intel Corporation) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\s24trans.sys -- (s24trans)
    DRV - [2005.08.12 17:50:46 | 000,016,128 | ---- | M] (Dell Inc) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\APPDRV.SYS -- (APPDRV)
    DRV - [2005.03.10 17:56:06 | 000,273,168 | ---- | M] (SigmaTel, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\STAC97.sys -- (STAC97)
    DRV - [2004.08.23 15:49:30 | 000,121,472 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\b57xp32.sys -- (b57w2k)
     
     
    ========== Standard Registry (SafeList) ==========
     
     
    ========== Internet Explorer ==========
     
    IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
    IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
     
    IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
    IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
    IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
     
    ========== FireFox ==========
     
    FF - prefs.js..browser.search.defaultenginename: "MyStart Search"
    FF - prefs.js..browser.search.selectedEngine: "Google"
    FF - prefs.js..browser.startup.homepage: "http://www.google.de/"
    FF - prefs.js..extensions.enabledItems: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.1
    FF - prefs.js..keyword.URL: "http://mystart.incredibar.com/mb155/?loc=IB_DS&a=6OyGrLsKSc&&i=26&search="
     
     
    FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_3_300_265.dll ()
    FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\WINDOWS\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
    FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.)
    FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeAuthz,version=14.0: C:\PROGRA~1\MICROS~2\Office14\NPAUTHZ.DLL (Microsoft Corporation)
    FF - HKLM\Software\MozillaPlugins\@microsoft.com/SharePoint,version=14.0: C:\PROGRA~1\MICROS~2\Office14\NPSPWRAP.DLL (Microsoft Corporation)
    FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
    FF - HKLM\Software\MozillaPlugins\@ptc.com/ProductViewLite: C:\Programme\Gemeinsame Dateien\PTC\np6_pvapplite9.dll (PTC)
    FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
     
    FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.07.12 19:16:30 | 000,000,000 | ---D | M]
    FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2012.04.16 17:24:35 | 000,000,000 | ---D | M]
     
    [2010.12.17 08:40:01 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Extensions
    [2012.07.12 19:19:30 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\ykmkes8p.default\extensions
    [2011.02.10 11:32:08 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\ykmkes8p.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
    [2011.01.02 14:09:40 | 000,000,000 | ---D | M] ("DVDVideoSoft Menu") -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\ykmkes8p.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
    [2012.06.29 21:17:56 | 000,002,203 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\ykmkes8p.default\searchplugins\MyStart Search.xml
    [2012.07.12 19:16:30 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
    [2011.12.20 18:08:00 | 000,000,000 | ---D | M] (Skype Click to Call) -- C:\Programme\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}
    [2012.04.01 18:40:48 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
    [2012.06.15 00:19:07 | 000,085,472 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
    [2012.04.01 18:40:47 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll
    [2012.06.15 00:46:57 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
    [2012.06.15 00:46:56 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
    [2012.06.15 00:46:57 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
    [2012.06.15 00:46:57 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
    [2012.06.15 00:46:57 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
    [2012.06.15 00:46:56 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
     
    O1 HOSTS File: ([2008.04.14 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
    O1 - Hosts: 127.0.0.1       localhost
    O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
    O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
    O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
    O2 - BHO: (Office Document Cache Handler) - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Programme\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)
    O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
    O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
    O4 - HKLM..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe (Dell Inc)
    O4 - HKLM..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe (Intel Corporation)
    O4 - HKLM..\Run: [IntelZeroConfig] C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe (Intel Corporation)
    O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
    O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
    O4 - HKCU..\Run: [DAEMON Tools Lite] C:\Programme\DAEMON Tools Lite\DTLite.exe (DT Soft Ltd)
    O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Verbindungsmanager.lnk = C:\Programme\HP Wireless Printer Adapter\ConnectMgr.exe ()
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
    O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
    O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\User\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm ()
    O9 - Extra Button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
    O9 - Extra 'Tools' menuitem : Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
    O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jin...ndows-i586.cab (Java Plug-in 1.6.0_31)
    O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jin...ndows-i586.cab (Java Plug-in 1.6.0_31)
    O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jin...ndows-i586.cab (Java Plug-in 1.6.0_31)
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{A4EFDBCC-3BD4-4838-A369-FA2AD9962BA9}: DhcpNameServer = 192.168.2.1
    O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
    O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
    O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
    O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
    O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
    O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
    O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
    O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
    O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
    O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
    O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
    O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
    O32 - HKLM CDRom: AutoRun - 1
    O32 - AutoRun File - [2010.12.15 19:36:13 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
    O33 - MountPoints2\{f1938922-09a7-11e0-8783-00904bfa223f}\Shell - "" = AutoRun
    O33 - MountPoints2\{f1938922-09a7-11e0-8783-00904bfa223f}\Shell\AutoRun - "" = Auto&Play
    O33 - MountPoints2\{f1938922-09a7-11e0-8783-00904bfa223f}\Shell\AutoRun\command - "" = F:\AutoRun.exe
    O33 - MountPoints2\{f1938926-09a7-11e0-8783-00904bfa223f}\Shell - "" = AutoRun
    O33 - MountPoints2\{f1938926-09a7-11e0-8783-00904bfa223f}\Shell\AutoRun - "" = Auto&Play
    O33 - MountPoints2\{f1938926-09a7-11e0-8783-00904bfa223f}\Shell\AutoRun\command - "" = F:\AutoRun.exe
    O34 - HKLM BootExecute: (autocheck autochk *)
    O35 - HKLM\..comfile [open] -- "%1" %*
    O35 - HKLM\..exefile [open] -- "%1" %*
    O37 - HKLM\...com [@ = comfile] -- "%1" %*
    O37 - HKLM\...exe [@ = exefile] -- "%1" %*
    O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
    O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
     
    ========== Files/Folders - Created Within 30 Days ==========
     
    [2012.07.12 19:37:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Malwarebytes
    [2012.07.12 19:37:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
    [2012.07.12 19:37:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
    [2012.07.12 19:37:19 | 000,022,344 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
    [2012.07.12 19:37:19 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
    [2012.07.12 19:16:32 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Maintenance Service
    [2012.07.12 18:28:06 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Skype
    [2012.07.12 18:28:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Skype
    [2012.07.11 23:18:47 | 000,000,000 | ---D | C] -- C:\ae77cdbdc75a76e6af27cd553cb498
    [2012.06.29 21:18:11 | 000,000,000 | ---D | C] -- C:\Programme\Incredibar.com
    [2012.06.29 21:18:02 | 000,000,000 | ---D | C] -- C:\Programme\Web Assistant
    [2012.06.13 20:00:41 | 000,000,000 | ---D | C] -- C:\c0b041c544600bd98d
    [3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
    [12 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
     
    ========== Files - Modified Within 30 Days ==========
     
    [2012.07.12 21:50:47 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
    [2012.07.12 21:49:12 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
    [2012.07.12 21:30:01 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
    [2012.07.12 19:39:41 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes Anti-Malware.lnk
    [2012.07.12 19:16:34 | 000,000,696 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk
    [2012.07.12 18:28:06 | 000,001,872 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk
    [2012.07.12 18:09:56 | 000,001,642 | ---- | M] () -- C:\WINDOWS\imsins.BAK
    [2012.07.12 17:56:38 | 000,496,412 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
    [2012.07.12 17:56:38 | 000,476,124 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
    [2012.07.12 17:56:38 | 000,092,378 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
    [2012.07.12 17:56:38 | 000,077,158 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
    [2012.07.03 13:46:44 | 000,022,344 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
    [2012.06.29 21:18:13 | 000,000,447 | ---- | M] () -- C:\user.js
    [2012.06.18 18:29:49 | 000,201,087 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Eigene Dateien\479722_308281439262663_25609718_n.jpg
    [2012.06.13 22:38:54 | 000,345,808 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
    [3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
    [12 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
     
    ========== Files Created - No Company Name ==========
     
    [2012.07.12 19:37:20 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes Anti-Malware.lnk
    [2012.07.12 19:16:34 | 000,000,702 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Mozilla Firefox.lnk
    [2012.07.12 19:16:34 | 000,000,696 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk
    [2012.06.29 21:18:12 | 000,000,447 | ---- | C] () -- C:\user.js
    [2012.06.18 18:29:48 | 000,201,087 | ---- | C] () -- C:\Dokumente und Einstellungen\User\Eigene Dateien\479722_308281439262663_25609718_n.jpg
    [2012.02.16 17:20:26 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
    [2012.02.07 14:43:41 | 000,004,608 | ---- | C] () -- C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
    [2011.10.22 14:29:49 | 000,294,912 | R--- | C] () -- C:\WINDOWS\System32\copydrvUsb.exe
    [2011.10.22 14:24:07 | 000,010,709 | ---- | C] () -- C:\WINDOWS\hpwscr19.dat
    [2011.10.22 14:22:14 | 000,202,670 | ---- | C] () -- C:\WINDOWS\hpwins19.dat
    [2011.10.22 14:22:14 | 000,000,997 | ---- | C] () -- C:\WINDOWS\hpwmdl19.dat
    [2011.02.17 22:19:07 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
    [2010.12.30 21:07:42 | 000,019,456 | ---- | C] () -- C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\WebpageIcons.db
    [2010.12.30 21:02:13 | 000,021,504 | ---- | C] () -- C:\WINDOWS\jestertb.dll
    [2010.12.17 08:39:57 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
    [2010.12.15 19:49:20 | 000,086,016 | ---- | C] () -- C:\WINDOWS\System32\preflib.dll
    [2010.12.15 19:49:19 | 000,020,480 | ---- | C] () -- C:\WINDOWS\System32\WLTRYSVC.EXE
    [2010.12.15 19:49:18 | 000,757,760 | ---- | C] () -- C:\WINDOWS\System32\bcm1xsup.dll
    [2010.12.15 19:42:52 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\stac97co.dll
    [2010.12.15 19:38:43 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
    [2010.12.15 19:33:01 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
    [2010.12.15 19:11:54 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
    [2010.12.15 19:10:40 | 000,345,808 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
     
    ========== LOP Check ==========
     
    [2011.10.22 15:31:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite
    [2011.10.22 15:09:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Pro
    [2011.11.24 13:42:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MSScanAppDataDir
    [2011.11.24 13:43:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SSScanAppDataDir
    [2011.10.22 15:34:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\DAEMON Tools Lite
    [2011.10.22 15:09:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\DAEMON Tools Pro
    [2011.01.02 14:09:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\DVDVideoSoftIEHelpers
    [2010.12.15 19:53:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Infineon
    [2011.10.22 15:00:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\PTC
     
    ========== Purity Check ==========
     
     
    
    < End of report >
    Geändert von Petra (13.07.2012 um 15:05 Uhr) Grund: Code-Tags eingefügt

  2. #2
    Anti-Botnet-Team Avatar von Petra
    Registriert seit
    06.09.2011
    Ort
    Nähe Düsseldorf
    Beiträge
    16.323

    Hallo sabina,

    zunächst bitte anklicken und lesen: Worauf muss ich während der Bereinigung achten?

    Besonders wichtig ist, dass Du die Punkte in der vorgegebenen Reihenfolge abarbeitest.
    Berichte mir, wenn etwas nicht funktioniert, damit ich die Anleitung ggfs. ändern kann!


    ===== Punkt 1 =====

    Deinstalliere, falls vorhanden auch noch die Bing Bar über Systemsteuerung => Software



    ===== Punkt 2 =====

    OTL muss auf dem Desktop liegen. Bitte verschiebe die OTL.exe von C:\Dokumente und Einstellungen\User\Eigene Dateien\Downloads auf Deinen Desktop

    Fixen mit OTL

    Hiermit fixen wir unnötige oder schädliche Einträge.

    Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).
    • Starte die OTL.exe.
      Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
    • Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:





    Sollten in den Logfiles Benutzernamen anonymisiert worden sein:
    Daran denken, wieder den ursprünglichen Benutzernamen einzufügen!


    Code:
    :OTL
    IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
    IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} 
    IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
    IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
    FF - prefs.js..keyword.URL: "http://mystart.incredibar.com/mb155/?loc=IB_DS&a=6OyGrLsKSc&&i=26&search="
    O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jin...ndows-i586.cab (Java Plug-in 1.6.0_31)
    O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jin...ndows-i586.cab (Java Plug-in 1.6.0_31)
    O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jin...ndows-i586.cab (Java Plug-in 1.6.0_31)
    O33 - MountPoints2\{f1938922-09a7-11e0-8783-00904bfa223f}\Shell - "" = AutoRun
    O33 - MountPoints2\{f1938922-09a7-11e0-8783-00904bfa223f}\Shell\AutoRun - "" = Auto&Play
    O33 - MountPoints2\{f1938922-09a7-11e0-8783-00904bfa223f}\Shell\AutoRun\command - "" = F:\AutoRun.exe
    O33 - MountPoints2\{f1938926-09a7-11e0-8783-00904bfa223f}\Shell - "" = AutoRun
    O33 - MountPoints2\{f1938926-09a7-11e0-8783-00904bfa223f}\Shell\AutoRun - "" = Auto&Play
    O33 - MountPoints2\{f1938926-09a7-11e0-8783-00904bfa223f}\Shell\AutoRun\command - "" = F:\AutoRun.exe
    
    :Files
    ipconfig /flushdns /c
    C:\Programme\Incredibar.com
    C:\Programme\Web Assistant
    
    :Commands
    [purity]
    [emptytemp]
    • Schließe alle Programme ink. z. B. Verhaltensüberwachung von Antivirus-Programmen.
    • Klicke auf den Fix Button.
    • Wenn OTL einen Neustart verlangt, bitte zulassen.
    • Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
      Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>


    Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
    Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!




    ===== Punkt 3 =====

    Welche Java-Version ist installiert?

    Kontrolliere über Systemsteuerung => Programme, welche Java-Version installiert ist.
    Falls es nicht Java Version 7 Update 5 ist:

    Eventuell vorhandene ältere Versionen von Java über Systemsteuerung => Programme deinstallieren und ggfs. auch im Firefox unter Addons => Erweiterungen die alten Java-Versionen entfernen.

    Die Offline-Version von Java Version 7 Update 5 von Oracle findest Du hier. Achte bei der Installation darauf, eventuell angebotene Toolbars nicht mitzuinstallieren, also während der Installation den Haken bei der Toolbar entfernen.

    User mit 64Bit-System sollten die 32Bit-Version installieren. Es hat sich mehrfach gezeigt, dass die 64Bit-Version Probleme bereitet.


    Unter Systemsteuerung => Java => Aktualisierung einstellen:
    Benachrichtigung ausgeben => Vor der Installation
    Haken bei Automatisch nach Aktualisierung suchen machen und unter Erweitert auf "Wöchentlich" einstellen.



    ===== Punkt 4 =====

    Scan mit SystemLook

    Hiermit prüfe ich, ob für diese Infektion übliche Einträge noch vorhanden sind. Das Tool ändert nichts, wirft mir nur die nötigen Infos aus.

    Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop (falls noch nicht vorhanden).

    Download Mirror #1 - Download Mirror #2
    User mit 64Bit-Windows-Versionen benutzen diese Version => http://jpshortstuff.247fixes.com/SystemLook_x64.exe
    • Doppelklick auf die SystemLook.exe, um das Tool zu starten.
      Vista- und Windows 7-User unbedingt mit Rechtsklick und als Administrator starten.
    • Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:

      Code:
      :regfind
      icredib
      :dir
      C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MSScanAppDataDir /s
      C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SSScanAppDataDir /s
    • Klicke nun auf den Button Look, um den Scan zu starten.
    • Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
    • Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

  3. #3
    Stammgast
    Registriert seit
    12.07.2012
    Beiträge
    28
    Hallo Petra ,
    danke für die schnelle Antwort!
    Ich hab bei Punkt 2 folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes kopiert und dann auf Fix gedrückt. Und es arbeitet schon seit über fünf Stunden Und seit fünf Stunden steht da nur : Killing processes. DO NOT INTERRUPT...
    Ist das normal? oder stimmt da wieder was nicht.

    danke

    Sabina

    Da ich mein Malwarebytes nicht deaktivieren konnte, hab ich es gelöscht. Und jetzt nochmal mit OTL gefixt. und jetzt hat es geklappt.

    Punkt 2 Fixen mit OTL
    Code:
    All processes killed
    ========== OTL ==========
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
    Prefs.js: "http://mystart.incredibar.com/mb155/?loc=IB_DS&a=6OyGrLsKSc&&i=26&search=" removed from keyword.URL
    Starting removal of ActiveX control {8AD9C840-044E-11D1-B3E9-00805F499D93}
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
    Starting removal of ActiveX control {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}\ deleted successfully.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}\ not found.
    Starting removal of ActiveX control {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f1938922-09a7-11e0-8783-00904bfa223f}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f1938922-09a7-11e0-8783-00904bfa223f}\ not found.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f1938922-09a7-11e0-8783-00904bfa223f}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f1938922-09a7-11e0-8783-00904bfa223f}\ not found.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f1938922-09a7-11e0-8783-00904bfa223f}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f1938922-09a7-11e0-8783-00904bfa223f}\ not found.
    File F:\AutoRun.exe not found.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f1938926-09a7-11e0-8783-00904bfa223f}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f1938926-09a7-11e0-8783-00904bfa223f}\ not found.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f1938926-09a7-11e0-8783-00904bfa223f}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f1938926-09a7-11e0-8783-00904bfa223f}\ not found.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f1938926-09a7-11e0-8783-00904bfa223f}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f1938926-09a7-11e0-8783-00904bfa223f}\ not found.
    File F:\AutoRun.exe not found.
    ========== FILES ==========
    < ipconfig /flushdns /c >
    Windows-IP-Konfiguration
    Der DNS-Auflösungscache wurde geleert.
    C:\Dokumente und Einstellungen\User\Eigene Dateien\Downloads\cmd.bat deleted successfully.
    C:\Dokumente und Einstellungen\User\Eigene Dateien\Downloads\cmd.txt deleted successfully.
    C:\Programme\Incredibar.com\incredibar\1.5.11.14 folder moved successfully.
    C:\Programme\Incredibar.com\incredibar folder moved successfully.
    C:\Programme\Incredibar.com folder moved successfully.
    C:\Programme\Web Assistant\resources folder moved successfully.
    C:\Programme\Web Assistant\libraries folder moved successfully.
    C:\Programme\Web Assistant\Firefox\defaults\preferences folder moved successfully.
    C:\Programme\Web Assistant\Firefox\defaults folder moved successfully.
    C:\Programme\Web Assistant\Firefox\chrome\skin folder moved successfully.
    C:\Programme\Web Assistant\Firefox\chrome\locale\en-US folder moved successfully.
    C:\Programme\Web Assistant\Firefox\chrome\locale folder moved successfully.
    C:\Programme\Web Assistant\Firefox\chrome\content\resources folder moved successfully.
    C:\Programme\Web Assistant\Firefox\chrome\content\libraries folder moved successfully.
    C:\Programme\Web Assistant\Firefox\chrome\content folder moved successfully.
    C:\Programme\Web Assistant\Firefox\chrome folder moved successfully.
    C:\Programme\Web Assistant\Firefox folder moved successfully.
    C:\Programme\Web Assistant folder moved successfully.
    ========== COMMANDS ==========
     
    [EMPTYTEMP]
     
    User: All Users
     
    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes
     
    User: LocalService
    ->Temp folder emptied: 66016 bytes
    ->Temporary Internet Files folder emptied: 33177 bytes
     
    User: NetworkService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes
     
    User: User
    ->Temp folder emptied: 1445621100 bytes
    ->Temporary Internet Files folder emptied: 186106629 bytes
    ->Java cache emptied: 527190 bytes
    ->FireFox cache emptied: 1255905217 bytes
    ->Flash cache emptied: 46068 bytes
     
    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 2352202 bytes
    %systemroot%\System32 .tmp files removed: 14168455 bytes
    %systemroot%\System32\dllcache .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 12101043 bytes
    RecycleBin emptied: 324 bytes
     
    Total Files Cleaned = 2.782,00 mb
     
     
    OTL by OldTimer - Version 3.2.54.0 log created on 07142012_185025
    
    Files\Folders moved on Reboot...
    
    PendingFileRenameOperations files...
    
    Registry entries deleted on Reboot...
    Punkt 4 scan mit Systemlook
    Code:
    SystemLook 30.07.11 by jpshortstuff
    Log created at 19:32 on 14/07/2012 by User
    Administrator - Elevation successful
    
    ========== regfind ==========
    
    Searching for "icredib"
    No data found.
    
    ========== dir ==========
    
    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MSScanAppDataDir - Parameters: "/s"
    
    ---Files---
    xscan32.dat	--a---- 59466 bytes	[11:42 24/11/2011]	[23:53 28/02/2006]
    
    No folders found.
    
    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SSScanAppDataDir - Parameters: "/s"
    
    ---Files---
    xscan32.dat	------- 221 bytes	[11:43 24/11/2011]	[11:43 24/11/2011]
    
    No folders found.
    
    -= EOF =-
    Geändert von Petra (15.07.2012 um 12:43 Uhr) Grund: Beiträge zusammengefügt

  4. #4
    Anti-Botnet-Team Avatar von Petra
    Registriert seit
    06.09.2011
    Ort
    Nähe Düsseldorf
    Beiträge
    16.323
    Hallo Sabina,

    hast Du die Voll- oder die Freeware-Version von Malwarebytes?

    Machst Du bitte nochmal Systemlook mit diesem Skript:

    Code:
    :file
    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MSScanAppDataDir\xscan32.dat
    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SSScanAppDataDir\xscan32.dat

  5. #5
    Stammgast
    Registriert seit
    12.07.2012
    Beiträge
    28
    Hallo Petra,
    ich hatte die die Freeware Testversion von Malebytes. Diese musste ich aber löschen, damit ich mit OTL fixen konnte.
    Systemlook:
    Code:
    SystemLook 30.07.11 by jpshortstuff
    Log created at 14:53 on 15/07/2012 by User
    Administrator - Elevation successful
    
    ========== file ==========
    
    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MSScanAppDataDir\xscan32.dat - File found and opened.
    MD5: 65D3B7E3252DF0D6BFCFC9EF15EE07E5
    Created at 11:42 on 24/11/2011
    Modified at 23:53 on 28/02/2006
    Size: 59466 bytes
    Attributes: --a----
    No version information available.
    
    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SSScanAppDataDir\xscan32.dat - File found and opened.
    MD5: A87AA8D8C739C32B48DE6D16566281A2
    Created at 11:43 on 24/11/2011
    Modified at 11:43 on 24/11/2011
    Size: 221 bytes
    Attributes: -------
    No version information available.
    
    -= EOF =-
    Geändert von sabina (15.07.2012 um 14:07 Uhr)

  6. #6
    Anti-Botnet-Team Avatar von Petra
    Registriert seit
    06.09.2011
    Ort
    Nähe Düsseldorf
    Beiträge
    16.323
    Hallo sabina,

    Datei-Überprüfung

    Folgende Datei/en (siehe Codebox) bei VirusTotal online überprüfen lassen. Dafür musst Du jede Datei einzeln über den Button "Durchsuchen" und "Send file" nach VirusTotal hochladen und prüfen lassen. Sollte die Datei bereits einmal geprüft sein, bitte auf Reanalyze klicken.

    Solltest Du die Datei/en auf Deinem Computer nicht finden, überprüfe, ob folgende Einstellungen richtig gesetzt sind.

    Beim Firefox mit installiertem NoScript bitte VirusTotal erlauben. Wenn VirusTotal die Datei empfangen hat, wird sie diese mit mehreren Anti-Virus-Scannern prüfen und die Ergebnisse anzeigen. Sollte VirusTotal melden, dass die Datei bereits überpüft wurde, lasse sie trotzdem über den Button "Reanalyse" erneut prüfen.

    Wenn das Ergebnis vorliegt, kopiere mir den Ergebnis-Link (aus der Adresszeile des Browsers) hier in den Thread.

    Auch wenn sich herausstellt, dass die Datei/en infiziert ist/sind, bitte nicht ohne Absprache löschen!

    Code:
    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MSScanAppDataDir\xscan32.dat
    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SSScanAppDataDir\xscan32.dat

  7. #7
    Stammgast
    Registriert seit
    12.07.2012
    Beiträge
    28
    Hallo Petra, hier sind die zwei links
    Code 1:
    https://www.virustotal.com/file/550b...is/1342383225/

    Code2:
    https://www.virustotal.com/file/f646...is/1342383462/

    Vielen Dank für deine Hilfe!

  8. #8
    Anti-Botnet-Team Avatar von Petra
    Registriert seit
    06.09.2011
    Ort
    Nähe Düsseldorf
    Beiträge
    16.323
    Die sind ok

    Ist von Incredimail noch etwas zu sehen?

    Macht der Computer noch irgendwelche Probleme?

  9. #9
    Stammgast
    Registriert seit
    12.07.2012
    Beiträge
    28
    Incredibar ist leider immernoch da :(

  10. #10
    Anti-Botnet-Team Avatar von Petra
    Registriert seit
    06.09.2011
    Ort
    Nähe Düsseldorf
    Beiträge
    16.323
    In welchem Browser?

    Systemscan mit OTL

    Erstelle bitte zur Kontrolle erneut OTL-Logfiles, stelle alle Kategorien auf "Benutze Safelist" um und hake oben "Scanne alle Benutzer" an, wie auf folgendem Screenshot zu sehen. User mit 64Bit-Systemen machen auch einen Haken bei "Include 64Bit-Scan". Dann kann ich schauen, ob es noch weitere Reste zu entfernen gibt.



    Füge die beiden Logfiles OTL.txt und Extras.txt als Anhang ein, indem Du unterhalb des Textfeldes auf Erweitert klickst und die Logdateien einzeln über Anhänge verwalten hochlädst.

    Achte darauf, Nachnamen und/oder persönliche Daten ggfs. zu anonymisieren.

Ähnliche Themen

  1. MyStart-IncrediBar
    Von Resingz im Forum Archiv
    Antworten: 2
    Letzter Beitrag: 24.10.2012, 16:19
  2. mystart.incredibar
    Von flockensteiner-212 im Forum Archiv
    Antworten: 7
    Letzter Beitrag: 24.10.2012, 16:17
  3. Mystart.Incredibar
    Von kuhamo im Forum Gelöst / Rechner bereinigt
    Antworten: 9
    Letzter Beitrag: 16.08.2012, 21:04
  4. mystart.incredibar - Was tun?
    Von frank88 im Forum Gelöst / Rechner bereinigt
    Antworten: 15
    Letzter Beitrag: 19.07.2012, 14:36
  5. Mystart Incredibar eingefangen
    Von Kapri im Forum Gelöst / Rechner bereinigt
    Antworten: 11
    Letzter Beitrag: 05.07.2012, 21:45

Stichworte

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
G Data
forum.botfrei.de wird überprüft von der Initiative-S