spyhunter, widgi toolbar, spigot....was tue ich am Besten?
 

Aloha und ein gutes neues Jahr an alle!

Mir war heut langweilig und nachdem ich ein paar nicht mehr benötigte Programme deinstalliert hatte, meine iTunes Mediathek umgezogen hatte, bin ich mit stolzgeschwellter Brust daran gegangen, den Rechner weiter aufzuräumen.
Ich fand unter den Autostartprogrammen die WidgiToolbar, die wohl eine etwas harmlose Form einer Spyware darstellt (ß)

Nichtdestotrotz ....googleln und siehe da - es gibt es Programm, das das Ding beseitigt - spyhunter.

Bis dahin kann ich meine Aktionen noch auf gestern/heute Nacht schieben, jetzt wirds nur noch blöd.

In einem Zwischendind zwischen Panik und Blödheit flugs den Spiojäger heruntergeladen, installiert und siehe da - 431 Funde - Heureka.

Weg mit dem Zeug - da sei allerdings der schnöde Mammon vor- erst wenn ich ca 30 € löhnte, könnte ich die Schadsoftware entfernen.

Erneut SPYWARE googeln - uupps - das ist ja u.U. gar nicht so witzig.

Also als Erstes Spybot S&D aktualisiert, drüber laufen lassen, ein harmloser Fund (nein - leider kein LOG).

Nun habe ich mich mit Malwarebytes, OTL ausgerüstet, will aber nicht wie ein Verrückter posten (vor allem nicht mit meinem Rechnernamen, kann man das bei OTL ändern?).

Konkret: Ich sehe nach einem Neustart des WIn 7 Rechners (Avira AntiVir Personal) keinerlei Verlangsamung usw.

Aber: Als ich Spyware deinstallieren wollte, wurde ich "gehindert". Ein Programm vom Hersteller der Software- Enigma- meinte ständig - ich solle doch kaufen,dann gings auch mit der Deinstallatinon.
Eine "sichtbare" exe ist in den Programmdateien nimmer, aber der Rest ist nicht deinstalliert.

Ich finde aber in den Programmordnern, in der Systemsteuerung installierter Software etc. "Spuren von spyhunter, SPIGOT (habe einst pdfForge installiert, dann aber wieder deinstalliert, nutze jetzt anderen pdfcreator) und dieser ominösen WidgiToolbar.

Ich nutze meinen/unserern Rechner um zwei ipods zu befüllen, zu surfen, online zu shoppen, auch online zu banken etc.

Wie soll ich konkret vorgehen.

Sorry für die etwas vage Beschreibung, stehe aber Gewehr bei Fuß, wenn ich Euch beim Helfen helfen kann.

Meine Kenntnisse beschränken sich eher auf die eines erfahrenenen Handlangers.

Danke

RS

....pardon habe nun doch - nach eingehenderem Studium der "Was ist als Erstes zu tum-Regeln" ein Paar Dinge gepostet:

AV-Scan-Report

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 1. Januar 2012 18:15

Es wird nach 3000859 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 x64
Windowsversion : (plain) [6.1.7600]
Boot Modus : Normal gebootet
Benutzername : RSST
Computername : RSST-PC

Versionsinformationen:
BUILD.DAT : 10.2.0.704 35934 Bytes 28.09.2011 13:14:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 02.07.2011 18:20:29
AVSCAN.DLL : 10.0.5.0 57192 Bytes 02.07.2011 18:20:29
LUKE.DLL : 10.3.0.5 45416 Bytes 02.07.2011 18:20:30
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 02.07.2011 18:20:30
AVREG.DLL : 10.3.0.9 88833 Bytes 15.07.2011 18:36:55
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 07:05:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 11:03:16
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 10:58:23
VBASE003.VDF : 7.11.19.171 2048 Bytes 20.12.2011 10:58:48
VBASE004.VDF : 7.11.19.172 2048 Bytes 20.12.2011 10:58:50
VBASE005.VDF : 7.11.19.173 2048 Bytes 20.12.2011 10:58:58
VBASE006.VDF : 7.11.19.174 2048 Bytes 20.12.2011 10:58:59
VBASE007.VDF : 7.11.19.175 2048 Bytes 20.12.2011 10:59:00
VBASE008.VDF : 7.11.19.176 2048 Bytes 20.12.2011 10:59:02
VBASE009.VDF : 7.11.19.177 2048 Bytes 20.12.2011 10:59:02
VBASE010.VDF : 7.11.19.178 2048 Bytes 20.12.2011 10:59:03
VBASE011.VDF : 7.11.19.179 2048 Bytes 20.12.2011 10:59:04
VBASE012.VDF : 7.11.19.180 2048 Bytes 20.12.2011 10:59:05
VBASE013.VDF : 7.11.19.217 182784 Bytes 22.12.2011 10:59:08
VBASE014.VDF : 7.11.19.255 148480 Bytes 24.12.2011 15:59:12
VBASE015.VDF : 7.11.20.29 164352 Bytes 27.12.2011 15:59:15
VBASE016.VDF : 7.11.20.70 180224 Bytes 29.12.2011 12:22:27
VBASE017.VDF : 7.11.20.71 2048 Bytes 29.12.2011 12:22:27
VBASE018.VDF : 7.11.20.72 2048 Bytes 29.12.2011 12:22:28
VBASE019.VDF : 7.11.20.73 2048 Bytes 29.12.2011 12:22:28
VBASE020.VDF : 7.11.20.74 2048 Bytes 29.12.2011 12:22:30
VBASE021.VDF : 7.11.20.75 2048 Bytes 29.12.2011 12:22:32
VBASE022.VDF : 7.11.20.76 2048 Bytes 29.12.2011 12:22:32
VBASE023.VDF : 7.11.20.77 2048 Bytes 29.12.2011 12:22:32
VBASE024.VDF : 7.11.20.78 2048 Bytes 29.12.2011 12:22:33
VBASE025.VDF : 7.11.20.79 2048 Bytes 29.12.2011 12:22:33
VBASE026.VDF : 7.11.20.80 2048 Bytes 29.12.2011 12:22:33
VBASE027.VDF : 7.11.20.81 2048 Bytes 29.12.2011 12:22:33
VBASE028.VDF : 7.11.20.82 2048 Bytes 29.12.2011 12:22:34
VBASE029.VDF : 7.11.20.83 2048 Bytes 29.12.2011 12:22:34
VBASE030.VDF : 7.11.20.84 2048 Bytes 29.12.2011 12:22:34
VBASE031.VDF : 7.11.20.97 132608 Bytes 30.12.2011 12:27:18
Engineversion : 8.2.8.18
AEVDF.DLL : 8.1.2.2 106868 Bytes 29.10.2011 07:46:24
AESCRIPT.DLL : 8.1.3.95 479612 Bytes 29.12.2011 12:22:45
AESCN.DLL : 8.1.7.2 127349 Bytes 24.11.2010 19:17:42
AESBX.DLL : 8.2.4.5 434549 Bytes 02.12.2011 17:13:35
AERDL.DLL : 8.1.9.15 639348 Bytes 10.09.2011 18:44:10
AEPACK.DLL : 8.2.15.1 770423 Bytes 17.12.2011 03:16:08
AEOFFICE.DLL : 8.1.2.25 201084 Bytes 31.12.2011 12:27:31
AEHEUR.DLL : 8.1.3.14 4260216 Bytes 31.12.2011 12:27:30
AEHELP.DLL : 8.1.18.0 254327 Bytes 29.10.2011 07:46:11
AEGEN.DLL : 8.1.5.17 405877 Bytes 08.12.2011 19:20:51
AEEMU.DLL : 8.1.3.0 393589 Bytes 24.11.2010 19:17:34
AECORE.DLL : 8.1.24.3 201079 Bytes 29.12.2011 12:22:35
AEBB.DLL : 8.1.1.0 53618 Bytes 24.04.2010 09:09:53
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10
AVPREF.DLL : 10.0.3.2 44904 Bytes 02.07.2011 18:20:29
AVREP.DLL : 10.0.0.10 174120 Bytes 27.05.2011 02:30:45
AVARKT.DLL : 10.0.26.1 255336 Bytes 02.07.2011 18:20:29
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 02.07.2011 18:20:29
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55
RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 02.07.2011 18:20:29
RCTEXT.DLL : 10.0.64.0 98664 Bytes 02.07.2011 18:20:29

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Suche nach Rootkits und aktiver Malware
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\PROFILES\rootkit.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Optimierter Suchlauf..................: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: aus
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, +ISO 9660,
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Abweichende Gefahrenkategorien........: +PCK,+PFS,+SPR,

Beginn des Suchlaufs: Sonntag, 1. Januar 2012 18:15

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows CE Services\symboliclinkvalue
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '102' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '132' Modul(e) wurden durchsucht
Durchsuche Prozess 'ArcCon.ac' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACDaemon.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuschd2.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAAnotif.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'SDWinSec.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAANTMon.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'TestHandler.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'SeaPort.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACService.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'aavus.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '49' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '155' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:' <System>


Ende des Suchlaufs: Sonntag, 1. Januar 2012 19:17
Benötigte Zeit: 1:01:52 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

34444 Verzeichnisse wurden überprüft
765947 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
765947 Dateien ohne Befall
17572 Archive wurden durchsucht
0 Warnungen
1 Hinweise
463011 Objekte wurden beim Rootkitscan durchsucht
1 Versteckte Objekte wurden gefunden


_________________________________________________________________

OTL-scanOTL Logfile:
--- --- ---



Ich weiß ja nicht, obs eine Rolle spielt, aber die Gruppe
[2011/12/29 15:26:42 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Application Updater
[2011/12/29 15:26:41 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\Spigot
[2011/12/29 15:26:41 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\pdfforge Toolbar

könnte am 29.12. während einer Session, in der ich versuchte den geschlossenen AVIRA Schirmwieder mal wieder zu öffnen (ging schliesslich über Windowsaktualisierungen) eingefangen worden sein.


Wenn Ihr noch was braucht....

Schöne Grüße

RS

Wo sind die Logs von Malwarebytes? Bitte immer alle posten, egal ob Fund oder kein Fund.

Hi cosinus,

danke für die response.

Hier die letzten drei (Mehr habe ich eh nicht ) Logs.



Malwarebytes Anti-Malware 1.60.0.1800
www.malwarebytes.org

Datenbank Version: v2012.01.01.02

Windows 7 x64 NTFS
Internet Explorer 8.0.7600.16385
MEIN PC :: MEIN PC-PC [Administrator]

01.01.2012 17:07:04
mbam-log-2012-01-01 (17-07-04).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 383220
Laufzeit: 55 Minute(n), 24 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)


________________________________________________________

Malwarebytes Anti-Malware 1.60.0.1800
www.malwarebytes.org

Datenbank Version: v2012.01.01.03

Windows 7 x64 NTFS
Internet Explorer 8.0.7600.16385
RSST :: RSST-PC [Administrator]

01.01.2012 23:17:26
mbam-log-2012-01-01 (23-17-26).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 207831
Laufzeit: 2 Minute(n), 18 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

___________________________________________________________
aktuell:
________________
Malwarebytes Anti-Malware 1.60.0.1800
www.malwarebytes.org

Datenbank Version: v2012.01.01.03

Windows 7 x64 NTFS
Internet Explorer 8.0.7600.16385
RSST :: RSST-PC [Administrator]

02.01.2012 10:22:41
mbam-log-2012-01-02 (10-22-41).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 383355
Laufzeit: 55 Minute(n), 41 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)


edit: habe grade gesehen, daß beim letzten log die Systemzeit nicht stimmte (defekte CMOS-Batterie?)
Scan war gg 18:00 Uhr

Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

hi cosinus,

wow das dauert ja ein weilchen (danke in diesem Zusammenhang für Deine Geduld),

der die das log (ausgeführt allerdings im Normalmodus - wie alle Scans - nur um es erwähnt zu haben) - virenscnanner aus, WLAN aus

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=7478ad8bd76f19439707308f0d9e62f3
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-01-02 07:44:34
# local_time=2012-01-02 08:44:34 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7600 NT
# compatibility_mode=1797 16775165 100 94 122305 62073234 194656 0
# compatibility_mode=5893 16776573 100 94 40299 77162628 0 0
# compatibility_mode=8192 67108863 100 0 3870 3870 0 0
# scanned=298
# found=0
# cleaned=0
# scan_time=697
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=53251
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=7478ad8bd76f19439707308f0d9e62f3
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-01-02 09:55:47
# local_time=2012-01-02 10:55:47 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7600 NT
# compatibility_mode=1797 16775165 100 94 125086 62076015 197437 0
# compatibility_mode=5893 16776573 100 94 43080 77165409 0 0
# compatibility_mode=8192 67108863 100 0 6651 6651 0 0
# scanned=185671
# found=11
# cleaned=0
# scan_time=5787
C:\Program Files (x86)\Application Updater\ApplicationUpdater.exe probably a variant of Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I
C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings.exe a variant of Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I
C:\Program Files (x86)\Common Files\Spigot\wtxpcom\components\WidgiToolbarFF.dll a variant of Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I
C:\Program Files (x86)\Common Files\Spigot\wtxpcom\components\WidgiToolbarFF.dll.10 a variant of Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I
C:\Program Files (x86)\Common Files\Spigot\wtxpcom\components\WidgiToolbarFF.dll.5 a variant of Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I
C:\Program Files (x86)\Common Files\Spigot\wtxpcom\components\WidgiToolbarFF.dll.6 a variant of Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I
C:\Program Files (x86)\Common Files\Spigot\wtxpcom\components\WidgiToolbarFF.dll.7 a variant of Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I
C:\Program Files (x86)\Common Files\Spigot\wtxpcom\components\WidgiToolbarFF.dll.8 a variant of Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I
C:\Program Files (x86)\Common Files\Spigot\wtxpcom\components\WidgiToolbarFF.dll.9 a variant of Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I
C:\Windows\Installer\68bd2.msi a variant of Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I
${Memory} a variant of Win32/Adware.Toolbar.Dealio application 00000000000000000000000000000000 I


Gute Nacht
Muss morgen wieder schaffen - kann mich also erst am abend wieder an die Kiste setzen.

Grüsse
RS

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Normaler Lauf im Anhang

....ansonsten customized run

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hi cosinus,


Danke derweil Rs

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

....wenn du jetzt so ausserordentlich darauf hinweist, daß folgende Aktion im normalen Modus auszuführen ist...
Bisher habe ich alle aktionen im normalen Mode ausgeführt...Problem?
RS

Nein ich poste hier Bausteine damit ich nicht ständig mir die Finger wund tippe. Deswegen war es auch nur dezent und in Klammern als Hinweis ;)

O.K.

Danke derweil

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Toi,toi,toi

RS

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hallo cosinus,

Neustart erfolgte ohne mich zu fragen (glaub ich - habe meine Station sträflicherweise kurz verlassen - kam zurück - WIN Anmeldeschirm)

Log

[code]
Combofix Logfile:
--- --- ---


Muß jetzt wieder in die Heia, bedanke mich aber für die gestrige und heutige Hilfe und hoffe, den Sch... bald vom Hacken zu kriegen.

Bis morgen

RS

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe Vista und Win7 User aswMBR per Rechtsklick "als Administrator ausführen"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Hi cosinus,
auf ein Neues. Danke für Deine Geduld
Mir fällt noch was ein.
Der unsäglich Windows Defender Schutz.
Soll ich an dessen Einstellungen eigtl. während der Scans etwas ändern?
Und beim demAVAST-Scan AntiVir Guard deaktivieren?

Gruß
RS

....habs jetzt mal ohne Änderungen gemacht.
AVGuard an - WinFirewall an, Defender keine Änderung
Wenn falsch Scan ich nochmal

Ich konnte in einer DropdownBox zwischen Varianten auswählen auch hier habe ich alles gelassen und einen "QuickScan" durchgeführt

Log

GrußRS

Bisher hat der Defender noch nicht großartig gestört, aber den Nutzen des Defenders schätze ich mal als geringfügig ein...
Und ja AntiVir mal deaktivieren weil du sonst mit hystirischen Fehlalarmmeldungen beglückt wirst, denn andere Virenscanner "sehen" gerne angebliche Schädlinge in den Definitionsdateien (Signaturen) andere Virenscanner (aswMBR ist ebenfalls ein "kleiner" Virenscanner)

OK dann nochmal mit ohne AVGuard, der aber eh nicht motzte ;-)

Gruß
RS

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Wow,
ich lerne grad die Tugend der Geduld...
MALWAREBYTESLOG

SUPERANTISPYWARELOG
Dat Dingens fand 850 Infekte,v.a. in Cookies, ich hab nix gelöscht, sondern nur aufgezeichnet -ein Screenshot von einpaar Einstellungen dabei - ich hab mich an eure Anleitung gehalten

ESET reiche ich morgen nach - schaff ich bei 1,5 Std Scandauer nimmer

Danke derweil

RS

...ok warschneller fertig,

Gruß
RS

Adware-Reste sind da noch. Entfernen wir die mit OTL. Die Cookies kannst du mit SASW entfernen.

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":Files" muss mitkopiert werden!!!)


Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hi Cosinus,

bin in der Arbeit, lese grad Deinen Beitrag - Cookies entfernen...
dafür neuen SASW-SCAN, dann Quarantäne und entfernen oder Probleme beheben? oder.....
OTL-Fix mach ich heut abend.
Dank einstweilen.

RS

Hello again,

hier das LOG des OTL FIX
SASW Scan mach ich jetzt - wenn Cookies gefunden werden, verschieb ich in Quarantäneordner (hab ich gestern leider nicht gemacht), dann REMOVE (oder wie das in der aktuellen deutschen Version heisst)
LOG poste ich.

Soll ich dann auch
??

Gruß
RS

.....hier noch das log von dem SCAN mit SASW

die Möglichkeiten zum Benutzerdefinierten Neustarten Neustart waren nicht - Der Rechner startete "normal" neu (Zitat: ..Sonst könnten Teste der gerade gelöschten Daten auf dem Rechner verbleiben..")

849 Cookies gefunden

Teils gleich removed
Teil noch in der QUARANTINED Section- Soll ich die auch löschen

Gruß

RS

Die Q ist eine Q und harmlos weil Schädlinge darin isoliert sind.
Rechner wieder soweit im Lot?

..na ja
pdfforge ist noch in den installierten Programmen, soll ich das noch zu entfernen versuchen?


Und viel wichtiger: Was tue ich fürderhin gg Spyware?
Also gegen Cookies, die mich auf Schritt und Tritt verfolgen im günstigen Fall oder Malware im ungünstigen?
Soll ich Passwörter für Banking ändern?

Evtl. Zwei RechnerTaktik - Einer für Netz - einer zum arbeiten?

Java aktualisieren?
Eher ein Haufen Fragen als akute Probleme ala der Rechner macht dies und das nicht,wenn.....

Im Ernst: Ich Danke Dir sehr für Deinen unermüdlichen Einsatz. Augenblinzelnd sage ich, ich werde das Forum an alle Rechnerspezialisten wie mich, die denken die Kiste im Griff zu haben weiterempfehlen.

Auf alle Fälle wieder was gelernt.

Schöne Grüße

RS

Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt.
Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:

Adobe - Andere Version des Adobe Flash Player installieren

Notfalls kann man auch von Chip.de runterladen => http://filepony.de/?q=Flash+Player

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Hallo nochmal,

also Flashplayer aufgepimpt,
pdfReader ausgetauscht
Combofix deinstalliert

Windows SP 1 (daran hat sich der Rechner an Neujahr aufgehängt) fertig installiert

Thema java: Das in der Systemsteuerung 6.x befindliche Java habe ich deinstalliert;
Mit der Javara-App (..Programm,Anwendung) wird die Runtime environment Nr 7 erzeugt (siehe shot von der Systemsteuerung) - wobei ich die Geschichte mit dem Heise Download und den beiden Zipdateien nicht recht kapiere - ich brauch doch bloss die mit der *.exe, die überprüft, was hab ich, was brauch ich, oder?


Will ich Firefox benutzen muss ich ein JavaPlugin installieren (ich hab jetzt - glaub ich ich 6,21)
Beide finde ich in der Sytemsteuerung
Java motzt trotzdem bei Aktualitätstest -whattodo?
Und: Pdfforge von Spigot finde ich auch noch in den installierten Programmen. Wenn du sagst "Lass die Finger davon " ist es tabu....
_____
edit
der Ordnung halber Otl vOLLsCAN log
als ANhang
_______________________
Sorry für die erneute Penetration

RS

Warum Java motzt kann ich nur vermuten, dass es ein Update 30 sehen will, dieses Update 30 ist aber für Java6 und du hast Java7. Hast du Java7 Update 2?

Und die pdfforge/spigot Geschichte haben wir mit OTL gefixt. Naja, ist etwas unsauber da es in der Liste der installierten Programme steht. Versuch mal zu deinstallieren.

Hallo Cosinus,

ja ich habe in der Tat Version 7.020 (siehe auch beigefügte Datei; Shots aus SysSteuerung PROGRAMME und JAVA; in JAVA ist nirgendwo was von Version 6.x zusehen)
Soll ich die 6er löschen?

Pdf Forge habe ich deinstalliert, ist nicht mehr zu sehen, es öffnete sich ein Browserfenster "you have succesfully...." - ist aus der Programme - Sytemsteuerungsübersicht verschwunden.

Gruß

RS

Ja die 6er kann dann eigentlich weg...
Nun sollte dein Rechner aber geheilt sein ;)

Hi cosinus,

sorry für die längere Sendepause.
Die 6er habe ich deinstalliert.

Mir fehlt allerings bei den AddOns/Plugins im Firefox ein Eintrag mit einer 7er Java Konsole, kann ich auch nicht durch Suche auf der Mozillasite finden.
Macht das was, daß in dem von mir favorisierten Browser kein Eintrag für eine wie auch immer geartete 7er Konsole auftaucht und die für die 6er auf deaktiviert stehen? (screenshot dabei).

Hoffe, daß Du Recht ("nun sollte dein Rechner gesund sein...") hast.
Nochmals vielen Dank.

Gruß
RS