Hallo,
ich habe mir heute den pdfcreator von chip.de runtergeladen.
Installation lief ohne probleme. Er fragte mich ob ich eine Tollbar für meinen Browser installieren wolle, ich tat ich nicht.
Nach der installation hatte ich dann in meinem Firefox eine Toolbar, welche ich unter Addons dann wieder deinstallierte.
Meine Startseite wurde geändert in mystart.incredibar.com/mb139?a=6OyGH1taMZ&loc=FF_NT
dies änderte ich auch,
aber jedesmal wenn ich jetzt einen neuen Tab öffnen will, öffnet sich automatisch die seite von mystart.incredibar.
Von Malwarebytes habe ich folgene 2 Logs:
1. Scan von 2011 Code:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Datenbank Version: 6300
Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514
07.04.2011 18:04:10
mbam-log-2011-04-07 (18-04-10).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|)
Durchsuchte Objekte: 444748
Laufzeit: 48 Minute(n), 31 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
2. Scan von heute Code:
Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org
Datenbank Version: v2012.07.02.01
Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Tara :: TARA-PC [Administrator]
02.07.2012 08:51:23
mbam-log-2012-07-02 (08-51-23).txt
Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 528296
Laufzeit: 1 Stunde(n), 48 Minute(n), 4 Sekunde(n)
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)
(Ende)
Scan von ESET Code:
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=396172ea732b8049b92f1e094179ac6e
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-07-02 03:15:56
# local_time=2012-07-02 05:15:56 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1792 16777215 100 0 12168740 12168740 0 0
# compatibility_mode=2560 16777215 100 0 0 0 0 0
# compatibility_mode=5893 16776573 100 94 17527 92859102 0 0
# compatibility_mode=8192 67108863 100 0 144 144 0 0
# scanned=312197
# found=7
# cleaned=0
# scan_time=12904
C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings.exe a variant of Win32/Toolbar.Widgi application (unable to clean) 00000000000000000000000000000000 I
C:\Users\Tara\AppData\Local\Temp\GLF2BAF\files.exe probably a variant of Win32/Adware.Bandoo.AA application (unable to clean) 00000000000000000000000000000000 I
C:\Users\Tara\AppData\Local\Temp\GLF2BAF\Bin\InstallerHelper.dll probably a variant of Win32/Adware.Bandoo.AA application (unable to clean) 00000000000000000000000000000000 I
C:\Windows\Installer\2cb2171.msi a variant of Win32/Toolbar.Widgi application (unable to clean) 00000000000000000000000000000000 I
C:\Windows\Temp\pdfforgeToolbar.exe Win32/Toolbar.Widgi application (unable to clean) 00000000000000000000000000000000 I
E:\Dux Akte\Linda's Ordner\Dokumente\SoftonicDownloader35546.exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I
E:\Incomming\hijackthis\backups\backup-20110407-165342-874.dll a variant of Win32/Toolbar.Widgi application (unable to clean) 00000000000000000000000000000000 I
Warum da jetzt ein backup von hijackthis gemeldet wird weiß ich nicht.
Ebenso weiß ich nicht wie die exe da hingekommen ist: E:\Dux Akte\Linda's Ordner\Dokumente\SoftonicDownloader35546.exe habe gelesen, das vor software von Softonic gewarnt wird, habe keine installiert, wie die exe da hin kommt weiß ich trotzdem nicht.
Ich hoffe ihr könnt mir helfen, habe schon Mystart als suchmaschine gelöscht, kommt nach jedem neustart wieder.
Bei Firefox unter Addons unter Erweiterungen wird web Assistant 2.0.0.445 angezeigt, ist ebenfalls von incredibar, lässt sich deaktivieren, aber nicht löschen. Problem besteht aber weiterhin.
Jemand ne idee, wie ich das zeug ohne formatieren wieder hinbekomme?
Backup hab ich leider nicht.
