Trojaner-Board - MyStart Incredibar bei neuen Tabs lässt sich nicht beseitigen

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - MyStart Incredibar bei neuen Tabs lässt sich nicht beseitigen (https://www.trojaner-board.de/122468-mystart-incredibar-neuen-tabs-laesst-beseitigen.html)

Deinstalliere Firefox 9 und installiere Firefox 15.

incredi noch da oder weg?

leider immernoch da :killpc:

Scan mit SystemLook

Hiermit prüfe ich, ob für diese Infektion übliche Einträge noch vorhanden sind. Das Tool ändert nichts, wirft mir nur die nötigen Infos aus.

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop (falls noch nicht vorhanden).

Download Mirror #1

User mit 64Bit-Windows-Versionen benutzen diese Version => http://jpshortstuff.247fixes.com/SystemLook_x64.exe

Doppelklick auf die SystemLook.exe, um das Tool zu starten.
Vista- und Windows 7-User unbedingt mit Rechtsklick und als Administrator starten.
Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:

Code:

:regfind incredi perion :folderfind assist perion :filefind prefs.js perion
Klicke nun auf den Button Look, um den Scan zu starten.
Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

Code:

SystemLook 30.07.11 by jpshortstuff

Log created at 17:50 on 20/09/2012 by Maas

Administrator - Elevation successful
 

========== regfind ==========
 

Searching for "incredi"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\incredibar_installer_RASAPI32]

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\incredibar_installer_RASMANCS]
 

Searching for "perion"

No data found.
 

========== folderfind ==========
 

Searching for "assist"

No folders found.
 

Searching for "perion"

No folders found.
 

========== filefind ==========
 

Searching for "prefs.js"

C:\Users\Maas\AppData\Roaming\Mozilla\Firefox\Profiles\uamslmvl.default\prefs.js        --a---- 4647 bytes        [14:03 20/09/2012]        [14:03 20/09/2012] C5258D76FEFACF19D7BAF9806944FD86

C:\Users\Maas\AppData\Roaming\Mozilla\Firefox\Profiles\uamslmvl.default\extensions\ich@maltegoetz.de\defaults\preferences\prefs.js        --a---- 420 bytes        [14:27 16/09/2012]        [17:34 26/08/2012] 6A255A300814A5E98F59C3657C2081E8

C:\Users\Maas\AppData\Roaming\Thunderbird\Profiles\poqgwthf.default\prefs.js        --a---- 13953 bytes        [17:42 22/02/2012]        [17:42 22/02/2012] EA90529F81E588EB8C66DAD89FAB5401

C:\_OTL\MovedFiles\09132012_153559\C_Users\Maas\AppData\Roaming\Mozilla\Firefox\Profiles\uamslmvl.default\prefs.js        --a---- 7812 bytes        [13:35 13/09/2012]        [13:35 13/09/2012] E7F614A2E560E058EEAAADFE62854828
 

Searching for "perion"

No files found.
 

Searching for "         "

No files found.
 

-= EOF =-

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
Starte die OTL.exe.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:
Der Fix fängt mit :OTL an. Vergewissere dich, dass du ihn richtig kopiert hast.

Code:

:OTL

:reg

[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\incredibar_installer_RASAPI32]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\incredibar_installer_RASMANCS]
 

:files

C:\Users\Maas\AppData\Roaming\Mozilla\Firefox\Profiles\uamslmvl.default\prefs.js

C:\Users\Maas\AppData\Roaming\Mozilla\Firefox\Profiles\uamslmvl.default\extensions\ich@maltegoetz.de\defaults\preferences\prefs.js

C:\Users\Maas\AppData\Roaming\Thunderbird\Profiles\poqgwthf.default\prefs.js

:Commands

[emptytemp]

Schließe alle Programme.
Klicke auf den Fix Button.
Wenn OTL einen Neustart verlangt, bitte zulassen.
Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Code:

All processes killed

========== OTL ==========

========== REGISTRY ==========

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\incredibar_installer_RASAPI32\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\incredibar_installer_RASMANCS\ deleted successfully.

========== FILES ==========

C:\Users\Maas\AppData\Roaming\Mozilla\Firefox\Profiles\uamslmvl.default\prefs.js moved successfully.

C:\Users\Maas\AppData\Roaming\Mozilla\Firefox\Profiles\uamslmvl.default\extensions\ich@maltegoetz.de\defaults\preferences\prefs.js moved successfully.

C:\Users\Maas\AppData\Roaming\Thunderbird\Profiles\poqgwthf.default\prefs.js moved successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: Maas

->Temp folder emptied: 6298058 bytes

->Temporary Internet Files folder emptied: 95382899 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 621374258 bytes

->Flash cache emptied: 9095 bytes

 

User: Public

->Temp folder emptied: 0 bytes

 

User: UpdatusUser

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32 (64bit) .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 5472 bytes

%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50434 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 690,00 mb

 

 

OTL by OldTimer - Version 3.2.61.0 log created on 09252012_135507
 

Files\Folders moved on Reboot...

C:\Users\Maas\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

File\Folder C:\Users\Maas\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRS{A1AB7097-A03D-4746-8E24-E701CF3C2727}.tmp not found!

File\Folder C:\Users\Maas\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRS{A439BDFD-28A1-444E-8D0B-B4A35BD457FB}.tmp not found!
 

PendingFileRenameOperations files...
 

Registry entries deleted on Reboot...

Downloade Dir bitte AdwCleaner auf deinen Desktop.
NEU RUNTERLADEN

Schließe alle offenen Programme und Browser.
Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Delete.
Bestätige jeweils mit Ok.
Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Code:

# AdwCleaner v2.003 - Datei am 09/27/2012 um 16:03:52 erstellt

# Aktualisiert am 23/09/2012 von Xplode

# Betriebssystem : Windows 7 Ultimate Service Pack 1 (64 bits)

# Benutzer : Maas - MAAS-PC

# Bootmodus : Normal

# Ausgeführt unter : C:\Users\Maas\Desktop\adwcleaner.exe

# Option [Löschen]
 
 

**** [Dienste] ****
 
 

***** [Dateien / Ordner] *****
 
 

***** [Registrierungsdatenbank] *****
 
 

***** [Internet Browser] *****
 

-\\ Internet Explorer v9.0.8112.16421
 

[OK] Die Registrierungsdatenbank ist sauber.
 

-\\ Mozilla Firefox v15.0.1 (de)
 

Profilname : default 

Datei : C:\Users\Maas\AppData\Roaming\Mozilla\Firefox\Profiles\uamslmvl.default\prefs.js
 

[OK] Die Datei ist sauber.
 

*************************
 

AdwCleaner[R1].txt - [3364 octets] - [20/08/2012 16:16:58]

AdwCleaner[R2].txt - [3424 octets] - [20/08/2012 16:18:12]

AdwCleaner[S1].txt - [283 octets] - [20/08/2012 16:18:18]

AdwCleaner[S2].txt - [3551 octets] - [20/08/2012 19:36:22]

AdwCleaner[R3].txt - [1271 octets] - [30/08/2012 12:48:16]

AdwCleaner[S3].txt - [1230 octets] - [31/08/2012 17:09:08]

AdwCleaner[R4].txt - [1309 octets] - [01/09/2012 19:08:45]

AdwCleaner[S4].txt - [1871 octets] - [03/09/2012 11:08:56]

AdwCleaner[R5].txt - [1429 octets] - [08/09/2012 17:17:38]

AdwCleaner[S5].txt - [2177 octets] - [10/09/2012 16:56:08]

AdwCleaner[S6].txt - [1660 octets] - [15/09/2012 13:10:33]

AdwCleaner[S7].txt - [1399 octets] - [27/09/2012 16:03:52]
 

########## EOF - C:\AdwCleaner[S7].txt - [1459 octets] ##########

Incredi scheint auch nichtmehr da zu sein, zumindest nicht wenn ich einen neuen Tab öffne.

Sehr gut! :daumenhoc

Deinstalliere:
Emsisoft Anti-Malware

ESET Online Scanner

Vorbereitung

Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.

Los geht's

Lade und starte Eset Smartinstaller
Haken setzen bei YES, I accept the Terms of Use.
Klick auf Start.
Haken setzen bei Remove found threads und Scan archives.
Klick auf Start.
Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Finish drücken.
Browser schließen.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
Logfile hier posten.
Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset