Trojaner-Board
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   MyStart by IncrediBar eingefangen wie ohne Systemwiederherstellung wegbekommen (https://www.trojaner-board.de/123060-mystart-by-incredibar-eingefangen-ohne-systemwiederherstellung-wegbekommen.html)

t'john 10.09.2012 02:30
  • Schließe alle offenen Programme und Browser.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Delete.
  • Bestätige jeweils mit Ok.
  • Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Pascal05551 10.09.2012 11:45
Hier ist das Log File

PHP-Code:
# AdwCleaner v2.000 - Datei am 09/10/2012 um 12:41:34 erstellt
# Aktualisiert am 30/08/2012 von Xplode
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits)
# Benutzer : Pascal Pietrek - PASCAL-HP
# Normaler Modus : Normal
# Ausgeführt unter : C:\Users\Pascal Pietrek\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien Ordner] *****


***** [Registrierungsdatenbank] *****


***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16421

Wiederhergestellt : [HKCU\Software\Microsoft\Internet Explorer\SearchScopes DefaultScope]
Wiederhergestellt : [HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes DefaultScope]
Wiederhergestellt : [HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes DefaultScope]
Wiederhergestellt : [HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DefaultScope]
Wiederhergestellt : [HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DefaultScope]
Wiederhergestellt : [HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes DefaultScope]

-\\ Mozilla Firefox v15.0 (de)

Profilname : default 
Datei C:\Users\Pascal Pietrek\AppData\Roaming\Mozilla\Firefox\Profiles\rno08pfr.default\prefs.js

Gelöscht user_pref("extensions.foxlingo.addit.defaultAddons""{ \"software\": {\"13\": {\"id\": \"13\",\"tit[...]

-\\ Google Chrome v21.0.1180.89

Datei : C:\Users\Pascal Pietrek\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Die Datei ist sauber.

*************************

AdwCleaner[R1].txt - [16378 octets] - [31/08/2012 17:37:31]
AdwCleaner[R2].txt - [16439 octets] - [01/09/2012 12:38:04]
AdwCleaner[S1].txt - [17100 octets] - [01/09/2012 12:38:15]
AdwCleaner[R3].txt - [1444 octets] - [07/09/2012 17:10:16]
AdwCleaner[S2].txt - [1822 octets] - [10/09/2012 12:41:34]

########## EOF - C:\AdwCleaner[S2].txt - [1882 octets] ########## 

t'john 11.09.2012 00:04
Sehr gut! :daumenhoc

Wie laeuft der Rechner?

Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

Pascal05551 11.09.2012 16:55
Mein PC läuft wie immer jedoch ist dieses MyStart immer noch da

PHP-Code:
Emsisoft Anti-Malware Version 6.6
Letztes Update9/11/2012 1:34:20 PM

Scan Einstellungen:

Scan MethodeDetail Scan
ObjekteRootkitsSpeicherTracesC:\, D:\
Archiv ScanAn
ADS ScanAn

Scan Beginn:    9/11/2012 2:02:31 PM


Gescannt    899438
Gefunden    0

Scan Ende:    9/11/2012 5:30:02 PM
Scan Zeit:    3:27:31 

t'john 12.09.2012 08:26
In welchem Browser?


In OTL als Fix:

Code:
:files
C:\Users\Pascal Pietrek\AppData\Roaming\Mozilla\Firefox\Profiles\rno08pfr.default\prefs.js

Pascal05551 12.09.2012 14:57
Bei Firefox kommt es jedem neuen start wieder und dann muss ich es über about:config es zürucksetzten

PHP-Code:
========== FILES ==========
C:\Users\Pascal Pietrek\AppData\Roaming\Mozilla\Firefox\Profiles\rno08pfr.default\prefs.js moved successfully.
 
OTL by OldTimer Version 3.2.61.3 log created on 09122012_155411 

t'john 15.09.2012 10:54
Scan mit SystemLook

Hiermit prüfe ich, ob für diese Infektion übliche Einträge noch vorhanden sind. Das Tool ändert nichts, wirft mir nur die nötigen Infos aus.

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop (falls noch nicht vorhanden).

Download Mirror #1

User mit 64Bit-Windows-Versionen benutzen diese Version => http://jpshortstuff.247fixes.com/SystemLook_x64.exe
  • Doppelklick auf die SystemLook.exe, um das Tool zu starten.
    Vista- und Windows 7-User unbedingt mit Rechtsklick und als Administrator starten.
  • Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:

    Code:
    :regfind
    incredi
    perion

    :folderfind
    assist
    perion

    :filefind
    prefs.js
    perion
  • Klicke nun auf den Button Look, um den Scan zu starten.
  • Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
  • Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

Pascal05551 16.09.2012 11:30
Hier ist das Log File

PHP-Code:
SystemLook 30.07.11 by jpshortstuff
Log created at 12:08 on 16/09/2012 by Pascal Pietrek
Administrator Elevation successful

========== regfind ==========

Searching for "incredi"
[HKEY_CURRENT_USER\Software\IncrediMail]
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\IncrediMail]
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\incredibar_installer_RASAPI32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\incredibar_installer_RASMANCS]
[HKEY_USERS\S-1-5-21-2216366739-1226435145-1474420919-1000\Software\IncrediMail]

Searching for "perion"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\jifflliplgeajjdhmkcfnngfpgbjonjg]
"path"="C:\Program Files (x86)\Perion\NewTab\newTab.crx"

========== folderfind ==========

Searching for "assist"
No folders found.

Searching for "perion"
C:\_OTL\MovedFiles\09052012_161116\C_Program Files (x86)\Perion    d------    [13:01 29/08/2012]

========== filefind ==========

Searching for "prefs.js"
C:\Users\Pascal Pietrek\AppData\Roaming\Mozilla\Firefox\Profiles\rno08pfr.default\prefs.js    --a---- 16242 bytes    [10:07 16/09/2012]    [10:07 16/09/2012F31DB3EC9B6A5D51BF9ADD9AE39EFD12
C:\Users\Pascal Pietrek\AppData\Roaming\Mozilla\Firefox\Profiles\rno08pfr.default\extensions\ich@maltegoetz.de\defaults\preferences\prefs.js    --a---- 464 bytes    [16:01 17/05/2012]    [13:01 29/08/2012494BC77B5628FA58441B70CCD7A2800A
C:\_OTL\MovedFiles\09122012_155411\C_Users\Pascal Pietrek\AppData\Roaming\Mozilla\Firefox\Profiles\rno08pfr.default\prefs.js    --a---- 17768 bytes    [13:53 12/09/2012]    [13:53 12/09/201262298B5FD0F9CBF510193FC0B31EAF35

Searching for "perion"
No files found.

Searching for "         "
No files found.

-= EOF =- 

t'john 18.09.2012 03:08
Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

  • Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
  • Starte die OTL.exe.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:
  • Der Fix fängt mit :OTL an. Vergewissere dich, dass du ihn richtig kopiert hast.


Code:
:OTL
:reg

[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\incredibar_installer_RASAPI32]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\incredibar_installer_RASMANCS]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\jifflliplgeajjdhmkcfnngfpgbjonjg]

:files
C:\Program Files (x86)\Perion\
C:\Users\Pascal Pietrek\AppData\Roaming\Mozilla\Firefox\Profiles\rno08pfr.default\prefs.js
C:\Users\Pascal  Pietrek\AppData\Roaming\Mozilla\Firefox\Profiles\rno08pfr.default\extensions\ich@maltegoetz.de\defaults\preferences\prefs.js 
ipconfig /flushdns /c
:Commands
[emptytemp]
  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Wenn OTL einen Neustart verlangt, bitte zulassen.
  • Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
    Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Pascal05551 18.09.2012 11:35
Hier ist das Log File jedoch ist MyStart immer noch da bei Firefox.

PHP-Code:
All processes killed
========== OTL ==========
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\incredibar_installer_RASAPI32deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\incredibar_installer_RASMANCSdeleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\jifflliplgeajjdhmkcfnngfpgbjonjgdeleted successfully.
========== FILES ==========
Folder C:\Program Files (x86)\Perion not found.
C:\Users\Pascal Pietrek\AppData\Roaming\Mozilla\Firefox\Profiles\rno08pfr.default\prefs.js moved successfully.
File\Folder C:\Users\Pascal   Pietrek\AppData\Roaming\Mozilla\Firefox\Profiles\rno08pfr.default\extensions\ich@maltegoetz.de\defaults\preferences\prefs.js not found.
[color=#A23BEC]< ipconfig /flushdns /c >[/color]
Windows-IP-Konfiguration
Der DNS-Aufl”sungscache wurde geleert.
C:\Users\Pascal Pietrek\Desktop\cmd.bat deleted successfully.
C:\Users\Pascal Pietrek\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
UserAdministrator
 
UserAll Users
 
User: Default
->Temp folder emptied0 bytes
->Temporary Internet Files folder emptied0 bytes
->Flash cache emptied0 bytes
 
User: Default User
->Temp folder emptied0 bytes
->Temporary Internet Files folder emptied0 bytes
->Flash cache emptied0 bytes
 
UserPascal Pietrek
->Temp folder emptied1039142 bytes
->Temporary Internet Files folder emptied17724029 bytes
->Java cache emptied283239 bytes
->FireFox cache emptied1132416862 bytes
->Google Chrome cache emptied336718791 bytes
->Flash cache emptied12622 bytes
 
User: Public
 
UserUpdatusUser
->Temp folder emptied0 bytes
->Temporary Internet Files folder emptied0 bytes
->Flash cache emptied0 bytes
 
%systemdrive% .tmp files removed0 bytes
%systemroot% .tmp files removed0 bytes
%systemroot%\System32 .tmp files removed0 bytes
%systemroot%\System32 (64bit) .tmp files removed0 bytes
%systemroot%\System32\drivers .tmp files removed0 bytes
Windows Temp folder emptied3767224 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied50434 bytes
%systemroot%\sysnative\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied0 bytes
RecycleBin emptied0 bytes
 
Total Files Cleaned 1,423.00 mb
 
 
OTL by OldTimer Version 3.2.63.0 log created on 09182012_122415

Files\Folders moved on Reboot...
C:\Users\Pascal Pietrek\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot... 

t'john 19.09.2012 17:31
Downloade Dir bitte AdwCleaner auf deinen Desktop.
Neu Laden!
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Search.
  • Nach Ende des Suchlaufs öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

Pascal05551 20.09.2012 15:05
Hier ist das Log File

PHP-Code:
# AdwCleaner v2.002 - Datei am 09/20/2012 um 16:04:49 erstellt
# Aktualisiert am 16/09/2012 von Xplode
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits)
# Benutzer : Pascal Pietrek - PASCAL-HP
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\Pascal Pietrek\Desktop\adwcleaner.exe
# Option [Suche]


**** [Dienste] ****


***** [Dateien Ordner] *****


***** [Registrierungsdatenbank] *****


***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v15.0 (de)

Profilname : default 
Datei C:\Users\Pascal Pietrek\AppData\Roaming\Mozilla\Firefox\Profiles\rno08pfr.default\prefs.js

Gefunden user_pref("extensions.foxlingo.addit.defaultAddons""{ \"software\": {\"13\": {\"id\": \"13\",\"tit[...]

-\\ Google Chrome v21.0.1180.89

Datei : C:\Users\Pascal Pietrek\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Die Datei ist sauber.

*************************

AdwCleaner[R1].txt - [16378 octets] - [31/08/2012 17:37:31]
AdwCleaner[R2].txt - [16439 octets] - [01/09/2012 12:38:04]
AdwCleaner[S1].txt - [17100 octets] - [01/09/2012 12:38:15]
AdwCleaner[R3].txt - [1444 octets] - [07/09/2012 17:10:16]
AdwCleaner[S2].txt - [1947 octets] - [10/09/2012 12:41:34]
AdwCleaner[R4].txt - [1323 octets] - [20/09/2012 16:04:49]

########## EOF - C:\AdwCleaner[R4].txt - [1383 octets] ########## 

t'john 21.09.2012 19:38
  • Schließe alle offenen Programme und Browser.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Delete.
  • Bestätige jeweils mit Ok.
  • Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Pascal05551 22.09.2012 08:56
Hier ist das Log jedoch macht er nach jeden start von firefox wieder mystart

PHP-Code:
# AdwCleaner v2.002 - Datei am 09/22/2012 um 09:51:41 erstellt
# Aktualisiert am 16/09/2012 von Xplode
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits)
# Benutzer : Pascal Pietrek - PASCAL-HP
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\Pascal Pietrek\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien Ordner] *****


***** [Registrierungsdatenbank] *****


***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16421


-\\ Mozilla Firefox v15.0 (de)

Profilname : default 
Datei C:\Users\Pascal Pietrek\AppData\Roaming\Mozilla\Firefox\Profiles\rno08pfr.default\prefs.js

Gelöscht user_pref("browser.newtab.url""hxxp://mystart.incredibar.com/mb178?a=6PQI1HV8Zg&loc=FF_NT");
Gelöscht user_pref("extensions.foxlingo.addit.defaultAddons""{ \"software\": {\"13\": {\"id\": \"13\",\"tit[...]

-\\ Google Chrome v21.0.1180.89

Datei : C:\Users\Pascal Pietrek\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Die Datei ist sauber.

*************************

AdwCleaner[R1].txt - [16378 octets] - [31/08/2012 17:37:31]
AdwCleaner[R2].txt - [16439 octets] - [01/09/2012 12:38:04]
AdwCleaner[S1].txt - [17100 octets] - [01/09/2012 12:38:15]
AdwCleaner[R3].txt - [1444 octets] - [07/09/2012 17:10:16]
AdwCleaner[S2].txt - [1947 octets] - [10/09/2012 12:41:34]
AdwCleaner[R4].txt - [1452 octets] - [20/09/2012 16:04:49]
AdwCleaner[S3].txt - [1446 octets] - [22/09/2012 09:51:41]

########## EOF - C:\AdwCleaner[S3].txt - [1506 octets] ########## 

t'john 22.09.2012 20:22
Liste mir alle deine addons auf: https://addons.mozilla.org/de/firefo...n-list-dumper/


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:21 Uhr.
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130