Incredibar Toolbar gefangen und blutiger Anfänger ... !
 

Hallo beisammen,

ich finde es ja super dass es so was wie hier gibt. Ich habe mir (dumm, dumm) eine Software heruntergeladen und gleich wieder deinstalliert aber jetzt hab ich in Firefox und IE jeweils die Toolbar von Incredibar und krieg sie nicht wieder weg ! Startseite ist jetzt immer "MyStart".

Ich hab hier schon ein wenig mitgelesen und gleich Angst gekriegt, weil das hier alles für mich "böhmische Dörfer" sind.
Deswegen hoffe ich, dass sich einer erbarmt und mir (so dass auch ich es schaffe) so helfen kann das Dings wieder loszuwerden.

Hilfe !!! :heulen:

Ein paar Infos noch:
1. Ich möchte meine vielen Tabs in firefox und im IE nicht verlieren, wenn das geht.
2. Ich habe den Avira Free Antivirus (und auch schon laufen lassen).
3. Ich habe eine mobile Festplatte, nur zum Datenspeichern. Kann ich die (USB) einfach abstöpseln oder muss die auch überprüft werden ?
4. Ich habe die Programme - wie gefordert - heruntergeladen:
* defogger
* OTL (Ergebnisse nächstes Posting)
* ich habe als Systemtyp einen X86-basierten PC

Aber das Programm gmer starten, übersteigt meine Möglichkeiten. Ich habe hier im Haus noch einen Laptop, WLAN, wenn ich das abkopple / ausschalte, krieg ich das ohne fremde Hilfe vor Ort NIEMALS wieder hin. Das will ich eigentlich nicht machen, wenns irgendwie geht.

Avira Free Antivirus - soll ich das deinstallieren ?

Also, so weit bin ich im Moment und nervlich am Ende.
:dankeschoen: schon mal für jede Hilfe.

OTL Logfile:
--- --- ---
OTL Logfile:
--- --- ---

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Freitag, 21. September 2012 18:14

Es wird nach 4250358 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Home Premium
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : ROBERT

Versionsinformationen:
BUILD.DAT : 12.0.0.1199 40869 Bytes 07.09.2012 22:14:00
AVSCAN.EXE : 12.3.0.33 468472 Bytes 08.08.2012 07:21:43
AVSCAN.DLL : 12.3.0.15 66256 Bytes 08.05.2012 18:06:10
LUKE.DLL : 12.3.0.15 68304 Bytes 08.05.2012 18:06:11
AVSCPLR.DLL : 12.3.0.14 97032 Bytes 08.05.2012 18:06:11
AVREG.DLL : 12.3.0.17 232200 Bytes 10.05.2012 18:06:02
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 23:31:49
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 06:46:54
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 06:46:57
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 20:38:21
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 16:52:24
VBASE006.VDF : 7.11.41.250 4902400 Bytes 06.09.2012 13:52:59
VBASE007.VDF : 7.11.41.251 2048 Bytes 06.09.2012 13:52:59
VBASE008.VDF : 7.11.41.252 2048 Bytes 06.09.2012 13:52:59
VBASE009.VDF : 7.11.41.253 2048 Bytes 06.09.2012 13:52:59
VBASE010.VDF : 7.11.41.254 2048 Bytes 06.09.2012 13:52:59
VBASE011.VDF : 7.11.41.255 2048 Bytes 06.09.2012 13:52:59
VBASE012.VDF : 7.11.42.0 2048 Bytes 06.09.2012 13:53:00
VBASE013.VDF : 7.11.42.1 2048 Bytes 06.09.2012 13:53:00
VBASE014.VDF : 7.11.42.65 203264 Bytes 09.09.2012 16:16:04
VBASE015.VDF : 7.11.42.125 156672 Bytes 11.09.2012 06:33:20
VBASE016.VDF : 7.11.42.171 187904 Bytes 12.09.2012 06:33:20
VBASE017.VDF : 7.11.42.235 141312 Bytes 13.09.2012 09:09:40
VBASE018.VDF : 7.11.43.35 133632 Bytes 15.09.2012 06:59:54
VBASE019.VDF : 7.11.43.89 129024 Bytes 18.09.2012 06:59:55
VBASE020.VDF : 7.11.43.141 130560 Bytes 19.09.2012 11:26:20
VBASE021.VDF : 7.11.43.187 121856 Bytes 21.09.2012 11:31:45
VBASE022.VDF : 7.11.43.188 2048 Bytes 21.09.2012 11:31:45
VBASE023.VDF : 7.11.43.189 2048 Bytes 21.09.2012 11:31:45
VBASE024.VDF : 7.11.43.190 2048 Bytes 21.09.2012 11:31:45
VBASE025.VDF : 7.11.43.191 2048 Bytes 21.09.2012 11:31:45
VBASE026.VDF : 7.11.43.192 2048 Bytes 21.09.2012 11:31:45
VBASE027.VDF : 7.11.43.193 2048 Bytes 21.09.2012 11:31:45
VBASE028.VDF : 7.11.43.194 2048 Bytes 21.09.2012 11:31:45
VBASE029.VDF : 7.11.43.195 2048 Bytes 21.09.2012 11:31:45
VBASE030.VDF : 7.11.43.196 2048 Bytes 21.09.2012 11:31:45
VBASE031.VDF : 7.11.43.212 73728 Bytes 21.09.2012 16:14:10
Engineversion : 8.2.10.164
AEVDF.DLL : 8.1.2.10 102772 Bytes 12.07.2012 19:47:31
AESCRIPT.DLL : 8.1.4.54 459131 Bytes 19.09.2012 06:59:58
AESCN.DLL : 8.1.8.2 131444 Bytes 12.02.2012 06:47:03
AESBX.DLL : 8.2.5.12 606578 Bytes 14.06.2012 15:38:47
AERDL.DLL : 8.1.9.15 639348 Bytes 14.12.2011 23:31:02
AEPACK.DLL : 8.3.0.36 811382 Bytes 15.09.2012 09:10:50
AEOFFICE.DLL : 8.1.2.42 201083 Bytes 20.07.2012 12:53:18
AEHEUR.DLL : 8.1.4.100 5280120 Bytes 15.09.2012 09:10:44
AEHELP.DLL : 8.1.23.2 258422 Bytes 28.06.2012 16:52:29
AEGEN.DLL : 8.1.5.36 434549 Bytes 24.08.2012 15:44:12
AEEXP.DLL : 8.1.0.86 90484 Bytes 07.09.2012 16:19:51
AEEMU.DLL : 8.1.3.2 393587 Bytes 12.07.2012 19:47:31
AECORE.DLL : 8.1.27.4 201078 Bytes 08.08.2012 07:21:42
AEBB.DLL : 8.1.1.0 53618 Bytes 14.12.2011 23:30:58
AVWINLL.DLL : 12.3.0.15 27344 Bytes 08.05.2012 18:06:10
AVPREF.DLL : 12.3.0.15 51920 Bytes 08.05.2012 18:06:10
AVREP.DLL : 12.3.0.15 179208 Bytes 08.05.2012 18:06:11
AVARKT.DLL : 12.3.0.15 211408 Bytes 08.05.2012 18:06:10
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 08.05.2012 18:06:10
SQLITE3.DLL : 3.7.0.1 398288 Bytes 08.05.2012 18:06:11
AVSMTP.DLL : 12.3.0.32 63480 Bytes 08.08.2012 07:21:43
NETNT.DLL : 12.3.0.15 17104 Bytes 08.05.2012 18:06:11
RCIMAGE.DLL : 12.3.0.31 4444408 Bytes 08.08.2012 07:21:41
RCTEXT.DLL : 12.3.0.31 100088 Bytes 08.08.2012 07:21:41

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, F:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Freitag, 21. September 2012 18:14

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'SearchFilterHost.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '111' Modul(e) wurden durchsucht
Durchsuche Prozess 'AUDIODG.EXE' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINWORD.EXE' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_11_4_402_278.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_11_4_402_278.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '126' Modul(e) wurden durchsucht
Durchsuche Prozess 'NclMSBTSrvEx.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '113' Modul(e) wurden durchsucht
Durchsuche Prozess 'NclUSBSrv.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'ServiceLayer.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '102' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'NokiaSuite.exe' - '198' Modul(e) wurden durchsucht
Durchsuche Prozess 'StikyNot.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'brpjp04a.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeViiRC.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'ipoint.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'itype.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'BrStsWnd.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'VDeck.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '162' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'conhost.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvSCPAPISvr.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '156' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '107' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '95' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1881' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\myTeVii\Uninstall.exe
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Program Files\CoreAAC\Uninstall.exe
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Program Files\GNU\MPEG2\Uninstall.exe
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Program Files\GRETECH\GomPicker\Uninstall.exe
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\User\AppData\Local\Microsoft\Windows Live Mail\Online (rob 7cc\Deleted Items\3D88358A-00003527.eml
[0] Archivtyp: MIME
--> FedEx_Label_ID_Order_83-27-4534US.zip
[1] Archivtyp: ZIP
--> FedEx_Label_ID_Order_83-27-4534US.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
C:\Users\User\AppData\Local\Temp\jar_cache6090344143095132872.tmp
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\User\AppData\Local\Temp\IM_96D0.tmp\terms.7z
[WARNUNG] Der Archivheader ist defekt
C:\Users\User\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\36\77b39d24-59a13b5b
[0] Archivtyp: ZIP
--> t6a/t6c.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.DY
--> t6a/t6a.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-1723.X
--> t6a/t6d.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507.CJ
C:\Users\User\Documents\Mixed\Rest\t-online\EMAIL2\ANLAGEN\winamp3_0-full.exe
[WARNUNG] Die Version dieses Archives wird nicht unterstützt
C:\Users\User\Documents\Mixed\Rest\t-online\EMAIL2\ANLAGEN\winzip80.exe
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Users\User\Downloads\avira_free_antivirus_de(1).exe
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Users\User\Downloads\avira_free_antivirus_de(2).exe
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Users\User\Downloads\avira_free_antivirus_de.exe
[WARNUNG] Die Datei ist kennwortgeschützt
Beginne mit der Suche in 'D:\'
Beginne mit der Suche in 'F:\' <Expansion Drive>
F:\Dateien\Mixed\Rest\t-online\EMAIL2\ANLAGEN\winamp3_0-full.exe
[WARNUNG] Die Version dieses Archives wird nicht unterstützt
F:\Dateien\Mixed\Rest\t-online\EMAIL2\ANLAGEN\winzip80.exe
[WARNUNG] Die Datei ist kennwortgeschützt
F:\Musik\Eigene Musik\StationRipper\uninst.exe
[WARNUNG] Die Version dieses Archives wird nicht unterstützt
F:\ROBERT\Backup Set 2011-07-11 162042\Backup Files 2011-07-11 162042\Backup files 2.zip
[WARNUNG] Die Version dieses Archives wird nicht unterstützt
F:\ROBERT\Backup Set 2011-10-02 190002\Backup Files 2011-10-02 190002\Backup files 2.zip
[WARNUNG] Die Version dieses Archives wird nicht unterstützt
F:\ROBERT\Backup Set 2011-10-02 190002\Backup Files 2011-10-16 190002\Backup files 9.zip
[WARNUNG] Die Datei ist kennwortgeschützt
F:\ROBERT\Backup Set 2011-10-02 190002\Backup Files 2011-10-23 190002\Backup files 7.zip
[WARNUNG] Die Datei ist kennwortgeschützt
F:\ROBERT\Backup Set 2012-01-22 190002\Backup Files 2012-01-22 190002\Backup files 41.zip
[WARNUNG] Die Datei ist kennwortgeschützt
F:\ROBERT\Backup Set 2012-01-22 190002\Backup Files 2012-02-12 190003\Backup files 5.zip
[WARNUNG] Die Datei ist kennwortgeschützt
F:\ROBERT\Backup Set 2012-04-15 190004\Backup Files 2012-04-15 190004\Backup files 38.zip
[WARNUNG] Die Datei ist kennwortgeschützt
F:\ROBERT\Backup Set 2012-04-15 190004\Backup Files 2012-04-15 190004\Backup files 39.zip
[WARNUNG] Die Datei ist kennwortgeschützt
F:\ROBERT\Backup Set 2012-04-15 190004\Backup Files 2012-06-17 190004\Backup files 1.zip
[0] Archivtyp: ZIP
--> C/Users/User/AppData/Local/Microsoft/Windows Live Mail/Online (rob 7cc/Deleted Items/3D88358A-00003527.eml
[1] Archivtyp: MIME
--> FedEx_Label_ID_Order_83-27-4534US.zip
[2] Archivtyp: ZIP
--> FedEx_Label_ID_Order_83-27-4534US.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
F:\ROBERT\Backup Set 2012-07-15 190006\Backup Files 2012-07-15 190006\Backup files 18.zip
[0] Archivtyp: ZIP
--> C/Users/User/AppData/Local/Mozilla/Firefox/Profiles/kdie60r2.default/Cache/4/BF/E0BD2d01
[FUND] Enthält Erkennungsmuster des Java-Scriptvirus JS/Expack.WJ
F:\ROBERT\Backup Set 2012-07-15 190006\Backup Files 2012-07-15 190006\Backup files 22.zip
[0] Archivtyp: ZIP
--> C/Users/User/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/36/77b39d24-59a13b5b
[1] Archivtyp: ZIP
--> t6a/t6c.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.DY
--> t6a/t6a.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-1723.X
--> t6a/t6d.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507.CJ
F:\ROBERT\Backup Set 2012-07-15 190006\Backup Files 2012-07-15 190006\Backup files 30.zip
[WARNUNG] Die Datei ist kennwortgeschützt
F:\ROBERT\Backup Set 2012-07-15 190006\Backup Files 2012-07-15 190006\Backup files 31.zip
[WARNUNG] Die Datei ist kennwortgeschützt
F:\ROBERT\Backup Set 2012-07-15 190006\Backup Files 2012-07-15 190006\Backup files 7.zip
[0] Archivtyp: ZIP
--> C/Users/User/AppData/Local/Microsoft/Windows Live Mail/Online (rob 7cc/Deleted Items/3D88358A-00003527.eml
[1] Archivtyp: MIME
--> FedEx_Label_ID_Order_83-27-4534US.zip
[2] Archivtyp: ZIP
--> FedEx_Label_ID_Order_83-27-4534US.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen

Beginne mit der Desinfektion:
F:\ROBERT\Backup Set 2012-07-15 190006\Backup Files 2012-07-15 190006\Backup files 7.zip
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5523fea2.qua' verschoben!
F:\ROBERT\Backup Set 2012-07-15 190006\Backup Files 2012-07-15 190006\Backup files 22.zip
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507.CJ
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4db4d108.qua' verschoben!
F:\ROBERT\Backup Set 2012-07-15 190006\Backup Files 2012-07-15 190006\Backup files 18.zip
[FUND] Enthält Erkennungsmuster des Java-Scriptvirus JS/Expack.WJ
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1feb8bfd.qua' verschoben!
F:\ROBERT\Backup Set 2012-04-15 190004\Backup Files 2012-06-17 190004\Backup files 1.zip
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '79dcc439.qua' verschoben!
C:\Users\User\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\36\77b39d24-59a13b5b
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507.CJ
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '3c27e966.qua' verschoben!
C:\Users\User\AppData\Local\Microsoft\Windows Live Mail\Online (rob 7cc\Deleted Items\3D88358A-00003527.eml
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4316db72.qua' verschoben!


Ende des Suchlaufs: Samstag, 22. September 2012 07:58
Benötigte Zeit: 5:54:24 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

25235 Verzeichnisse wurden überprüft
6143898 Dateien wurden geprüft
10 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
6 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
6143888 Dateien ohne Befall
523668 Archive wurden durchsucht
24 Warnungen
6 Hinweise
490799 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Erstmal vielen Dank, dass jemand so nett ist und sich meiner Probleme annimmt, wirklich super !!

Hier das Ergebnis des Vollscans mit Malwarebytes (hat ein wenig gedauert, das Microsoft-Update kam dazwischen), jetzt mach ich mich an ESET ran.

Ähm, ich glaub ich hab mit meinem Router im Keller ne Firewall, aber keine Ahunung wie man so was ein bzw. ausschaltet. Kann ich ESET trotzdem starten ?

Am Router musst du nichts ändern! Und die Windows-Firewall kann auch aktiv bleiben

adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Falls der adwCleaner schon mal in der runtergeladen wurde, bitte die alte adwcleaner.exe löschen und neu runterladen!!

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Suche.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[Rx].txt. (x=fortlaufende Nummer)

Voila ....
Dieses babylondingens kann gerne auch gleich runter, dachte ich bin das schon los ... ?

adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[Sx].txt. (x=fortlaufende Nummer)

Gemacht:

Hätte da mal drei Fragen bevor es weiter geht (wir sind noch nicht fertig!)

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?
3.) Die Werbeeinblendungen bzw Weiterleitungen wie zB Incredibar oder Mystart sind nun weg?

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?

=> Bei Windows hatte ich keine Einschränkungen bemerkt. Gibt es da etwas auf was man ein besonderes Augenmerk haben müsste ?

2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

=> Keine leeren Ordner und soweit ich das überblicke fehlt auch nichts.

3.) Die Werbeeinblendungen bzw Weiterleitungen wie zB Incredibar oder Mystart sind nun weg?

Also im IE (den ich weniger benutze scheint alles normal zu sein). In Firefox ist zwar die Toolbar von Incredibar weg, aber die Startseite wart bis jetzt immer noch Mystart. Ich hab jetzt mal Google wieder als neue Startseite eingerichtet .... klappt !
Google ist nun wieder Startseite. (Hab sogar unwissentlich was dazugelernt, man kann sogar mehrere Startseiten gleichzeitig speichern ;-) )

Das einzige, was noch erkennbar anders ist: Im IE ist die obere Leiste (Menueleiste) wie früher, die untere Leiste (Lesezeichen-Symbolleiste) erscheint mir in etwas größerer Schrift und anderer Schriftart als früher.

Bis jetzt ist das Ergebnis jedenfalls schon super, vielen vielen Dank für die Hilfe !
(Kann man das Trojanerboard eigentlich mit Spenden unterstützen ?)

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Also, wie spenden hier geht hab ich gefunden und auch schon gemacht ... hier jetzt das neue OTL-Tag:

OTL Logfile:
--- --- ---
[/code]

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Schaut gut aus (also auch die Schrift in Firefox ist wieder normal). hier das ERgebnis von otl fix:

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition ( meistens Laufwerk C: ) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtg4nzy0ywy5/settings_2012-09-04.png

ok ...

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

bitteschön ...
[code] Combofix Logfile:
--- --- ---

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.


3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Ist etwas peinlich, ab er ich weiß nicht wie das geht oder was ich machen muss:

??

Muss ich auf Start gehen ? und dann ?
oder muss ich combofix starten ?

Notepad ist der Texteditor!!
Was in meiner CODE-Box im Beitrag steht musst du da reinkopieren und das als Textdatei CFScript.txt auf dem Desktop abspeichern

Combofix Logfile:
--- --- ---
[/code]

Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).



Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

Hat ein bisschen gedauert, GMER ist immer abgestürzt.
Hier der OSAM-Report:

OSAM Logfile:
--- --- ---



Hier das von aswmbr:

Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Wie hast du sasw gestartet? Einfach per Doppelklick?

Ich glaube ich habe vergessen im Reiter "Scann-Kontrolle" die richtigen Häkchen zu setzen. Soll ich es nochmal machen ?

Nein - starte SASW doch einfach wie in der Anleitung im großen Punkt zwei beschrieben!

Habs nochmal gemacht, kommt irgendwie das Gleiche raus ..

Dann ist das ein Bug von sasw ignorieren wir es

Sieht ok aus, da wurden nur Cookies gefunden. Die anderen drei Funde sehen mir nach Fehlalarmen aus.
Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )


Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller http://filepony.de/download-cookie_culler/
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ich halte es so, dass ich zum "wilden Surfen" den Opera-Browser oder Chromium unter meinem Linux verwende. Mein Hauptbrowser (Firefox) speichert nur die Cookies von den Sites die ich auch will, alles andere lehne ich manuell ab (der FF fragt mich immer) - die anderen Browser nehmen alles an Cookies zwar an, aber spätestens beim nächsten Start von Opera oder Chromium sind keine Cookies mehr da.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Vielen Dank !!
Das System schaut so aus, als ob es in Ordnung wäre.
Soll ich also die Funde in SASW nicht löschen ?

Am Ende bleibt mir nur, dass ich mich nochmal sehr herzlich für die tolle Hilfe bedanke. :bussi:
Ans Board hab ich schon gespendet .. ;-)
:dankeschoen::dankeschoen::dankeschoen:

Doch die Cookies sollten weg!

Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. Mit Hilfe von OTL kannst du auch viele Tools entfernen:

Starte bitte OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.


Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken.


Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:
Prüfen => Adobe - Flash Player
Downloadlinks => Adobe Flash Player Distribution | Adobe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.