MyStart by IncrediBar eingefangen wie ohne Systemwiederherstellung wegbekommen

t'john · 10.09.2012, 02:30

Schließe alle offenen Programme und Browser.
Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Delete.
Bestätige jeweils mit Ok.
Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Pascal05551 · 10.09.2012, 11:45

Hier ist das Log File

PHP-Code:

  # AdwCleaner v2.000 - Datei am 09/10/2012 um 12:41:34 erstellt

# Aktualisiert am 30/08/2012 von Xplode

# Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits)

# Benutzer : Pascal Pietrek - PASCAL-HP

# Normaler Modus : Normal

# Ausgeführt unter : C:\Users\Pascal Pietrek\Desktop\adwcleaner.exe

# Option [Löschen]

 
 
**** [Dienste] ****

 
 
***** [Dateien / Ordner] *****

 
 
***** [Registrierungsdatenbank] *****

 
 
***** [Internet Browser] *****

 
-\\ Internet Explorer v9.0.8112.16421

 
Wiederhergestellt : [HKCU\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]

Wiederhergestellt : [HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes - DefaultScope]

Wiederhergestellt : [HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes - DefaultScope]

Wiederhergestellt : [HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]

Wiederhergestellt : [HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]

Wiederhergestellt : [HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]

 
-\\ Mozilla Firefox v15.0 (de)

 
Profilname : default 

Datei : C:\Users\Pascal Pietrek\AppData\Roaming\Mozilla\Firefox\Profiles\rno08pfr.default\prefs.js

 
Gelöscht : user_pref("extensions.foxlingo.addit.defaultAddons", "{ \"software\": {\"13\": {\"id\": \"13\",\"tit[...]

 
-\\ Google Chrome v21.0.1180.89

 
Datei : C:\Users\Pascal Pietrek\AppData\Local\Google\Chrome\User Data\Default\Preferences

 
[OK] Die Datei ist sauber.

 
*************************

 
AdwCleaner[R1].txt - [16378 octets] - [31/08/2012 17:37:31]

AdwCleaner[R2].txt - [16439 octets] - [01/09/2012 12:38:04]

AdwCleaner[S1].txt - [17100 octets] - [01/09/2012 12:38:15]

AdwCleaner[R3].txt - [1444 octets] - [07/09/2012 17:10:16]

AdwCleaner[S2].txt - [1822 octets] - [10/09/2012 12:41:34]

 
########## EOF - C:\AdwCleaner[S2].txt - [1882 octets] ##########

t'john · 11.09.2012, 00:04

Sehr gut!

Wie laeuft der Rechner?

Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

Pascal05551 · 11.09.2012, 16:55

Mein PC läuft wie immer jedoch ist dieses MyStart immer noch da

PHP-Code:

  Emsisoft Anti-Malware - Version 6.6

Letztes Update: 9/11/2012 1:34:20 PM

 
Scan Einstellungen:

 
Scan Methode: Detail Scan

Objekte: Rootkits, Speicher, Traces, C:\, D:\

Archiv Scan: An

ADS Scan: An

 
Scan Beginn:    9/11/2012 2:02:31 PM

 
 
Gescannt    899438

Gefunden    0

 
Scan Ende:    9/11/2012 5:30:02 PM

Scan Zeit:    3:27:31

t'john · 12.09.2012, 08:26

In welchem Browser?

In OTL als Fix:

Code:

ATTFilter

:files
C:\Users\Pascal Pietrek\AppData\Roaming\Mozilla\Firefox\Profiles\rno08pfr.default\prefs.js

Pascal05551 · 12.09.2012, 14:57

Bei Firefox kommt es jedem neuen start wieder und dann muss ich es über about:config es zürucksetzten

PHP-Code:

  ========== FILES ==========

C:\Users\Pascal Pietrek\AppData\Roaming\Mozilla\Firefox\Profiles\rno08pfr.default\prefs.js moved successfully.

 

OTL by OldTimer - Version 3.2.61.3 log created on 09122012_155411

t'john · 15.09.2012, 10:54

Scan mit SystemLook

Hiermit prüfe ich, ob für diese Infektion übliche Einträge noch vorhanden sind. Das Tool ändert nichts, wirft mir nur die nötigen Infos aus.

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop (falls noch nicht vorhanden).

Download Mirror #1

User mit 64Bit-Windows-Versionen benutzen diese Version => http://jpshortstuff.247fixes.com/SystemLook_x64.exe

Doppelklick auf die SystemLook.exe, um das Tool zu starten.
Vista- und Windows 7-User unbedingt mit Rechtsklick und als Administrator starten.
Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
Code:
ATTFilter
```
:regfind 
incredi
perion

:folderfind 
assist
perion

:filefind 
prefs.js
perion
         
```
Klicke nun auf den Button Look, um den Scan zu starten.
Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

Pascal05551 · 16.09.2012, 11:30

Hier ist das Log File

PHP-Code:

  SystemLook 30.07.11 by jpshortstuff

Log created at 12:08 on 16/09/2012 by Pascal Pietrek

Administrator - Elevation successful

 
========== regfind ==========

 
Searching for "incredi"

[HKEY_CURRENT_USER\Software\IncrediMail]

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\IncrediMail]

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\incredibar_installer_RASAPI32]

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\incredibar_installer_RASMANCS]

[HKEY_USERS\S-1-5-21-2216366739-1226435145-1474420919-1000\Software\IncrediMail]

 
Searching for "perion"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\jifflliplgeajjdhmkcfnngfpgbjonjg]

"path"="C:\Program Files (x86)\Perion\NewTab\newTab.crx"

 
========== folderfind ==========

 
Searching for "assist"

No folders found.

 
Searching for "perion"

C:\_OTL\MovedFiles\09052012_161116\C_Program Files (x86)\Perion    d------    [13:01 29/08/2012]

 
========== filefind ==========

 
Searching for "prefs.js"

C:\Users\Pascal Pietrek\AppData\Roaming\Mozilla\Firefox\Profiles\rno08pfr.default\prefs.js    --a---- 16242 bytes    [10:07 16/09/2012]    [10:07 16/09/2012] F31DB3EC9B6A5D51BF9ADD9AE39EFD12

C:\Users\Pascal Pietrek\AppData\Roaming\Mozilla\Firefox\Profiles\rno08pfr.default\extensions\ich@maltegoetz.de\defaults\preferences\prefs.js    --a---- 464 bytes    [16:01 17/05/2012]    [13:01 29/08/2012] 494BC77B5628FA58441B70CCD7A2800A

C:\_OTL\MovedFiles\09122012_155411\C_Users\Pascal Pietrek\AppData\Roaming\Mozilla\Firefox\Profiles\rno08pfr.default\prefs.js    --a---- 17768 bytes    [13:53 12/09/2012]    [13:53 12/09/2012] 62298B5FD0F9CBF510193FC0B31EAF35

 
Searching for "perion"

No files found.

 
Searching for "         "

No files found.

 
-= EOF =-

t'john · 18.09.2012, 03:08

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
Starte die OTL.exe.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:
Der Fix fängt mit :OTL an. Vergewissere dich, dass du ihn richtig kopiert hast.

Code:

ATTFilter

:OTL
:reg

[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\incredibar_installer_RASAPI32]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\incredibar_installer_RASMANCS] 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\jifflliplgeajjdhmkcfnngfpgbjonjg] 

:files
C:\Program Files (x86)\Perion\
C:\Users\Pascal Pietrek\AppData\Roaming\Mozilla\Firefox\Profiles\rno08pfr.default\prefs.js
C:\Users\Pascal   Pietrek\AppData\Roaming\Mozilla\Firefox\Profiles\rno08pfr.default\extensions\ich@maltegoetz.de\defaults\preferences\prefs.js  
ipconfig /flushdns /c
:Commands
[emptytemp]

Schließe alle Programme.
Klicke auf den Fix Button.
Wenn OTL einen Neustart verlangt, bitte zulassen.
Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Pascal05551 · 18.09.2012, 11:35

Hier ist das Log File jedoch ist MyStart immer noch da bei Firefox.

PHP-Code:

  All processes killed

========== OTL ==========

========== REGISTRY ==========

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\incredibar_installer_RASAPI32\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\incredibar_installer_RASMANCS\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\jifflliplgeajjdhmkcfnngfpgbjonjg\ deleted successfully.

========== FILES ==========

Folder C:\Program Files (x86)\Perion not found.

C:\Users\Pascal Pietrek\AppData\Roaming\Mozilla\Firefox\Profiles\rno08pfr.default\prefs.js moved successfully.

File\Folder C:\Users\Pascal   Pietrek\AppData\Roaming\Mozilla\Firefox\Profiles\rno08pfr.default\extensions\ich@maltegoetz.de\defaults\preferences\prefs.js not found.

[color=#A23BEC]< ipconfig /flushdns /c >[/color]

Windows-IP-Konfiguration

Der DNS-Aufl”sungscache wurde geleert.

C:\Users\Pascal Pietrek\Desktop\cmd.bat deleted successfully.

C:\Users\Pascal Pietrek\Desktop\cmd.txt deleted successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: Administrator

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: Pascal Pietrek

->Temp folder emptied: 1039142 bytes

->Temporary Internet Files folder emptied: 17724029 bytes

->Java cache emptied: 283239 bytes

->FireFox cache emptied: 1132416862 bytes

->Google Chrome cache emptied: 336718791 bytes

->Flash cache emptied: 12622 bytes

 

User: Public

 

User: UpdatusUser

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32 (64bit) .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 3767224 bytes

%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50434 bytes

%systemroot%\sysnative\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 0 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 1,423.00 mb

 

 

OTL by OldTimer - Version 3.2.63.0 log created on 09182012_122415

 
Files\Folders moved on Reboot...

C:\Users\Pascal Pietrek\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

 
PendingFileRenameOperations files...

 
Registry entries deleted on Reboot...

t'john · 19.09.2012, 17:31

Downloade Dir bitte AdwCleaner auf deinen Desktop.
Neu Laden!

Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Search.
Nach Ende des Suchlaufs öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

Pascal05551 · 20.09.2012, 15:05

Hier ist das Log File

PHP-Code:

  # AdwCleaner v2.002 - Datei am 09/20/2012 um 16:04:49 erstellt

# Aktualisiert am 16/09/2012 von Xplode

# Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits)

# Benutzer : Pascal Pietrek - PASCAL-HP

# Bootmodus : Normal

# Ausgeführt unter : C:\Users\Pascal Pietrek\Desktop\adwcleaner.exe

# Option [Suche]

 
 
**** [Dienste] ****

 
 
***** [Dateien / Ordner] *****

 
 
***** [Registrierungsdatenbank] *****

 
 
***** [Internet Browser] *****

 
-\\ Internet Explorer v9.0.8112.16421

 
[OK] Die Registrierungsdatenbank ist sauber.

 
-\\ Mozilla Firefox v15.0 (de)

 
Profilname : default 

Datei : C:\Users\Pascal Pietrek\AppData\Roaming\Mozilla\Firefox\Profiles\rno08pfr.default\prefs.js

 
Gefunden : user_pref("extensions.foxlingo.addit.defaultAddons", "{ \"software\": {\"13\": {\"id\": \"13\",\"tit[...]

 
-\\ Google Chrome v21.0.1180.89

 
Datei : C:\Users\Pascal Pietrek\AppData\Local\Google\Chrome\User Data\Default\Preferences

 
[OK] Die Datei ist sauber.

 
*************************

 
AdwCleaner[R1].txt - [16378 octets] - [31/08/2012 17:37:31]

AdwCleaner[R2].txt - [16439 octets] - [01/09/2012 12:38:04]

AdwCleaner[S1].txt - [17100 octets] - [01/09/2012 12:38:15]

AdwCleaner[R3].txt - [1444 octets] - [07/09/2012 17:10:16]

AdwCleaner[S2].txt - [1947 octets] - [10/09/2012 12:41:34]

AdwCleaner[R4].txt - [1323 octets] - [20/09/2012 16:04:49]

 
########## EOF - C:\AdwCleaner[R4].txt - [1383 octets] ##########

t'john · 21.09.2012, 19:38

Schließe alle offenen Programme und Browser.
Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Delete.
Bestätige jeweils mit Ok.
Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Pascal05551 · 22.09.2012, 08:56

Hier ist das Log jedoch macht er nach jeden start von firefox wieder mystart

PHP-Code:

  # AdwCleaner v2.002 - Datei am 09/22/2012 um 09:51:41 erstellt

# Aktualisiert am 16/09/2012 von Xplode

# Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits)

# Benutzer : Pascal Pietrek - PASCAL-HP

# Bootmodus : Normal

# Ausgeführt unter : C:\Users\Pascal Pietrek\Desktop\adwcleaner.exe

# Option [Löschen]

 
 
**** [Dienste] ****

 
 
***** [Dateien / Ordner] *****

 
 
***** [Registrierungsdatenbank] *****

 
 
***** [Internet Browser] *****

 
-\\ Internet Explorer v9.0.8112.16421

 
 
-\\ Mozilla Firefox v15.0 (de)

 
Profilname : default 

Datei : C:\Users\Pascal Pietrek\AppData\Roaming\Mozilla\Firefox\Profiles\rno08pfr.default\prefs.js

 
Gelöscht : user_pref("browser.newtab.url", "hxxp://mystart.incredibar.com/mb178?a=6PQI1HV8Zg&loc=FF_NT");

Gelöscht : user_pref("extensions.foxlingo.addit.defaultAddons", "{ \"software\": {\"13\": {\"id\": \"13\",\"tit[...]

 
-\\ Google Chrome v21.0.1180.89

 
Datei : C:\Users\Pascal Pietrek\AppData\Local\Google\Chrome\User Data\Default\Preferences

 
[OK] Die Datei ist sauber.

 
*************************

 
AdwCleaner[R1].txt - [16378 octets] - [31/08/2012 17:37:31]

AdwCleaner[R2].txt - [16439 octets] - [01/09/2012 12:38:04]

AdwCleaner[S1].txt - [17100 octets] - [01/09/2012 12:38:15]

AdwCleaner[R3].txt - [1444 octets] - [07/09/2012 17:10:16]

AdwCleaner[S2].txt - [1947 octets] - [10/09/2012 12:41:34]

AdwCleaner[R4].txt - [1452 octets] - [20/09/2012 16:04:49]

AdwCleaner[S3].txt - [1446 octets] - [22/09/2012 09:51:41]

 
########## EOF - C:\AdwCleaner[S3].txt - [1506 octets] ##########

t'john · 22.09.2012, 20:22

Liste mir alle deine addons auf: https://addons.mozilla.org/de/firefo...n-list-dumper/

12.09.2012, 08:26	#20
t'john /// Helfer-Team	MyStart by IncrediBar eingefangen wie ohne Systemwiederherstellung wegbekommen In welchem Browser? In OTL als Fix: Code: ATTFilter :files C:\Users\Pascal Pietrek\AppData\Roaming\Mozilla\Firefox\Profiles\rno08pfr.default\prefs.js __________________ Mfg, t'john Das TB unterstützen

22.09.2012, 20:22	#30
t'john /// Helfer-Team	MyStart by IncrediBar eingefangen wie ohne Systemwiederherstellung wegbekommen Liste mir alle deine addons auf: https://addons.mozilla.org/de/firefo...n-list-dumper/ __________________ Mfg, t'john Das TB unterstützen

MyStart by IncrediBar eingefangen wie ohne Systemwiederherstellung wegbekommen

Plagegeister aller Art und deren Bekämpfung: MyStart by IncrediBar eingefangen wie ohne Systemwiederherstellung wegbekommen