Hallo ihr Lieben,

mich hat leider auch der Delta Search Virus befallen.
Habe gestern Abend den PDF Creator bei chip.de heruntergeladen und da muss er dabei gewesen sein...
Meine Antivirussoftware (Sophos) hatte direkt danach eine Adware gemeldet (leider weiß ich nicht mehr ich wie sie heißt), die ich direkt bereinigt habe.
Erst gerade eben habe ich beim Öffnen von Chrome den Delta Search Virus bemerkt. Ich habe die Delta Search Toolbar mittlerweile deinstalliert und die Startseite bei Chrome geändert. Jetzt erscheint delta search nicht mehr, aber ist mein Notebook jetzt wirklich sicher?
Ich nutze übrigens Windows 7 64 bit.
Wäre sehr dankbar, wenn jemand mir helfen könnte...

Liebe Grüße,
Hannah

Ich habe dein Thema in Arbeit und melde mich so schnell als möglich mit weiteren Anweisungen.

Bitte beachte, dass alle meine Antworten zuerst von einem Ausbilder freigegeben werden müssen, bevor ich diese hier posten darf. Dies garantiert, dass Du Hilfe von einem ausgebildeten Helfer bekommst.

Ich bedanke mich für deine Geduld

Ok, vielen Dank!

Die Bereinigung deines Systems ist individuell auf dich zugeschnitten und mitunter mit viel Arbeit für uns beide verbunden.

Bitte Lesen:
Regeln für die Bereinigung

Eine Bereinigung beinhaltet nebst dem Entfernen von Malware auch das Schließn von Sicherheitslücken und sollte gründlich durchgeführt werden.
Sie erfolgt deshalb in mehreren Schritten und bedeutet einigen Aufwand für dich. Beachte: Das Verschwinden der offensichtlichen Symptome bedeutet nicht, dass das System schon sauber ist.

Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du mit der abarbeitung der Schritte beginnst.

• Beim ersten Anzeichen illegal genutzter Software (Cracks, Patches und Co) wird der Support ohne Diskussion beendet.
• Falls es sich bei dem Rechner um einen Firmenrechner handelt teile es mir bitte mit.

• Bitte arbeite alle Schritte der Reihe nach ab. Gib mir bitte zu jedem Schritt die angeforderte Rückmeldung (Logfile oder Antwort)
  und zwar gesammelt, wenn du alles erledigt hast, in einer Antwort.
• Bitte führe nur Scanns durch zu denen Du aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu von mir oder einem anderen Teammitglied aufgefordert.
• Poste die Logfiles direkt in deinen Thread (möglichst in Code-Tags - #-Symbol im Editor anklicken). Nicht anhängen oder zippen, außer ich fordere Dich dazu auf, oder das Logfile wäre zu gross. Erschwert mir nämlich das Auswerten.
• Mache deinen Namen nur dann unkenntlich, wenn es unbedingt sein muss (erleichtert uns die Arbeit).
• Sollte ich nicht nach 3 Tagen geantwortet haben, dann (und nur dann) schicke mir bitte eine PM.
• Ich werde dir ganz deutlich mitteilen, dass du "sauber" bist. Bis dahin arbeite bitte gut mit.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.

Schritt 1:

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).



Schritt 2:

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden ).

• Doppelklick auf die OTL.exe
• Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimal Ausgabe
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Hallo Aneri,

ersteinmal vielen Dank für deine Hilfe bisher. Ich habe jetzt beide Schritte durchgeführt und poste dir die Logfiles. Leider sind sie so lang, dass sie nicht zusammen in einen Post passen...

aswMBR.txt

Code: Alles auswählenAufklappen

ATTFilter

aswMBR version 0.9.9.1771 Copyright(c) 2011 AVAST Software
Run date: 2013-04-04 20:46:22
-----------------------------
20:46:22.425    OS Version: Windows x64 6.1.7601 Service Pack 1
20:46:22.426    Number of processors: 4 586 0x2A07
20:46:22.429    ComputerName: HANNAH-VAIO  UserName: Hannah
20:46:24.089    Initialize success
20:47:45.189    AVAST engine defs: 13040400
20:47:55.211    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
20:47:55.216    Disk 0 Vendor: TOSHIBA_ GH01 Size: 610480MB BusType: 3
20:47:55.380    Disk 0 MBR read successfully
20:47:55.387    Disk 0 MBR scan
20:47:55.398    Disk 0 Windows 7 default MBR code
20:47:55.411    Disk 0 Partition 1 00     27 Hidden NTFS WinRE NTFS        13958 MB offset 2048
20:47:55.430    Disk 0 Partition 2 80 (A) 07    HPFS/NTFS NTFS          100 MB offset 28590080
20:47:55.454    Disk 0 Partition 3 00     07    HPFS/NTFS NTFS       596420 MB offset 28794880
20:47:55.594    Disk 0 scanning C:\Windows\system32\drivers
20:48:18.488    Service scanning
20:49:23.843    Modules scanning
20:49:23.861    Disk 0 trace - called modules:
20:49:23.901    ntoskrnl.exe CLASSPNP.SYS disk.sys iaStor.sys hal.dll 
20:49:23.915    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8007e26060]
20:49:23.926    3 CLASSPNP.SYS[fffff880013ae43f] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa8005f2b050]
20:49:25.611    AVAST engine scan C:\Windows
20:49:29.334    AVAST engine scan C:\Windows\system32
20:59:46.168    AVAST engine scan C:\Windows\system32\drivers
21:00:15.691    AVAST engine scan C:\Users\Hannah
22:02:02.632    AVAST engine scan C:\ProgramData
22:05:53.797    Scan finished successfully
22:07:09.490    Disk 0 MBR has been saved successfully to "C:\Users\Hannah\Desktop\MBR.dat"
22:07:09.502    The log file has been saved successfully to "C:\Users\Hannah\Desktop\aswMBR.txt"
         

So, ich musste die letzten beiden Logfiles zippen. Sie waren zu groß zum Posten und zum Anhängen. Ich hoffe das ist nicht so schlimm?

Ich wünsche dir jetzt jedenfalls erstmal eine gute Nacht.

Liebe Grüße,
Hannah

machen wir weiter ...

Schritt 1:

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers


Schritt 2:

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 3:

Starte bitte OTL.exe und drücke den Quick Scan Button.
Poste die OTL.txt hier in deinen Thread.

So, mbar.exe war kein Problem, hier die Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Rootkit BETA 1.01.0.1022
www.malwarebytes.org

Database version: v2013.04.05.03

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16521
Hannah :: HANNAH-VAIO [administrator]

05.04.2013 09:45:36
mbar-log-2013-04-05 (09-45-36).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled: 
Objects scanned: 31912
Time elapsed: 12 minute(s), 51 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)
         

AdwCleaner konnte ich dagegen nicht herunterladen, da meine Virensoftware gemeckert hat.
In der angehängten Datei kannst du sehen, was bei mir angezeigt wurde.

Wie soll ich jetzt weitermachen?

Liebe Grüße!

So, ich hab einfach mal meinen Virenscanner ausgeschaltet und es nochmal probiert. Dachte mir, dass du mich bestimmt nicht dazu aufforderst nen Virus herunterzuladen
Hier also die Logfiles:

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v2.200 - Datei am 05/04/2013 um 10:40:08 erstellt
# Aktualisiert am 02/04/2013 von Xplode
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits)
# Benutzer : Hannah - HANNAH-VAIO
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\Hannah\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Ordner Gelöscht : C:\ProgramData\Babylon
Ordner Gelöscht : C:\Users\Hannah\AppData\Local\APN
Ordner Gelöscht : C:\Users\Hannah\AppData\Local\Temp\AskSearch
Ordner Gelöscht : C:\Users\Hannah\AppData\Roaming\Babylon
Ordner Gelöscht : C:\Users\Hannah\AppData\Roaming\OpenCandy

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\BabylonToolbar
Schlüssel Gelöscht : HKLM\Software\Babylon
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Prod.cap
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{7D86A08B-0A8F-4BE0-B693-F05E6947E780}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF

***** [Internet Browser] *****

-\\ Internet Explorer v10.0.9200.16521

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Google Chrome v26.0.1410.43

Datei : C:\Users\Hannah\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Die Datei ist sauber.

*************************

AdwCleaner[S1].txt - [1484 octets] - [05/04/2013 10:40:08]

########## EOF - C:\AdwCleaner[S1].txt - [1544 octets] ##########
         

OTL ist wieder zu groß...

Liebe Grüße,
Hannah

Hallo Hannah123

da biste mir zuvorgekommen... aber passt soweit
Adwcleaner hat gut gelöscht. das bedeutet DeltaSearch sollte weg sein.
Macht dein System noch Probleme? So geht es weiter:

Schritt 1

Fixen mit OTL

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL 
IE - HKCU\..\SearchScopes\{4F11F581-E235-4A71-9A9E-89CDFDBF5626}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=AVR-3&o=APN10395&src=kw&q={searchTerms}&locale=&apn_ptnrs=^ABT&apn_dtid=^YYYYYY^YY^DE&apn_uid=37dd5195-add1-4e10-b615-063fe346e445&apn_sauid=844AA637-188A-47CF-A724-E157AD740CFA
         

• Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Schritt 2

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 3


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 4:

Starte bitte OTL.exe und drücke den Quick Scan Button.
Poste die OTL.txt hier in deinen Thread.

Also gefühlt braucht mein Notebook länger zum Hochfahren, aber ansonsten läuft alles einwandfrei. Vielen Dank dafür!
Fixen mit OTL hat glaub ich nicht geklappt... Habs zwei mal versucht, hier die Logfiles:

Code: Alles auswählenAufklappen

ATTFilter

Error: Unable to interpret <:OTL  IE - HKCU\..\SearchScopes\{4F11F581-E235-4A71-9A9E-89CDFDBF5626}: "URL" = hxxp://websearch.ask.com/redirect?client=ie&tb=AVR-3&o=APN10395&src=kw&q={searchTerms}&locale=&apn_ptnrs=^ABT&apn_dtid=^YYYYYY^YY^DE&apn_uid=37dd5195-add1-4e10-b615-063fe346e445&apn_sauid=844AA637-188A-47CF-A724-E157AD740CFA> in the current context!
 
OTL by OldTimer - Version 3.2.69.0 log created on 04062013_133011
         

Code: Alles auswählenAufklappen

ATTFilter

========== OTL ==========
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{4F11F581-E235-4A71-9A9E-89CDFDBF5626}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4F11F581-E235-4A71-9A9E-89CDFDBF5626}\ not found.
 
OTL by OldTimer - Version 3.2.69.0 log created on 04062013_133245
         

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.04.06.03

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16521
Hannah :: HANNAH-VAIO [Administrator]

Schutz: Aktiviert

06.04.2013 13:39:14
mbam-log-2013-04-06 (13-39-14).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 217838
Laufzeit: 3 Minute(n), 31 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Eset hat Stunden gebraucht, aber immerhin nichts gefunden

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=1779f6f1120c8c419b3c74e83a785c09
# engine=13563
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-04-06 03:18:06
# local_time=2013-04-06 05:18:06 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=771 16777214 16 1 27113316 27113316 0 0
# compatibility_mode=5893 16776573 100 94 108273 116891336 0 0
# compatibility_mode=8450 16777213 85 98 3122421 20297479 0 0
# scanned=411295
# found=0
# cleaned=0
# scan_time=12075
         

Die OTL-Logfile mal wieder gezippt im Anhang...

Liebe Grüße & danke für deine Mühe!
Hannah

Sorry, habs zu früh abgeschickt

Zitat:

Zitat von Hannah123

Also gefühlt braucht mein Notebook länger zum Hochfahren...

sollen wir uns dass noch anschauen? Malwaretechnisch sind wir soweit durch...

Hallo Aneri,

das ist doch mal eine gute Nachricht. Vielen Dank für deine Hilfe!!
Woran könnte es denn liegen, dass das Notebook länger braucht zum Hochfahren?
Zusätzlich zeigt Chrome jetzt ständig eine Fehlermeldung und lädt die Seiten nicht... (s.Anhang)
Könnte das was mit dem Ganzen zu tun haben?

Liebe Grüße,
Hannah