Hallo,
nachdem ich heute mal wieder Wochenendbesuch bei den Eltern absolviert habe, hat sich der PC meines Vaters verändert dargestellt: als startseite ist nun Mywebsearch eingestellt und er hat eine neue Toolbar (maps galaxy) im Firefox.

Wie kann ich die am besten wieder entfernen?

Hi,

starte mal so:


Schritt 1

Downloade dir bitte AdwCleaner und speichere es auf deinen Desktop.

• Schliesse alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet, je nach Schwere der Infektion auch mehrmals - das ist normal. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Schritt 2

Warnung für Mitleser:
Combofix sollte nur dann ausgeführt werden, wenn dies explizit von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix.

• WICHTIG: Speichere Combofix auf deinen Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und akzeptiere die Endbenutzer-Lizenz.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
  Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
• Während Combofix läuft, bitte gar nichts am Computer arbeiten, auch nicht die Maus bewegen!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen (C:\Combofix.txt).
• Bitte poste den Inhalt dieses Logfiles in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.



Schritt 3

Starte bitte die OTL.exe.

• Setze den Haken bei Scan all Users.
• Drücke auf den Quick Scan Button.
• Poste den Inhalt von OTL.txt hier in den Thread.

Bitte poste in deiner nächsten Antwort:

• Log von AdwCleaner
• Log von Combofix
• Log von OTL

Danke für die Hilfe. sieht jetzt auf den ersten blick zumindest beseitigt aus.
anbei die Logs

Hallo,

entschuldige bitte, dein Thread ist mir irgendwie untergegangen.
Ich seh immer noch Spuren davon.

• Starte bitte die OTL.exe.
• Kopiere nun den folgenden Inhalt aus der Codebox in die Textbox.
  Wichtig: Falls du deinen Benutzernamen im Log unkenntlich gemacht hast (z.B. durch ***), dann mach das hier wieder rückgängig.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
[2013.03.22 00:59:03 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Werner \Anwendungsdaten\MapsGalaxy_39
[2013.03.22 00:58:58 | 000,000,000 | ---D | C] -- C:\Programme\MapsGalaxy_39
O4 - HKLM..\Run: [MapsGalaxy Search Scope Monitor] C:\Programme\MapsGalaxy_39\bar\1.bin\39SrchMn.exe (MindSpark)
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\39ffxtbr@MapsGalaxy_39.com: C:\Programme\MapsGalaxy_39\bar\1.bin [2013.04.05 15:26:16 | 000,000,000 | ---D | M]
FF - HKLM\Software\MozillaPlugins\@MapsGalaxy_39.com/Plugin: C:\Programme\MapsGalaxy_39\bar\1.bin\NP39Stub.dll (MindSpark)
IE - HKCU\..\SearchScopes\{343A3012-F819-4A44-ABAE-BB4748DAEA52}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=660a1be8-1dc2-11e1-89b0-0013d3e2763e&q={searchTerms}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://cool-homepage.coNFORMATS
IE - HKLM\..\SearchScopes\{343A3012-F819-4A44-ABAE-BB4748DAEA52}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=660a1be8-1dc2-11e1-89b0-0013d3e2763e&q={searchTerms}
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://cool-homepage.co
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\085.tmp -- (nuusia)
SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\vsuihpie.dll -- (gehutph)

:commands
[emptytemp]
         

• Schliesse nun bitte alle anderen Programme.
• Klicke jetzt auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Diesen bitte zulassen.
• Nach dem Neustart findest du ein Textdokument auf deinem Desktop.
  (Auch zu finden unter C:\_OTL\MovedFiles\<date_time>.log)
• Kopiere nun dessen Inhalt hier in deinen Thread.

Schritt 2

Lade SystemLook (von jpshortstuff) herunter und speichere das Tool auf dem Desktop.

• Doppelklicke auf die SystemLook.exe, um das Tool zu starten.
  Vista und Win7 User: Rechtsklick und "als Administrator starten".
• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
  
  
  Code: Alles auswählenAufklappen

  ATTFilter

  :filefind
  *mapsgalaxy*
  
  :folderfind
  *mapsgalaxy*
  
  :regfind
  mapsgalaxy
           

• Klicke nun auf den Button Look, um den Scan zu starten.
• Wenn der Suchlauf beendet ist, wird sich dein Editor mit den Ergebnissen öffnen. Poste diese in deinen Thread.
• Das Log-File wird auch auf dem Desktop als SystemLook.txt gespeichert.

Schritt 3

Starte bitte die OTL.exe.

• Setze den Haken bei Scan all Users.
• Drücke auf den Quick Scan Button.
• Poste den Inhalt von OTL.txt hier in den Thread.

Bitte poste in deiner nächsten Antwort:

• Fixlog von OTL
• Log von SystemLook
• Log von OTL

Hi,

ich hab schon länger keine Antwort mehr von dir erhalten. Brauchst du weiterhin noch Hilfe?

Wenn ich in den nächsten 24 Stunden nichts von dir höre, gehe ich davon aus, dass sich das Thema erledigt hat und lösche es aus meinen Abos.

Hinweis: Wir sind noch nicht fertig! Auch wenn die Symptome verschwunden sein sollten, kann dein System weiterhin infiziert sein und über Sicherheitslücken verfügen, welche eine erneute Infektion möglich machen.

Fehlende Rückmeldung
Dieses Thema wurde aus meinen Abos gelöscht. Somit bekomme ich keine Benachrichtigung mehr über neue Antworten.
Schreib mir eine PM, falls du das Thema doch wieder fortsetzen möchtest. Dann machen wir hier weiter.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass dein Rechner schon sauber ist.

Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.