Programme nicht löschbar - Delta Search evtl. nicht sicher entfernt.
 

Hallo,
bin mir sehr unsicher, ob ich "Delta Search" vom Rechner sicher entfernen konnte. Ich habe das Thema "Delta Search lässt sich nicht entfernen !" von Addi-53 gelesen und nach Installation von AdwCleaner diesen erfolgreich durchlaufen lassen, bin also laut der dortigen Beschreibung nur den 1. Schritt gegangen. Anschließend wurde Delta Search nicht mehr als Suchmaschine angezeigt. Komischerweise tauchen immer wieder Pop-Ups auf, die ich vorher nicht hatte mit der Aufforderung, diesen Link anzuklicken https://ad.yieldmanager(dot)com. Zudem kann ich "DivX-Setup" nicht deinstallieren und hatte bei der Installation vermutlich etwas mit Delta Search zu tun. Da ich mir einfach total unsicher bin und keine Ahnung habe, brauche ich eine fachmännische Hilfe/ Anleitung in der Hoffnung, sie hier zu finden. Was soll ich tun? Wie kann ich vorgehen?
LG, believer

:hallo:

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers



dann:
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Es wurden beim Vorgehen des 1. Schrittes und nach zwei Durchläufen von mbar.exe kam jeweils die Meldung "No malware found". Daher keine Logfile. Mhh.. mir ist es dennoch nicht geheuer, da meine eingegebene Startseite im Browser immer wieder verschwindet und die google-Suchmaschine erscheint. Beim Öffnen von facebook habe ich überall Spielebanner (die ich vorher nicht hatte), bei denen unterhalb des Banners steht: "Ads not by this site"

Nach Schritt 2 sagt AdwCleaner Datei:AdwCleaner Logfile:
--- --- ---

Ich kann zudem das Programm "DivX-Setup" unter Systemsteuerung nicht deinstallieren. Das habe ich gestern ausversehen mitinstalliert, als ich den Lame-Treiber für Audacity gesucht hatte. Eine Systemwiederherstellung auf einen anderen Wiederherstellungspunkt wurde durch Fehlermeldung abgelehnt.

Und noch was: Es öffnet sich regelmäßig ein Fenster, das sich vor das Browser-Fenster stellt (wenn ich den Browser starte) und ich werde aufgefordert, den Flash Player zu installieren (nicht von Adobe!!). Dann ist da noch die ellenlange Adresszeile "hxxp://www.updatedownloading.com/flashplayer/update/?ClickID=gLYA...." Ich denke, das sind Überbleibzel vom Deinstallieren/ Löschen??

Also etweder haelst du dich an die Anleitungen, oder du werkelst alleine rum.

wo ist das Log vom adwCleaner?

Sorry, hatte das nicht verstanden. Hier das logfile:
Malwarebytes Anti-Rootkit BETA 1.05.0.1001
www.malwarebytes.org

Database version: v2013.05.22.07

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16576
Heiko :: HEIKO-PC [administrator]

22.05.2013 19:25:08
mbar-log-2013-05-22 (19-25-08).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled:
Objects scanned: 7577
Time elapsed: 9 minute(s), 28 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)

Wo ist das Log?
AdwCleaner[S1].txt - [23628 octets] - [22/05/2013 17:06:46]

Hier das Log 1AdwCleaner Logfile:
--- --- ---


Habe nun eine Virenwarnung auf meinem PC, dass "YTKaraoke" nicht zu löschen sei und gefährlich ist ;-( Es handelt sich um einen Ordner, der unter Programme (x86) liegt

Bitte vollstaendige Meldung mit Pfad!




Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).



danach:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

danach:

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Also, bevor ich Deine Nachricht gelesen habe, hatte ich "YTKaraoke" plötzlich löschen können... Er ist nicht auffindbar.... Einen Pfad zur ersten Virenmeldung? Es wurde über AVAST automatisch angezeigt, als ich im Programmordner den YTKaraoke-Ordner löschen wollte...

Habe dann die Nachricht von Dir gelesen und bin exakt nach Anleitung vorgegangen. Ich konnte aswMBR.exe nach Anleitung starten und der Scan begann. Nach einer Weile gab es nur noch eine Fehlermeldung in einem neuen Fenster mit Überschrift "AVAST AntiRootkit" und darunter stand "Das Programm wird aufgrund eines Problems nicht richtig ausgeführt..." Ich konnte nur noch auf ok klicken und sofort waren alle Fenster geschlossen ;-(

Ich besitze übrigens die AVAST Pro Antivirus Software, die ich Anfang des Jahres gekauft hatte. Hierüber habe ich, bevor ich mich an dieses Forum gewendet hatte, einen großen Scan durchlaufen lassen, sowie einen schnellen Scan, beides ohne Fehlermeldung und Virenwarnung.

Ich musste die AV Scan Einstellung none verwenden. Hier ist die Log-Datei:

aswMBR version 0.9.9.1771 Copyright(c) 2011 AVAST Software
Run date: 2013-05-24 13:18:25
-----------------------------
13:18:25.168 OS Version: Windows x64 6.1.7601 Service Pack 1
13:18:25.168 Number of processors: 8 586 0x3A09
13:18:25.178 ComputerName: HEIKO-PC UserName: Heiko
13:18:25.598 Initialize success
13:18:25.688 AVAST engine defs: 13052301
13:18:46.739 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0
13:18:46.739 Disk 0 Vendor: APPLE_HDD_TOSHIBA_MK5065GSXF GV201B Size: 476940MB BusType: 11
13:18:46.979 Disk 0 MBR read successfully
13:18:46.989 Disk 0 MBR scan
13:18:46.989 Disk 0 Windows 7 default MBR code
13:18:46.999 Disk 0 Partition 1 00 EE GPT 200 MB offset 1
13:18:47.009 Disk 0 Partition 2 00 AF HFS / HFS+ 400779 MB offset 409640
13:18:47.049 Disk 0 Partition 3 00 AB Darwin boot 619 MB offset 821206712
13:18:47.069 Disk 0 Partition 4 80 (A) 07 HPFS/NTFS NTFS 75340 MB offset 822476800
13:18:47.249 Disk 0 scanning C:\Windows\system32\drivers
13:18:54.899 Service scanning
13:19:23.419 Modules scanning
13:19:23.429 Disk 0 trace - called modules:
13:19:23.469 ntoskrnl.exe CLASSPNP.SYS disk.sys ataport.SYS PCIIDEX.SYS hal.dll msahci.sys
13:19:23.479 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa80056ff060]
13:19:23.489 3 CLASSPNP.SYS[fffff88000c0143f] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-0[0xfffffa80053e6060]
13:19:23.499 Scan finished successfully
13:19:46.669 Disk 0 MBR has been saved successfully to "C:\Users\Heiko\Desktop\MBR.dat"
13:19:46.679 The log file has been saved successfully to "C:\Users\Heiko\Desktop\aswMBR.txt"

ESET und SC?

ESET läuft seit Stunden einen Scan... der ist noch nicht fertig, geschweige denn SC. Den kann ich ja erst danach machen

Alles klar.

Der Scan läuft immer noch, da ESET nach C: nun auch meine reine Daten FP (500 GB) scant.. Da ich morgen beruflich bis Mitte Juni unterwegs bin, werde ich, wenn das hier noch dauert, den Scan erneut durchlaufen lassen, sobald ich zurück bin... oder soll ich den Scan einfach abbrechen. ESET hat 4 Viren bisher gefunden auf LW C:
LG

So, habe den Scan meiner Daten-FP, der über 19 Stunden gedauert hatte, nun abgebrochen, s. o. Hier ist die bisherige Log-Datei von ESET:

ESETSmartInstaller@High as downloader log:
Can not open internetESETSmartInstaller@High as downloader log:
Can not open internet# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=cabeac68bb2ec5488db8fb128d07dd72
# engine=13903
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-05-25 11:13:14
# local_time=2013-05-25 01:13:14 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=773 16777213 85 93 3617512 146190266 0 0
# compatibility_mode=5893 16776573 100 94 99739 121110244 0 0
# scanned=660275
# found=4
# cleaned=0
# scan_time=85453
sh=DD015F5F0C9DF583B7E5E22AAB50390DA9D9B498 ft=1 fh=82e1cd0d6d1f7380 vn="Win32/Adware.1ClickDownload.Y application" ac=I fn="C:\$Recycle.Bin\S-1-5-21-4202955518-897456157-496273736-1000\$RI8WUA5.exe"
sh=11445FCF304B2043FF37461C4F34F492EE5BB19C ft=1 fh=21ba350e23674168 vn="multiple threats" ac=I fn="C:\Users\Heiko\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\47QDTWTR\yontoosetup[1].exe"
sh=BC8FB44A53B3553C204CF28C5801191F7DEA6B70 ft=1 fh=136805f5bcbd4233 vn="multiple threats" ac=I fn="C:\Users\Heiko\AppData\Local\Temp\ibtmpc810551\component_583"
sh=8B2D5D03121F1CEF583DC5547A74808EC3AABCC9 ft=1 fh=5816e48e95d2682b vn="a variant of Win32/Adware.AddLyrics.B application" ac=I fn="C:\Users\Heiko\AppData\Local\Temp\is357113909\LyricsFinder.exe"

Ggf. kann ich mich erst Mitte Juni um einen neuen Scan kümmern.

Werde jetzt die nä. Schritte lt. Anleitung vornehmen, ok?

Das ist nun der Inhalt von checkup.txt:

Results of screen317's Security Check version 0.99.63
Windows 7 Service Pack 1 x64 (UAC is enabled)
Internet Explorer 9
``````````````Antivirus/Firewall Check:``````````````
avast! Antivirus
Antivirus up to date!
`````````Anti-malware/Other Utilities Check:`````````
Adobe Flash Player 11.7.700.202
Adobe Reader XI
Mozilla Firefox (21.0)
````````Process Check: objlist.exe by Laurent````````
AVAST Software Avast AvastSvc.exe
AVAST Software Avast AvastUI.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C:
````````````````````End of Log``````````````````````

Fixen mit OTL

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

• Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Das ist bei OTL raus gekommen:

========== OTL ==========
========== FILES ==========
File\Folder C:\$Recycle.Bin\S-1-5-21-4202955518-897456157-496273736-1000\$RI8WUA5.exe not found.
File\Folder C:\Users\Heiko\AppData\Local\Temp\ibtmpc810551\component_583 not found.
File\Folder C:\Users\Heiko\AppData\Local\Temp\is357113909\LyricsFinder.exe not found.

OTL by OldTimer - Version 3.2.69.0 log created on 05252013_154630

Hier ist das Ergebnis vom Malwarebytes Suchlauf:

Malwarebytes Anti-Malware (Test) 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.05.25.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16576
Heiko :: HEIKO-PC [Administrator]

Schutz: Aktiviert

25.05.2013 15:53:00
mbam-log-2013-05-25 (15-53-00).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 238491
Laufzeit: 3 Minute(n), 50 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Sehr gut! :daumenhoc

damit bist Du sauber und entlassen! :)

adwCleaner entfernen

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Uninstall.
• Bestätige mit Ja.

Tool-Bereinigung
Die Reihenfolge ist hier entscheidend.

1. Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
2. Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
   • Windowstaste + R > Combofix /Uninstall (eingeben) > OK
   • Alternative: Combofix.exe in uninstall.exe umbenennen und starten
   • Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
3. Downloade Dir bitte auf jeden Fall DelFix auf deinen Desktop:
   • Schließe alle offenen Programme.
   • Starte die delfix.exe mit einem Doppelklick.
   • Setze vor jede Funktion ein Häkchen.
   • Klicke auf Start.
   • Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
   • Starte deinen Rechner abschließend neu.
4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

Zurücksetzen der Sicherheitszonen

Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen.
Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html


Systemwiederherstellungen leeren

Damit der Rechner nicht mit einer infizierten Systemwiederherstellung erneut infiziert werden kann, muessen wir diese leeren. Dazu schalten wir sie einmal aus und dann wieder ein:
Systemwiederherstellung deaktivieren Tutorial fuer Windows XP, Windows Vista, Windows 7
Danach wieder aktivieren.



Lektuere zum abarbeiten:
http://www.trojaner-board.de/90880-d...tallation.html
http://www.trojaner-board.de/105213-...tellungen.html
PluginCheck
http://www.trojaner-board.de/96344-a...-rechners.html
Secunia Online Software Inspector
http://www.trojaner-board.de/71715-k...iendungen.html
http://www.trojaner-board.de/83238-a...sschalten.html
http://www.trojaner-board.de/109844-...ren-seite.html
PC wird immer langsamer - was tun?

Erst einmal vielen vielen Dank!!!!!!!!!!!! Einfach klasse dieses Forum!!! und Deine Hilfe!!! :daumenhoc

1) AdwCleaner ist gelöscht...
2) Defogger lässt sich leider nicht löschen. Re-enable "unable to open file" Meldung.
...

Kann mich jetzt aber erst ab Mite Juni darum kümmern.

LG, believer

hast du delfix vor defogger ausgefuehrt?

wuensche eine virenfreie Zeit ;)