Camp Firefox

[Wernsy]

Hallo an alle Experten,

Ich habe Firefox 12.0 installiert und seitdem habe ich ein Problem mit der Seite findamo.com

Immer wenn ich Firefox starte erscheint diese Seite (ist in den Einstellung als Startseite)

Ich habe mehrmals die Startseite gelöscht, Gesamte History gelöscht, bei Suchmaschinen verwalten nachgesehen.

Es hilft alles nichts !

Kann mir bitte jemand einen Tipp geben wie ich diese schreckliche Seite entfernen kann ?

Vielen Dank im voraus,

Wernsy

[Fox2Fox]

Was hast du dir denn installiert? Etwas muss dir die Startseite ja mitgebracht haben.

Klickst du mal auf diesen Link Useragent und kopierst du bitte die obere Zeile (Your User Agent is:) in deinen nächsten Beitrag.

[Wernsy]

Hallo Fox2Fox Hier die Zeile
Your User Agent: Mozilla/5.0 (Windows NT 5.1; rv:12.0) Gecko/20100101 Firefox/12.0

[Wernsy]

Hallo Fox2Fox Hier die Zeile
Your User Agent: Mozilla/5.0 (Windows NT 5.1; rv:12.0) Gecko/20100101 Firefox/12.0

[2002Andreas]

Hallo und Willkommen hier im Forum.

Evtl. hilft dir das weiter...

Zitat aus deutscher Übersetzung durch Google

So entfernen Sie Findamo


Firefox-Benutzer:
Homepage:

In Firefox unter "Extras" und wählen Sie Optionen "
Unter der Registerkarte "Allgemein", entfernen Sie die URL Findamo Hompage
Fügen Sie die neue Homepage-URL (oder leer lassen)
Klicken Sie auf OK am unteren Rand des Fensters

Suche:

In FireFox Klick auf "Search Options" (neben dem Suchfeld und Symbol)
Wählen Sie "Suchmaschinen verwalten"
Wählen Sie "Suche im Web" / "Standardsuche" und klicken Sie auf "Entfernen"
Klicken Sie auf OK am unteren Rand des Fensters
Firefox neu starten

How to remove Findamo - Web Search

[Wernsy]

danke. aber das hilft auch nicht weiter. schon mehrfach versucht
mfG Wernsy

[Docc]

Poste bitte ein HijackThis-Logfile. - Bitte nichts fixen oder löschen!!

[Wernsy]

danke. Hier das File

Code: Alles auswählen


Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 23:05:18, on 26.04.2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\G DATA\GDScan\GDScan.exe
C:\Programme\G DATA\InternetSecurity\AVK\AVKWCtl.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\logishrd\LVMVFM\UMVPFSrv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA\InternetSecurity\AVK\AVKService.exe
C:\Programme\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bProtectorForWindows\2.0.392.106\bProtect.exe
c:\WINDOWS\system32\ifxspmgt.exe
c:\WINDOWS\system32\ifxtcs.exe
C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
C:\Programme\Java\jre6\bin\jqs.exe
c:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\PDF Complete\pdfsvc.exe
c:\WINDOWS\system32\IfxPsdSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\BUFFALO\Encrdisk\ENCRDLG.exe
c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2011\TuneUpUtilitiesService32.exe
C:\Programme\Gemeinsame Dateien\AVG Secure Search\vToolbarUpdater\10.2.0\ToolbarUpdater.exe
C:\Programme\Western Digital\WD SmartWare\WD Drive Manager\WDDMService.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\Programme\Hewlett-Packard\Shared\hpqWmiEx.exe
C:\Programme\G DATA\InternetSecurity\Firewall\GDFwSvc.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\TuneUp Utilities 2011\TuneUpUtilitiesApp32.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bProtectorForWindows\2.0.392.106\bProtect.exe
C:\WINDOWS\system32\WgaTray.exe
c:\Programme\Hewlett-Packard\IAM\bin\asghost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\AccelerometerSt.exe
C:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE
C:\Programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\Programme\G Data\InternetSecurity\AVKTray\AVKTray.exe
C:\Programme\G Data\InternetSecurity\Firewall\GDFirewallTray.exe
C:\Programme\Logitech\SetPointP\SetPoint.exe
C:\Programme\Logitech\LWS\Webcam Software\LWS.exe
C:\PROGRA~1\HEWLET~1\Shared\HPQTOA~1.EXE
c:\Programme\Hewlett-Packard\Embedded Security Software\PSDrt.exe
C:\Programme\Acronis\TrueImageHome\OnlineBackupStandalone\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\AVG Secure Search\vprot.exe
C:\Programme\Canon\MyPrinter\BJMyPrt.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\KHAL3\KHALMNPR.EXE
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Anti-phishing Domain Advisor\visicom_antiphishing.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\Logitech\Vid\vid.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Western Digital\WD SmartWare\WD Drive Manager\WDDMStatus.exe
C:\Programme\Western Digital\WD SmartWare\Front Parlor\WDSmartWare.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.avg.com/?cid={D1BD9C5D-91F4-47D6-8CF5-F3664B84853F}&mid=8b54ab52158b47d19aa5d1566f6ff89d-d1c038d63f219fd67d580fc38910062e4f26a6e3&lang=de&ds=tt014&pr=sa&d=2011-12-10 22:46:19&v=10.2.0.3&sap=hp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: G Data WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G Data\InternetSecurity\WebFilter\AvkWebIE.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Updater For Spam Free Search Bar - {20a0be68-8fd9-4539-8712-ce3d1c1fdfc6} - C:\Programme\blekkotb\auxi\blekkoAu.dll
O2 - BHO: Spam Free Search Bar - {26c9e18c-3717-4be1-a225-04e4471f5b6e} - C:\Programme\blekkotb\blekkoDx.dll
O2 - BHO: AVG Security Toolbar - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Programme\AVG Secure Search\10.2.0.3\AVG Secure Search_toolbar.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\IE\4.6\pdfforgeToolbarIE.dll
O2 - BHO: G Data BankGuard - {BA3295CF-17ED-4F49-9E95-D999A0ADBFDC} - C:\Programme\Gemeinsame Dateien\G Data\AVKProxy\BanksafeBHO.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Credential Manager for HP ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - c:\Programme\Hewlett-Packard\IAM\Bin\ItIEAddIn.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: G Data WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G Data\InternetSecurity\WebFilter\AvkWebIE.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\IE\4.6\pdfforgeToolbarIE.dll
O3 - Toolbar: AVG Security Toolbar - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Programme\AVG Secure Search\10.2.0.3\AVG Secure Search_toolbar.dll
O3 - Toolbar: Spam Free Search Bar - {26c9e18c-3717-4be1-a225-04e4471f5b6e} - C:\Programme\blekkotb\blekkoDx.dll
O3 - Toolbar: Nero Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [AccelerometerSysTrayApplet] C:\WINDOWS\system32\AccelerometerSt.exe
O4 - HKLM\..\Run: [PTHOSTTR] c:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
O4 - HKLM\..\Run: [IFXSPMGT] c:\WINDOWS\system32\ifxspmgt.exe /NotifyLogon
O4 - HKLM\..\Run: [Cpqset] C:\Programme\Hewlett-Packard\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [WatchDog] C:\Programme\InterVideo\DVD Check\DVDCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [G Data AntiVirus Tray Application] C:\Programme\G Data\InternetSecurity\AVKTray\AVKTray.exe
O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G Data\InternetSecurity\Firewall\GDFirewallTray.exe
O4 - HKLM\..\Run: [EvtMgr6] C:\Programme\Logitech\SetPointP\SetPoint.exe /launchGaming
O4 - HKLM\..\Run: [LWS] C:\Programme\Logitech\LWS\Webcam Software\LWS.exe -hide
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SAOB Monitor] C:\Programme\Acronis\TrueImageHome\OnlineBackupStandalone\TrueImageMonitor.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] "C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [SearchSettings] "C:\Programme\Gemeinsame Dateien\Spigot\Search Settings\SearchSettings.exe"
O4 - HKLM\..\Run: [vProt] "C:\Programme\AVG Secure Search\vprot.exe"
O4 - HKLM\..\Run: [ROC_roc_dec12] "C:\Programme\AVG Secure Search\ROC_roc_dec12.exe" /PROMPT /CMPID=roc_dec12
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [Anti-phishing Domain Advisor] "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Anti-phishing Domain Advisor\visicom_antiphishing.exe"
O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Logitech Vid] "C:\Programme\Logitech\Vid\vid.exe" -bootmode
O4 - HKCU\..\Run: [Logitech Vid HD] "C:\Programme\Logitech\Vid\vid.exe" -bootmode
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /minimized /regrun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: CCC.lnk = ?
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: DVD Check.lnk = C:\Programme\InterVideo\DVD Check\DVDCheck.exe
O4 - Global Startup: WDDMStatus.lnk = C:\Programme\Western Digital\WD SmartWare\WD Drive Manager\WDDMStatus.exe
O4 - Global Startup: WDSmartWare.lnk = C:\Programme\Western Digital\WD SmartWare\Front Parlor\WDSmartWare.exe
O9 - Extra button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Protocol: viprotocol - {B658800C-F66E-4EF3-AB85-6C0C227862A9} - C:\Programme\Gemeinsame Dateien\AVG Secure Search\ViProtocolInstaller\10.2.0\ViProtocol.dll
O20 - AppInit_DLLs: c:\dokume~1\alluse~1\anwend~1\bprote~1\20392~1.106\protec~1.dll
O20 - Winlogon Notify: OneCard - c:\Programme\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Acronis Nonstop Backup-Dienst (afcdpsrv) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe
O23 - Service: Application Updater - Unknown owner - C:\Programme\Application Updater\ApplicationUpdater.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: G Data AntiVirus Proxy (AVKProxy) - G Data Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: G Data Scheduler (AVKService) - G Data Software AG - C:\Programme\G DATA\InternetSecurity\AVK\AVKService.exe
O23 - Service: G Data Dateisystem Wächter (AVKWCtl) - G Data Software AG - C:\Programme\G DATA\InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: bProtector - bProtector - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bProtectorForWindows\2.0.392.106\bProtect.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: G Data Personal Firewall (GDFwSvc) - G Data Software AG - C:\Programme\G DATA\InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: G Data Scanner (GDScan) - G Data Software AG - C:\Programme\Gemeinsame Dateien\G DATA\GDScan\GDScan.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqWmiEx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Security Platform Management Service (IFXSpMgtSrv) - Infineon Technologies AG - c:\WINDOWS\system32\ifxspmgt.exe
O23 - Service: Trusted Platform Core Service (IFXTCS) - Infineon Technologies AG - c:\WINDOWS\system32\ifxtcs.exe
O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\Bluetooth\lbtserv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: PDF Document Manager (pdfcDispatcher) - PDF Complete Inc - C:\Programme\PDF Complete\pdfsvc.exe
O23 - Service: Personal Secure Drive service for encrypted drives (PersonalSecureDriveService) - Infineon Technologies AG - c:\WINDOWS\system32\IfxPsdSv.exe
O23 - Service: Radia Management Agent (rma) - Unknown owner - C:/Novadigm/ManagementAgent/nvdkit.exe (file missing)
O23 - Service: SecureLockWare ??????? (SecureLockWare_InputPassword) - BUFFALO INC. - C:\Programme\BUFFALO\Encrdisk\ENCRDLG.exe
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Programme\Skype\Updater\Updater.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Programme\TuneUp Utilities 2011\TuneUpUtilitiesService32.exe
O23 - Service: UMVPFSrv - Logitech Inc. - C:\Programme\Gemeinsame Dateien\logishrd\LVMVFM\UMVPFSrv.exe
O23 - Service: Vodafone Mobile Connect Service (VMCService) - Vodafone - C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe
O23 - Service: vToolbarUpdater10.2.0 - Unknown owner - C:\Programme\Gemeinsame Dateien\AVG Secure Search\vToolbarUpdater\10.2.0\ToolbarUpdater.exe
O23 - Service: WD SmartWare Drive Manager (WDDMService) - WDC - C:\Programme\Western Digital\WD SmartWare\WD Drive Manager\WDDMService.exe
O23 - Service: WD SmartWare Background Service (WDSmartWareBackgroundService) - Memeo - C:\Programme\Western Digital\WD SmartWare\Front Parlor\WDSmartWareBackgroundService.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

--
End of file - 17332 bytes



[Docc]

Hallo Wernsy,

die veränderte Start-/Suchseite ist nicht dein einziges Problem. Aus welcher Downloadquelle stammt dein Firefox 12.0 ? Angesichts des gesamten Systems ist das aber nur eine Marginalie.

Lade dir bitte Malwarebytes Anti-Malware runter, dann das Tool updaten, einen Full-Scan durchführen. Anschließend ein Logfile erstellen und hier posten. - Funde bitte nicht löschen, sondern in Quarantäne verschieben!!!


blekkotb
Ask
SearchFree
spigot
pdfforge

Darüber hinaus ein bunter Reigen an Security Software. Sieht so aus, als hättest du immer wieder versuchst, dein System abzusichern. Was aber gründlich in die Hose ging. Malwareprobleme gab es auch schon in der Vergangenheit.

Code: Alles auswählen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bProtectorForWindows\2.0.392.106\bProtect.exe

c:\dokume~1\alluse~1\anwend~1\bprote~1\20392~1.106\protec~1.dll



Lade diese Dateien bitte einzeln bei VirusTotal.com hoch und poste die Links zu den Analyseergebnissen. - Und bitte nichts löschen!!

Code: Alles auswählen

C:\Programme\TuneUp Utilities 2011\TuneUpUtilitiesService32.exe
C:\Programme\Gemeinsame Dateien\AVG Secure Search\vToolbarUpdater\10.2.0\ToolbarUpdater.exe
C:\Programme\G DATA\InternetSecurity\AVK\AVKService.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Anti-phishing Domain Advisor\visicom_antiphishing.exe


Code: Alles auswählen

O2 - BHO: G Data WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G Data\InternetSecurity\WebFilter\AvkWebIE.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Updater For Spam Free Search Bar - {20a0be68-8fd9-4539-8712-ce3d1c1fdfc6} - C:\Programme\blekkotb\auxi\blekkoAu.dll
O2 - BHO: Spam Free Search Bar - {26c9e18c-3717-4be1-a225-04e4471f5b6e} - C:\Programme\blekkotb\blekkoDx.dll
O2 - BHO: AVG Security Toolbar - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Programme\AVG Secure Search\10.2.0.3\AVG Secure Search_toolbar.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\IE\4.6\pdfforgeToolbarIE.dll
O2 - BHO: G Data BankGuard - {BA3295CF-17ED-4F49-9E95-D999A0ADBFDC} - C:\Programme\Gemeinsame Dateien\G Data\AVKProxy\BanksafeBHO.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Credential Manager for HP ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - c:\Programme\Hewlett-Packard\IAM\Bin\ItIEAddIn.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: G Data WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G Data\InternetSecurity\WebFilter\AvkWebIE.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\IE\4.6\pdfforgeToolbarIE.dll
O3 - Toolbar: AVG Security Toolbar - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Programme\AVG Secure Search\10.2.0.3\AVG Secure Search_toolbar.dll
O3 - Toolbar: Spam Free Search Bar - {26c9e18c-3717-4be1-a225-04e4471f5b6e} - C:\Programme\blekkotb\blekkoDx.dll
O3 - Toolbar: Nero Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll


Diese BHOs und Toolbars sind verzichtbar und sollten vor allem aus Sicherheitsgründen entfernt werden. Zumal mindestens eine davon deine Start-Suchseite manipuliert.


TuneUp ist zwar nicht der vordergründige Auslöser deines Problems, dieses Spielzeugprogrämmchen liegt Windows lediglich sehr schwer auf dem Magen, frisst Systemressourcen und verbiegt die Windowsarchitektur, was regelmäßig nur durch eine Neuinstallation rückgängig gemacht werden kann.

Nero hat dir mindestens eine weitere deiner zahlreichen Searchbars untergejubelt. Dabei ist Nero genauso verzichtbar wie TuneUp. Für Nero gibt es sehr gute kostenlose Alternativen (z.B. CDBurnerXP), die das System wesentlich weniger belasten und sogar deutlich leistungsfähiger sind.

Immerhin ist Acronis installiert. Sofern damit regelmäßige Images angefertigt wurden, wäre das die mit Abstand ökonomischste Option den Rechner wieder in einen vertrauenswürdigen Zustand zu überführen.

gruß,
docc

[Bernd.]

Ich ergänze deine Auszüge um

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Anti-phishing Domain Advisor\visicom_antiphishing.exe

(sorry, hast du schon genannt, sehe ich grad)
und

C:\WINDOWS\system32\AccelerometerSt.exe

Ich finden bei Google keine sonderliche Hilfen, nur

Die Datei AccelerometerSt.exe gehört zu dem Programm 3D Drive Guard des Herstellers unbekannt. Ihre Aufgabe: AccelerometerSt.exe bietet schnellen Zugriff auf die wichtigsten Funktionen der Software.
Üblicherweise liegt AccelerometerSt.exe im Verzeichnis %windir%\system32. Befindet sich die Datei auf Ihrem PC in einem anderen Ordner, haben Sie dies bei der Installation der Software eventuell ausgewählt. Unter Umständen deutet dies aber auch auf einen Virenbefall hin.

Beim ersten Eintrag ist der Pfad recht ungewöhnlich - wenn Benutzer den UAC komplett verneint, landen Programme im Benutzerordner, aber nicht bei allen Benutzern (all users). D.h. dieser Benutzer ist regulär auch als Admin unterwegs und somit können mangelnde Rechte eher keine Ursache für den Zielpfad sein. Das spricht dann mehr für Malware.

blekkoDx.dll

wir im Zusammenhang mit findamo gelistet.

Weiter

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

http://www.cexx.org/lspfix.htm

pdfforge ist eine reine Toolbarschleuder und als Programm alles andere als toll. Ich kann nachvollziehen, wenn Benutzer Geld sparen möchten und sich mit Freeware auseinandersetzen. Manchmal halte ich das für den falschen Weg. Nero als Folge von gutem Marketing, Tuneup ebenso.

Allerdings bin ich kein Freund von CDBurnerXP, also da gibt es wesentlich bessere Freeware, die unter anderem NICHT auf .NET baut (Starburn, BurnAware uva.)

#abgetrennt

MfG

[Wernsy]

Hallo Docc,

Anbei das Ergebnis von Virustotal fuer die 2 Dateien, welche Du vorgeschlagen hast.

Ich hoffe Du kannst damit etwas anfangen.

Mit besten Gruessen,

Wernsy


bProtect.exe und protec~1.dll

Code: Alles auswählen

SHA256: 8be3f7c342ce298d8ca1061a2de5202ef6e875f810fd7e93c34ab4e918780d10
File
name: bProtect.exe
Detection
ratio: 0 / 42
Analysis
date: 2012-05-03 21:16:17 UTC ( 1 Minute ago )
0
0
More details
Antivirus Result Update
AhnLab-V3 - 20120503
AntiVir - 20120503
Antiy-AVL - 20120503
Avast - 20120503
AVG - 20120503
BitDefender - 20120503
ByteHero - 20120502
CAT-QuickHeal - 20120503
ClamAV - 20120503
Commtouch - 20120503
Comodo - 20120503
DrWeb - 20120503
Emsisoft - 20120503
eSafe - 20120502
eTrust-Vet - 20120503
F-Prot - 20120503
F-Secure - 20120503
Fortinet - 20120503
GData - 20120503
Ikarus - 20120503
Jiangmin - 20120503
K7AntiVirus - 20120502
Kaspersky - 20120503
McAfee - 20120503
Community
Statistics
FAQ
About
Dokumentation
Join our community
Sign in
Antivirus scan for b8869754c1c84db9846800399bfccb9a at 2012-05-03 21:16:17 UTC - VirusTotal Seite 1 von 4
mhtml:file://C:\Dokumente und Einstellungen\Administrator\Desktop\Antivirus scan for b8869754c1c84d... 04.05.2012
Comments
Votes
Additional information
No comments
You have not signed in. Only registered users can leave comments, sign in and have a voice!
McAfee-GW-Edition - 20120503
Microsoft - 20120503
NOD32 - 20120503
Norman - 20120503
nProtect - 20120503
Panda - 20120503
PCTools - 20120503
Rising - 20120502
Sophos - 20120503
SUPERAntiSpyware - 20120411
Symantec - 20120503
TheHacker - 20120503
TrendMicro - 20120503
TrendMicro-HouseCall - 20120503
VBA32 - 20120503
VIPRE - 20120503
ViRobot - 20120503
VirusBuster - 20120503
ssdeep
24576:tyTXJHvRJWu9rqsD3BEAF2yHf7y70cR8fRVpH2WC2x3OJ2Om2HP/eAYda0:ohuu9rqszBbI45fJOJ2Om2v/eAKP
TrID
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
ExifTool
SpecialBuild.............: 2,0,392,106
SubsystemVersion.........: 5.0
InitializedDataSize......: 515584
ImageVersion.............: 0.0
ProductName..............: bProtector Engine
FileVersionNumber........: 2.0.392.106
UninitializedDataSize....: 0
LanguageCode.............: Ukrainian
FileFlagsMask............: 0x0017
CharacterSet.............: Unicode
LinkerVersion............: 9.0
PrivateBuild.............: 2,0,392,106
MIMEType.................: application/octet-stream
Subsystem................: Windows GUI
FileVersion..............: 2,0,392,106
TimeStamp................: 2012:04:05 11:07:40+02:00
FileType.................: Win32 EXE
PEType...................: PE32
ProductVersion...........: 2,0,392,106
FileDescription..........: bProtector Engine
OSVersion................: 5.0
Antivirus scan for b8869754c1c84db9846800399bfccb9a at 2012-05-03 21:16:17 UTC - VirusTotal Seite 2 von 4
mhtml:file://C:\Dokumente und Einstellungen\Administrator\Desktop\Antivirus scan for b8869754c1c84d... 04.05.2012
FileOS...................: Win32
LegalCopyright...........: Copyright (C) 2011
MachineType..............: Intel 386 or later, and compatibles
CompanyName..............: bProtector
CodeSize.................: 919552
FileSubtype..............: 0
ProductVersionNumber.....: 2.0.392.106
EntryPoint...............: 0x61118
ObjectFileType...........: Unknown
Sigcheck
publisher................: bProtector
product..................: bProtector Engine
copyright................: Copyright (C) 2011
file version.............: 2,0,392,106
signing date.............: 11:07 AM 4/5/2012
signers..................: Performersoft LLC
Go Daddy Secure Certification Authority
Go Daddy Class 2 Certification Authority
description..............: bProtector Engine
Portable Executable structural information
Compilation timedatestamp.....: 2012-04-05 09:07:40
Target machine................: 0x14C (Intel 386 or later processors and compatible processors)
Entry point address...........: 0x00061118
PE Sections...................:
Name Virtual Address Virtual Size Raw Size Entropy MD5
.text 4096 919305 919552 6.58 8f59ee96c05c9370b0e2789becb2629d
.rdata 925696 223336 223744 5.45 30a5b38115b7981605eec5f2606d3eb8
.data 1150976 83612 43008 4.95 3c0ee1e346c4e7f51de518083e69b42d
.tls 1236992 2 512 0.00 bf619eac0cdf3f68d496ea9344137e8b
.rsrc 1241088 134100 134144 5.73 28d61668a6e476a53e4a22d58e1cdf84
.reloc 1376256 113772 114176 3.09 fbb477b3c198f3805fe24e4c0c619a33
PE Imports....................:
USERENV.dll
CreateEnvironmentBlock
OLEAUT32.dll
-, -, -, -, -, -, -, -, -, -
GDI32.dll
CreateFontIndirectW, GetObjectW, SelectObject, SetBkMode, SetTextColor, Rectangle, CreatePen, DeleteDC, RoundRect, CreateSolidBrush, CreatePatternBrush, CreateCompatibleDC, SHELL32.dll
SHGetSpecialFolderPathW
KERNEL32.dll
GetModuleHandleW, GetDiskFreeSpaceA, GetFullPathNameW, GetFullPathNameA, FormatMessageW, GetTempPathA, GetSystemTime, GetFileAttributesExW, GetFileAttributesW, UxTheme.dll
DrawThemeBackground, DrawThemeParentBackground, IsThemeBackgroundPartiallyTransparent, OpenThemeData, CloseThemeData
WTSAPI32.dll
WTSQueryUserToken
ADVAPI32.dll
ConvertStringSecurityDescriptorToSecurityDescriptorW, StartServiceCtrlDispatcherW, RegisterServiceCtrlHandlerW, GetTokenInformation, DuplicateTokenEx, CreateProcessAsUserW, RPCRT4.dll
UuidFromStringA
ole32.dll
CoCreateInstance, CoUninitialize, CoInitialize, StringFromGUID2, CoInitializeEx, CoInitializeSecurity, CoSetProxyBlanket
SHLWAPI.dll
StrCpyW, PathAppendW, PathFileExistsW, PathStripPathW, StrCmpW
USER32.dll
GetWindowTextW, DrawTextW, DefWindowProcW, GetSystemMetrics, GetClientRect, BeginPaint, LoadImageW, DialogBoxParamW, GetWindowTextLengthW, GetCursorPos, TrackMouseEvent, WINHTTP.dll
WinHttpCloseHandle, WinHttpGetProxyForUrl, WinHttpGetIEProxyConfigForCurrentUser, WinHttpSetOption, WinHttpSetStatusCallback, WinHttpReceiveResponse, WinHttpAddRequestHeaders, PE Exports....................:
Symantec Reputation
Suspicious.Insight
Antivirus scan for b8869754c1c84db9846800399bfccb9a at 2012-05-03 21:16:17 UTC - VirusTotal Seite 3 von 4
mhtml:file://C:\Dokumente und Einstellungen\Administrator\Desktop\Antivirus scan for b8869754c1c84d... 04.05.2012
2012-04-23 12:00:12 UTC ( 1 Woche, 3 Tage ago )
Last seen by VirusTotal
2012-05-03 21:16:17 UTC ( 1 Minute ago )
File names (max. 25)
1. drop/b8869754c1c84db9846800399bf
2. file-3841326_exe
3. 7924F8C2F8A3EF9BFFB4150C23F18F0065E354FF.exe
4. bProtect.exe
Antivirus scan for b8869754c1c84db9846800399bfccb9a at 2012-05-03 21:16:17 UTC - VirusTotal Seite 4 von 4
mhtml:file://C:\Dokumente und Einstellungen\Administrator\Desktop\Antivirus scan for b8869754c1c84d... 04.05.2012






SHA256: 8804f130e6fa47b3404047dbd040730a3ee0b39b238ef32ff90666a52c4404d1
File
name: protec~1.dll
Detection
ratio: 0 / 42
Analysis
date: 2012-05-03 21:10:11 UTC ( 1 Minute ago )
0
0
More details
Antivirus Result Update
AhnLab-V3 - 20120503
AntiVir - 20120503
Antiy-AVL - 20120503
Avast - 20120503
AVG - 20120503
BitDefender - 20120503
ByteHero - 20120502
CAT-QuickHeal - 20120503
ClamAV - 20120503
Commtouch - 20120503
Comodo - 20120503
DrWeb - 20120503
Emsisoft - 20120503
eSafe - 20120502
eTrust-Vet - 20120503
F-Prot - 20120503
F-Secure - 20120503
Fortinet - 20120503
GData - 20120503
Ikarus - 20120503
Jiangmin - 20120503
K7AntiVirus - 20120502
Kaspersky - 20120503
McAfee - 20120503
Community
Statistics
FAQ
About
Dokumentation
Join our community
Sign in
Antivirus scan for 223ccaf5640fcf826fc0a6e60ba93306 at 2012-05-03 21:10:11 UTC - VirusTotal Seite 1 von 4
mhtml:file://C:\Dokumente und Einstellungen\Administrator\Desktop\Antivirus scan for at UTC - VirusT... 04.05.2012
Comments
Votes
Additional information
No comments
You have not signed in. Only registered users can leave comments, sign in and have a voice!
McAfee-GW-Edition - 20120503
Microsoft - 20120503
NOD32 - 20120503
Norman - 20120503
nProtect - 20120503
Panda - 20120503
PCTools - 20120503
Rising - 20120502
Sophos - 20120503
SUPERAntiSpyware - 20120411
Symantec - 20120503
TheHacker - 20120503
TrendMicro - 20120503
TrendMicro-HouseCall - 20120503
VBA32 - 20120503
VIPRE - 20120503
ViRobot - 20120503
VirusBuster - 20120503
ssdeep
24576:GFo3lnqibm2SHnbn3REdvMipPyBiYeY9mKPXxVC3YdCSFTNdApp:Go3lqHSFpOmQXxVLdCATNdApp
TrID
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
ExifTool
SpecialBuild.............: 2,0,392,106
SubsystemVersion.........: 5.0
InitializedDataSize......: 523776
ImageVersion.............: 0.0
ProductName..............: bProtector
FileVersionNumber........: 2.0.392.106
UninitializedDataSize....: 0
LanguageCode.............: English (U.S.)
FileFlagsMask............: 0x003f
CharacterSet.............: Windows, Latin1
LinkerVersion............: 9.0
PrivateBuild.............: 2,0,392,106
MIMEType.................: application/octet-stream
Subsystem................: Windows GUI
FileVersion..............: 2,0,392,106
TimeStamp................: 2012:04:05 11:07:36+02:00
FileType.................: Win32 DLL
PEType...................: PE32
ProductVersion...........: 2,0,392,106
FileDescription..........: bProtector
OSVersion................: 5.0
Antivirus scan for 223ccaf5640fcf826fc0a6e60ba93306 at 2012-05-03 21:10:11 UTC - VirusTotal Seite 2 von 4
mhtml:file://C:\Dokumente und Einstellungen\Administrator\Desktop\Antivirus scan for at UTC - VirusT... 04.05.2012
FileOS...................: Win32
LegalCopyright...........: Copyright 2011
MachineType..............: Intel 386 or later, and compatibles
CompanyName..............: bProtector
CodeSize.................: 1187840
FileSubtype..............: 0
ProductVersionNumber.....: 2.0.392.106
EntryPoint...............: 0xf0860
ObjectFileType...........: Executable application
Sigcheck
publisher................: bProtector
product..................: bProtector
copyright................: Copyright 2011
file version.............: 2,0,392,106
signing date.............: 11:07 AM 4/5/2012
signers..................: Performersoft LLC
Go Daddy Secure Certification Authority
Go Daddy Class 2 Certification Authority
description..............: bProtector
Portable Executable structural information
Compilation timedatestamp.....: 2012-04-05 09:07:36
Target machine................: 0x14C (Intel 386 or later processors and compatible processors)
Entry point address...........: 0x000F0860
PE Sections...................:
Name Virtual Address Virtual Size Raw Size Entropy MD5
.text 4096 1187774 1187840 6.60 d7b8e8a7faf32b3ad62ead1a539e122a
.rdata 1191936 332054 332288 5.53 d303b03c52c1fd67ddfc026d549f45cf
.data 1527808 133276 65536 4.92 ce040fa37abff59782fae19c0d1e82a1
.tls 1662976 2 512 0.00 bf619eac0cdf3f68d496ea9344137e8b
.rsrc 1667072 1200 1536 4.61 f5a85564fe79ead1db6924d39f053f68
.reloc 1671168 123604 123904 3.61 c0180ca36e7c5cd85f010f2d92ca6ccc
PE Imports....................:
imagehlp.dll
ImageDirectoryEntryToData
SHELL32.dll
SHGetSpecialFolderPathW
KERNEL32.dll
CreateMutexA, MultiByteToWideChar, ReleaseMutex, CreateFileW, GetLastError, CreateDirectoryW, lstrlenA, ResetEvent, GlobalFree, ReadFile, SetFilePointer, GetFileSizeEx, OLEAUT32.dll
-, -, -, -, -, -, -
ADVAPI32.dll
RegDeleteKeyW, RegNotifyChangeKeyValue, RegCreateKeyExW, RegDeleteValueW, RegSetValueExW, RegQueryValueExW, RegOpenKeyExW, RegCloseKey, InitializeSecurityDescriptor, RPCRT4.dll
UuidToStringW, RpcStringFreeW
PSAPI.DLL
EnumProcessModules, GetModuleInformation
SHLWAPI.dll
PathFileExistsW, PathStripPathW, PathAppendW, StrCmpW, PathRemoveExtensionW, PathIsDirectoryW, PathFindFileNameW, StrCmpIW, PathFindExtensionW, PathRenameExtensionW
ole32.dll
CoCreateInstance, CoInitialize, CoUninitialize
USER32.dll
KillTimer, CallNextHookEx, PeekMessageW, GetMessageW, TranslateMessage, GetClassNameA, IsWindow, GetClassNameW, RegisterWindowMessageW, DispatchMessageW
WINHTTP.dll
WinHttpSetStatusCallback, WinHttpConnect, WinHttpQueryDataAvailable, WinHttpReadData, WinHttpQueryHeaders, WinHttpAddRequestHeaders, WinHttpReceiveResponse, PE Exports....................:
InitMonitor, ProtectedDebugProc, ProtectedShellProc
Symantec Reputation
Suspicious.Insight
First seen by VirusTotal
2012-04-21 12:53:05 UTC ( 1 Woche, 5 Tage ago )
Last seen by VirusTotal
Antivirus scan for 223ccaf5640fcf826fc0a6e60ba93306 at 2012-05-03 21:10:11 UTC - VirusTotal Seite 3 von 4
mhtml:file://C:\Dokumente und Einstellungen\Administrator\Desktop\Antivirus scan for at UTC - VirusT... 04.05.2012
2012-05-03 21:10:11 UTC ( 1 Minute ago )
File names (max. 25)
1. protector.dll
2. 56EC358FF8C5AA3337F01A0E22EA1600DB92500C.dll
3. file-3854109_dll
4. protec~1.dll
Antivirus scan for 223ccaf5640fcf826fc0a6e60ba93306 at 2012-05-03 21:10:11 UTC - VirusTotal Seite 4 von 4
mhtml:file://C:\Dokumente und Einstellungen\Administrator\Desktop\Antivirus scan for at UTC - VirusT... 04.05.2012

[Wernsy]

Hallo Docc,

Hier noch wie von Dir vorgeschlagen das Ergebnis des Malwarebytes Scans.

Vielen Dank im voraus,

Wernsy

Code: Alles auswählen

Malwarebytes Anti-Malware 1.61.0.1400
http://www.malwarebytes.org

Datenbank Version: v2012.04.27.09

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Administrator :: ...[Administrator]

27.04.2012 22:46:21
mbam-log-2012-04-27 (22-46-21).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 352794
Laufzeit: 16 Stunde(n), 56 Minute(n), 36 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 1
C:\WINDOWS\AAA (Trojan.Dropper) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 6
C:\Dokumente und Einstellungen\Administrator\Desktop\Snapshot\SoftonicDownloader_fuer_free-screen-capturer.exe (PUP.ToolbarDownloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\SoftonicDownloader_fuer_merge-mp3.exe (PUP.ToolbarDownloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\zoola_findamo_bundle.exe (PUP.BundleInstaller.IB) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Magic Audio Joiner\plugins\ffmpeg.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{892ECF4F-D4BE-461C-A62D-25C61887AFF6}\RP734\A0146372.exe (PUP.ToolbarDownloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{892ECF4F-D4BE-461C-A62D-25C61887AFF6}\RP734\A0146373.exe (PUP.ToolbarDownloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

[Bernd.]

Bitte keine Berichte von Virustotal kopieren und schon gar nicht ohne CODE drum rum


Es liest sich einfach nur extrem bescheiden. So wäre es besser gewesen:

https://www.virustotal.com/file/8be3f7c ... /analysis/
https://www.virustotal.com/file/8804f13 ... /analysis/

Zu Malwarebytes, du wurdest gebeten:

Funde bitte nicht löschen, sondern in Quarantäne verschieben

Aber du hast

Infizierte Dateien: 6
C:\Dokumente und Einstellungen\Administrator\Desktop\Snapshot\SoftonicDownloader_fuer_free-screen-capturer.exe (PUP.ToolbarDownloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\SoftonicDownloader_fuer_merge-mp3.exe (PUP.ToolbarDownloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\zoola_findamo_bundle.exe (PUP.BundleInstaller.IB) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Magic Audio Joiner\plugins\ffmpeg.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{892ECF4F-D4BE-461C-A62D-25C61887AFF6}\RP734\A0146372.exe (PUP.ToolbarDownloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{892ECF4F-D4BE-461C-A62D-25C61887AFF6}\RP734\A0146373.exe (PUP.ToolbarDownloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Damit hast du eine weitere Analyse für

C:\Programme\Magic Audio Joiner\plugins\ffmpeg.exe (Trojan.Agent)

vereitelt. DU müsstest diese Datei wiederherstellen und ebenfalls auf VT hochladen (und das Ergebnis NUR verlinken)
https://www.virustotal.com/
Die Toolbars sind momentan nebensächlich, warum der Audi-Video-Konverter FFMPEG als Trojaner festgestellt wurde, ist wichtig.
Test von http://www.magicaudiotools.com/magic-audio-joiner
Gleiches Ergebnis, aber - ich habe VT für dich übernommen

https://www.virustotal.com/file/36a97dd ... 336210337/

Diese Version ist sehr alt, von 2009. In den letzten Jahren wurden in einigen Programmen Lücken entdeckt, weil deren Compiler diese Fehler beinhalteten. Ich hatte ja schon weiter oben verkündet, dass Freeware nicht immer Vorteile bringt, manche Produkte werden nicht mehr weitergepflegt und dann kommt es zu solchen Ausbrüchen wie hier.

Daher deklariere ich dass Ergebnis von Malwarebytes nicht als Fehlalarm, sondern als folgerichtig.

Was bleibt, ist diese nicht kausale Aussage

Ich habe Firefox 12.0 installiert und seitdem habe ich ein Problem mit der Seite findamo.com

Firefox beinhaltet nichts dergleichen, vorausgesetzt, du hast ihn von hier geladen
http://www.mozilla-europe.org/de/
oder das automatische Update benutzt.

Aufgrund der bisherigen Berichte und die massenhaft drin aufgezählten Toolbars empfehle ich, dass du dich mit einer Neuinstallation von Windows vertraut machst und im weiteren genauer auf deine Auswahl von Software achtest und diese dann nicht mit der Standardvorgabe installierst, sondern dort genauer hinschaust, was du durchklickst. Das Problem hast du also selbst verursacht, um das auf den Punkt zu bringen.

Wenn du vorab ein Produkt testen möchtest, und auch dessen Auswirkungen, solltest du dich mit einer Sandbox beschäftigen. Die bekanntesten beiden sind
http://sandboxie.com/
und
http://www.trustware.com/BufferZone-Pro/

Beides Freeware, aktuell und selbst in Nutzung. Bei Nichtgefallen eines Produktes oder etwaigen Nebenwirkungen - diese lassen sich durch Einsicht in die Box erkennen - einfach die Box leeren. Im anderen Fall Box leeren und das Programm in echt installieren.

Nachtrag - was die besagte Software angeht, ich sehe grad, dass es kostenpflichtige Software ist. Für ein bezahltes Produkt ist es noch wichtiger, aktuell zu sein. Zum einen erwarten Kunden diesen Service, zum anderen kann man durch unentdeckte Lücken regresspflichtig werden.
Also Bonbon - ich bekomme immer Argwohn, wenn Webseiten auch auf Russisch angeboten werden. Ich möchte generell nichts unterstellen, aber entweder sind das Plagiatprodukte, also günstig nachgemachte, oder mit anderen Nebenwirkungen (siehe oben).

Alternativen kann ich mangels Zeit derzeit nicht anbieten, evtl wäre AudaCity ein Kandidat http://audacity.sourceforge.net/?lang=de

MfG

[Wernsy]

Hallo Bernd und Docc,

Vielen Dank für Deine ausführliche Analyse und Antwort. Ich hoffe das war in der Gesamtzeit noch vertraeglich.

Im wesentlichen habe ich alle EureRatschlaege befolgt und abgearbeit, zusaetzlich hat mir G-Data auch gleich noch ein Update ihrer 2013er Version im voraus gegeben.

Ich habe jetzt das Findamoproblem damit geloest, das ich auch den Internetexplorer komplett deinstalliert habe und alle persoenlichen Einstellung von Firefox und Internetexplorer ebenfalls gleich mitgeloescht habe.

Jedenfalls vielen herzlichen Dank noch einmal fuer Eure Muehe und Arbeit,

Sehr gut und wichtig, dass es solche Leute wie Euch und die anderen, welche im Chat geholfen haben, gibt.

Mit besten Gruessen,

Wernsy

[Bernd.]

Danke für die Rückmeldung, ich habe dir eben noch anderweitig etwas länger geantwortet. Ich hoffe, du kannst davon noch etwas mitnehmen. Für die Zukunft alle Daumen, Kopf hoch, Augen auf, Finger vom Abzug

MfG