und der Autostart Ordner ist nie leer es sei denn du hast ihn dazu hin bearbeitet.

Selbstverständlich ist der "Ordner Autostart" leer, es sei denn, man zwingt dort gewaltsam Programme bzw. die Verknüpfung dazu hinein!!

Gemeint ist hier allerdings der "Systemstart", nur das sind zweierlei Dinge.

Zur Sache:

Was ist das??


O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei-4/CursorManiaInitialSetup1.0.1.1.cab

Schädlinge auf dem Rechner:

C:\Program Files (x86)\SweetIM\Messenger\SweetIM.exe

Deinstallieren!!

Überflüssiger Systemstart:

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files (x86)\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files (x86)\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [swg] "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

Windowstaste + R, dann >   msconfig   eintippen, ok.
Reiter "Systemstart", Haken raus bei obigen Einträgen, ebenso bei Quicktime und Bonjour.
Dann in Verwaltung->Dienste nachsehen, den Starttyp der genannten Sachen auf "Manuell" stellen.
 Neustart.

...sind jetzt schon 19 (!) infizierte Objekte!!!
Ohgottogottogott!!!!!!  ???

..ich war aber bei den Autostartprogrammen Sir Carpenter.
und vorher sollte sie das Betriebssystem angeben!
 

@copy:
25 infizierte Dinger gefunden!!! Was mach ich damit?
Steht Adware vor...

alle Funde löschen und Report posten.

Hallo Copy - hier das Ergebnis:

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 4016

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

21.04.2010 20:42:39
mbam-log-2010-04-21 (20-42-39).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 109181
Laufzeit: 3 Minute(n), 45 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 25
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{a4730ebe-43a6-443e-9776-36915d323ad3} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00a6faf1-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00a6faf6-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07b18ea9-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07b18eab-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{00a6faf1-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{07b18ea1-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{07b18ea9-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{59c7fc09-1c83-4648-b3e6-003d2bbc7481} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68af847f-6e91-45dd-9b68-d6a12c30e5d7} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9170b96c-28d4-4626-8358-27e6caeef907} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{d1a71fa0-ff48-48dd-9b6d-7a13a3e42127} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{ddb1968e-ead6-40fd-8dae-ff14757f60c7} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{f138d901-86f0-4383-99b6-9cdd406036da} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256a51-b582-467e-b8d4-7786eda79ae0} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\FocusInteractive (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Fun Web Products (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\FunWebProducts (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\RunDll32Policy\f3ScrCtr.dll (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\MyWebSearch (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
 

Hallo Sir Carpenter 

Ich befürchte O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei-4/CursorManiaInitialSetup1.0.1.1.cab

ist ein Virus???

Neustart
wie läuft dein System?
war schon viel drauf..ob es jemals wieder sicher wird?
Formatieren und Neuinstallieren ohne Datenrettung hast du dann noch zur Auswahl.

Hier handelt es sich ausschließlich um MyWebSearch, hervorgerufen durch SweetIM -> siehe meinen Bericht / Analyse aus Antwort #16..

Also nochmals, falls durch Malwarebytes nicht schon automatisch geschehen:

Systemsteuerung->Programme und Funktionen: dort SweetIM löschen, evtl ist dort auch MyWebSearch zu finden (eher nicht).

Browser (IE und FF) öffnen:Extras->Internetoptionen bzw. Extras->Einstellungen , dort die Startseite jeweils auf >>  about:blank  << ändern.

Addons in den Browsern (FF und IE) durchsehen, ALLE Toolbars dort deinstallieren / deaktivieren.!!

So, auch nach dem Neustart läuft es nicht so richtig, dauert wieder ewig lange, der Ton ist nach wie vor verzerrt...
Der Neustart hat lange gedauert, hatte sehr lange n schwarzes Bild, hab schon richtig Angst bekommen, dass ich den Laptop jetzt "abgeschossen" habe...
SweetIM hatte ich bereits vor dem Neustart deinstalliert, Google Toolbars sind auch deaktiviert.   

 

Bei der Add On-Verwaltung hab ich ja die Tioolbars gelöscht - aber da ist noch einiges mehr, wie z.B. Name            Microsoft Shell UI Helper und
Windows Media Player drin - die Sachen soll ich doch nicht deaktivieren, oder??? Nur die Toolbars, oder hab ich da was falsch vesrtanden?  Zwischendurch: Gaaaaaanz lieben Dank für eure Mühe!!

 

@Carpenter bzgl. #16:
Hab das mit dem msconfig versucht, wenn ich unter Systemkonfiguration auf den Reiter Systemstart gehe, finde ich aber keine 04-Dateien...
Quicktime und Bonjour finde ich auch nicht!
Mir qualmt schon der Kopf - ich bewundere euch, dass ihr so viel Ahnung habt und vor allem so viel Geduld mit mir! Wirklich!!!

Die Unterteilung / Bezeichnung "O4" ist auch lediglich von HijackThis, also keine Bange .
Wenn Bonjour und Quicktime dort nicht sind, auch gut, wenn auch seltsam. Zumindest Quicktime findet sich gewöhnlich im Systemstart.

Nächster Schritt: die Dienste überprüfen->

Systemsteuerung->Verwaltung->Dienste.

Dort findest du Bonjour zu 100% 

Und: JA, NUR DIE TOOLBARS löschen!!  

So, gefunden - Bonjour gehört der Vergangenheit an!

...und nun? ???