Forum
Tipps
News
Menu-Icon

Adware.WidgiToolbar

Hallo,
Malwarebytes hat mir heute diese infiszierten Dateien angezeigt:

Infizierte Dateien:
C:\Programme\pdfforge Toolbar\WidgiHelper.exe (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
C:\Programme\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
J:\System Volume Information\_restore{89A389D5-C26D-47D0-BB99-12F7B602DB33}\RP239\A0061990.exe (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
J:\System Volume Information\_restore{89A389D5-C26D-47D0-BB99-12F7B602DB33}\RP239\A0061992.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully.

Ich habe alle entfernt (hoffentlich restlos). Soweit ich bis jetzt herausfinden konnte, muss ich diese Toolbar mit dem PDF-Creator (von Computerbild) geladen haben. Den PDF-Creator habe ich auch sofort gelöscht, obwohl dieser eigentlich sehr brauchbar ist. Ich habe dann von TunUp die 1.Klick-Wartung gemacht.

Meine Fragen sind nun:
Soll ich noch den CC-Cleaner benützen?
Ist diese WidgiToolbar wirklich gefährich? Was kann passieren?
Kann ich den PDF-Creator wieder laden, ohne die Toolbar - oder gibt es eine gute Alternative?

Gruß
Bosco

PS: Andererseits heisst "Quarantined and deleted successfully" doch übersetzt in etwa; "In Quarantäne erfolgreich gestellt bzw. gelöscht". Warum meldet dies dann Malwarebytes? 

« Letzte Änderung: 22.07.10, 20:23:48 von Bosco »


Antworten zu Adware.WidgiToolbar:

würde manuell die Registry zu der Toobar überprüfen/entfernen und vor dem Neustart alle Systemwiederherstellungspunkte löschen..bedeutet Risiko und du weißt was du dabei tust.
ansonsten ist Malewarebytes schon recht sicher..läßt sich nach einem Neustart überprüfen mit neuem scan und testen des Systems.

« Letzte Änderung: 22.07.10, 20:35:47 von copy »

..erst wenn das System wieder gut/fehlerfrei läuft setzt du einen neuen Systemwiederherstellungspunkt..Risiko..
ansonsten kannst du ja noch neu aufsetzen.

würde manuell die Registry zu der Toobar überprüfen/entfernen

Danke, aber wie finde ich diese Registry? Wie erwähnt, habe ich (glaube ich) alle Pos., die ich über die Suchfunktion finden konnte, dieser Toolbar und den PDF-Creator gelöscht.
Nochmals: Wenn MB schreibt . "Quarantined and deleted successfully" ist dann eigentlich wirklich noch ein Risiko?
Gruß
Bosco 

..schau mal wenn du noch nicht einmal den Weg zur Registry findest
Ausführen:regedit
dann glaube ich nicht das du dort selber Hand anlegen solltest..
mach einen Neustart..Malewarebytes update/scan/alle Funde löschen und wie läuft dein System denn jetzt?

..schau mal wenn du noch nicht einmal den Weg zur Registry findest


Den Weg finde ich schon - s. Anlage! Soll ich die PDF-Creator hier löschen? Im Explorer wird nichts mehr angezeigt.
Übrigens: Mein PC läuft eigentlich gut. Ich mache morgen nochmals einen Check mit MB. Aber warum steht in der Meldung: "Quarantined and deleted successfully"? >>>>> sorry, inzwischen auch klar - war bei MB in Quarantäne und ich habe die inzwischen gelöscht (ich habe MB zum ersten Mal angewandt).
Bosco 
« Letzte Änderung: 22.07.10, 21:29:40 von Bosco »

du mußt zuerst nach der Widgi.exe(WidgiToolbar) suchen und danach oder wenn du nichts dazu findest kannst du es löschen..gebe dazu aber keine Gewähr da ich dein System 0 kenne und noch nicht einmal davor sitze. 

du mußt zuerst nach der Widgi.exe(WidgiToolbar) suchen und danach oder wenn du nichts dazu findest kannst du es löschen

Widgi.exe habe ich nicht gefunden. PDF-Creator + Print habe ich aus der Registrierung gelöscht. Etwas ließ sich nicht löschen - s. Anhang.

Malwarebytes brachte jetzt folgendes Ergebnis:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4339

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

23.07.2010 18:47:55
mbam-log-2010-07-23 (18-47-55).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|J:\|)
Durchsuchte Objekte: 266879
Laufzeit: 56 Minute(n), 2 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Die Logdatei sieht wie folgt aus:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:24:47, on 23.07.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
J:\WINDOWS\System32\smss.exe
J:\WINDOWS\system32\winlogon.exe
J:\WINDOWS\system32\services.exe
J:\WINDOWS\system32\lsass.exe
J:\WINDOWS\system32\Ati2evxx.exe
J:\WINDOWS\system32\svchost.exe
J:\WINDOWS\System32\svchost.exe
J:\WINDOWS\system32\Ati2evxx.exe
J:\WINDOWS\system32\spoolsv.exe
J:\WINDOWS\Explorer.EXE
J:\Programme\F-Secure Internet Security\Common\FSM32.EXE
J:\WINDOWS\Dit.exe
D:\Programme\Geburtstagsmanager\burz.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
J:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
J:\WINDOWS\system32\ctfmon.exe
J:\Programme\HDD Health\hddhealth.exe
C:\Programme\PSI\psi.exe
J:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
J:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
J:\Programme\Gemeinsame Dateien\DATA BECKER Shared\DBService.exe
J:\Programme\Gemeinsame Dateien\Sony Ericsson\Emma Core\Services\EmmaDeviceMgmt.exe
J:\Programme\Gemeinsame Dateien\Sony Ericsson\Emma Core\Services\EmmaUpdateMgmt.exe
J:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
J:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
J:\Programme\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
J:\Programme\F-Secure Internet Security\Common\FSHDLL32.EXE
J:\Programme\Java\jre6\bin\jqs.exe
J:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Eigene Dateien\Eigene Dokumente\Handy\SupServ.exe
J:\Programme\OO Software\Defrag\oodag.exe
J:\WINDOWS\System32\svchost.exe
J:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
J:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
J:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
J:\Programme\F-Secure Internet Security\Anti-Virus\fssm32.exe
J:\Programme\F-Secure Internet Security\Anti-Virus\fsav32.exe
D:\Programme\snapsaver\snapsaver.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://kabelbw.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - J:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: LitmusBHO - {C6867EB7-8350-4856-877F-93CF8AE3DC9C} - J:\Programme\F-Secure Internet Security\NRS\iescript\baselitmus.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - J:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - J:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - J:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - J:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Browsing Protection Toolbar - {265EEE8E-3228-44D3-AEA5-F7FDF5860049} - J:\Programme\F-Secure Internet Security\NRS\iescript\baselitmus.dll
O4 - HKLM\..\Run: [F-Secure Manager] "J:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "J:\Programme\F-Secure Internet Security\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [NeroFilterCheck] J:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [OODefragTray] J:\Programme\OO Software\Defrag\oodtray.exe
O4 - HKLM\..\Run: [Adobe ARM] "J:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [GeburtstagsManager] D:\Programme\Geburtstagsmanager\burz.exe /silent
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "J:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] J:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [HDDHealth] J:\Programme\HDD Health\hddhealth.exe -wl
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Secunia PSI.lnk = C:\Programme\PSI\psi.exe
O4 - Global Startup: Denk Dran!.lnk = J:\Programme\DATA BECKER\Denk Dran!\BdR.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - J:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - J:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} (HidInputMonitorX Control) - file:///C:/Eigene%20Dateien/Eigene%20Videos/Weinlese_2009/components/hidinputmonitorx.ocx
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://L:\content\include\XPPatchInstaller.CAB
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {7030CC6C-1A88-4591-BB5A-651B9F7F0C30} (WMVHDRatingCtrl Class) - file:///C:/Eigene%20Dateien/Eigene%20Videos/Weinlese_2009/components/wmvhdrating.ocx
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - J:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - D:\Programme\PhotoshopElementsFileAgent.exe (file missing)
O23 - Service: Apple Mobile Device - Apple Inc. - J:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - J:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - J:\WINDOWS\system32\ati2sgag.exe
O23 - Service: DATA BECKER Update Service (DBService) - DATA BECKER GmbH & Co KG - J:\Programme\Gemeinsame Dateien\DATA BECKER Shared\DBService.exe
O23 - Service: Emma Device Management (EmmaDevMgmtSvc) - Sony Ericsson Mobile Communications - J:\Programme\Gemeinsame Dateien\Sony Ericsson\Emma Core\Services\EmmaDeviceMgmt.exe
O23 - Service: Emma Update Management (EmmaUpdMgmtSvc) - Sony Ericsson Mobile Communications - J:\Programme\Gemeinsame Dateien\Sony Ericsson\Emma Core\Services\EmmaUpdateMgmt.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - J:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - D:\Programme\Common\Database\bin\fbserver.exe (file missing)
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - J:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: FSMA - F-Secure Corporation - J:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: F-Secure ORSP Client (FSORSPClient) - F-Secure Corporation - J:\Programme\F-Secure Internet Security\ORSP Client\fsorsp.exe
O23 - Service: Google Update Service (gupdate1c9857e706f0ace) (gupdate1c9857e706f0ace) - Unknown owner - J:\Programme\Google\Update\GoogleUpdate.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - J:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - D:\Programme\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Sony Ericsson OMSI download service (OMSI download service) - Unknown owner - C:\Eigene Dateien\Eigene Dokumente\Handy\SupServ.exe
O23 - Service: O&O Defrag (OODefragAgent) - O&O Software GmbH - J:\Programme\OO Software\Defrag\oodag.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - J:\Programme\TuneUp Utilities 2010\TuneUpDefragService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - J:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
O23 - Service: UPnPService - Magix AG - J:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe

--
End of file - 9672 bytes

Ich hoffe, dass jetzt alles sauber ist. Interessieren würde mich aber immer noch, was eigentlich die WidgiToolbar tut - darüber konnte ich leider keine Info finden. Gibt es eine Möglichkeit, dies ausfindig zu machen?
Gruß
Bosco
....... und besten Dank für die Hilfe! 

Ich habe noch Folgendes herausbekommen:
Spyware-Liste
Steckbrief: WidgiToolbarIE.dll
Kategorie:    Programme
Eintrag vom:    19.03.2009
Beschreibung:    (C:\Programme\pdfforge Toolbar, C:\Programme\Search Settings\kb127, C:\Programme\Search Settings\kb125) pdfforge/Search Settings Toolbar, Vendio Toolbar, Add-on ''Search Settings Plugin", wird beim Installieren von PDFCreator mit angeboten, {E312764E-7706-43F1-8DAB-FCDD2B1E416D}, {B922D405-6D13-4A2B-AE89-08A030DA4402}, [SearchSettings], [SearchSettings Class], Setup-Sreenshot: pdfforge Toolbar deaktivieren
Varietäten:    

    * SearchSettings.dll

weitere Informationen:    pdfforge.mybrowserbar.com

Es scheint, dass das Risiko bei dieser Toolbar nicht allzu groß ist. Trotzdem möchte ich alle Spuren beseitigen und ich habe deshalb nochmals in der Registrierung nach "pdfforge" gesucht - Anzeige anbei - mir ist aber nicht klar, was ich nun tun soll. Soll ich versuchen, alle Pos. zu löschen oder dies einfach so lassen?

Gruß
Bosco

bevor du irgendwas löscht erstmal die Registry sichern
http://www.pcwissen.eu/registry-sichern-und-laden.html
dann da du unbedingt willst 000/002/003/004/005 löschen.

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

System ist sehr gut optimiert:
www.derfisch.de
Dort mal zu tuneup lesen....


dann da du unbedingt willst 000/002/003/004/005 löschen.

Ich will nicht unbedingt - mir ist nur nicht klar, ob es besser ist, wenn ich lösche oder es so lasse.
Danke für die Hilfe.

Gruß
Bosco
System ist sehr gut optimiert:
 

Ist das ernst gemeint? Wenn ja, woran kann man das sehen?

www.derfisch.de
Dort mal zu tuneup lesen....
Zitat

Sehr interessant. Ich habe TunUp schon länger und bisher noch kein Problem damit gehabt. Anderseits kann ich nicht sagen, ob mein PC ohne diese Software gleich gut oder schlechter laufen würde.

Gruß
Bosco
 

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Bislang warte ich immer noch auf nachprüfbare beweise,was Tuneup angeblich besser kann als microsoft als hersteller von Windows.
Ich habe mir mit dem pogramm vor langer zeit ein system zerschossen,seitdem meide ich derartige pogramme.

Ich habe mir mit dem pogramm vor langer zeit ein system zerschossen,seitdem meide ich derartige pogramme.

DAS habe ich mir gedacht ...
Und weil Du es nicht kannst / verstehst , versuchst Du jetzt , es allen anderen zu Vermiesen ...   8):o::);D

Lass doch bitte die Leute in Ruhe  mit deinen Miesmachereien.

Ich nutze TU seit TU2004  mit W98 und heute mit XP & Vista.
Immer OHNE Probleme !!
 
Einen Hinweis , dass TU NIX zum Rumspielen ist , gebe ich allerdings auch immer .

 
« Letzte Änderung: 26.07.10, 11:29:34 von Ava-Tar »

« Windows XP: Fenster 'Meldung von Webseite'Windows 7: laptop google error »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Dateiendungen
Die Dateiendung, auch Dateinamenerweiterung, Dateierweiterung oder einfach "Endung" genannt, besteht aus meistens drei oder vier Buchstaben und wird mit einem Punkt an de...

Dateiendung
Die Dateiendung ist ein Teil des Dateinamen und zeigt das Dateiformat an. Klassisch war die "8.3" Regelung, nach der der Dateiname under MS DOS 8 Zeichen lang sein durfte...

Registry
Die Windows Registry, auch Registrierdatenbank genannt, ist ein wichtiger Bestandteil von Windows. Hier werden die aktuellen Systemeinstellungen, aber auch alle installie...