Verdacht auf Malware

cosinus · 20.06.2011, 09:00

Cookies und ein Überrest im alten Windows-Ordner.
Was ist mit ESET?

thomsch3 · 21.06.2011, 00:04

Hallo,

hier der Scan von ESET.

Zitat:

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6427
# api_version=3.0.2
# EOSSerial=f94e5a216cc8f24e919473335f7f9cc8
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-06-20 10:59:37
# local_time=2011-06-21 12:59:37 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=3586 16764926 60 25 25606097 186636304 0 0
# compatibility_mode=5892 16776574 100 95 11316868 146133180 0 0
# compatibility_mode=8192 67108863 100 0 346 346 0 0
# scanned=380157
# found=13
# cleaned=0
# scan_time=10368
C:\Windows.old\Users\Thomas Schmidt\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\1ST5WQOJ\purchase[1].php Win32/Adware.SpywareProtect2009 application (unable to clean) 00000000000000000000000000000000 I
C:\Windows.old\Users\Thomas Schmidt\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\37425HC9\upg[1].htm Win32/Adware.SpywareProtect2009 application (unable to clean) 00000000000000000000000000000000 I
C:\Windows.old\Users\Thomas Schmidt\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\A3TLN9ZM\bl[1].gif Win32/Adware.SpywareProtect2009 application (unable to clean) 00000000000000000000000000000000 I
C:\Windows.old\Users\Thomas Schmidt\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\A3TLN9ZM\purchase[1].php Win32/Adware.SpywareProtect2009 application (unable to clean) 00000000000000000000000000000000 I
C:\Windows.old\Users\Thomas Schmidt\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\AU7HIWDU\srp_metro_20090910[1].png Win32/Adware.SpywareProtect2009 application (unable to clean) 00000000000000000000000000000000 I
C:\Windows.old\Users\Thomas Schmidt\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\BJMTGCGL\srp_metro_yui3_201006181747[1].js Win32/Adware.SpywareProtect2009 application (unable to clean) 00000000000000000000000000000000 I
C:\Windows.old\Users\Thomas Schmidt\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TFAAVQ3W\purchase[1].php Win32/Adware.SpywareProtect2009 application (unable to clean) 00000000000000000000000000000000 I
C:\Windows.old\Users\Thomas Schmidt\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WJJJLOYK\srp_metro_yui3_201008171215[1].css Win32/Adware.SpywareProtect2009 application (unable to clean) 00000000000000000000000000000000 I
C:\Windows.old\Users\Thomas Schmidt\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\XL5T86D2\srp_metro_ie_yui3_201008171215[1].css Win32/Adware.SpywareProtect2009 application (unable to clean) 00000000000000000000000000000000 I
C:\Windows.old\Users\Thomas Schmidt\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\15\afb22cf-6d38d6a4 probably a variant of Java/Agent.BR trojan (unable to clean) 00000000000000000000000000000000 I
C:\Windows.old\Users\Thomas Schmidt\AppData\Roaming\66BAF626EBBD990E7BF537B96EDA788B\enemies-names.txt Win32/Adware.AntimalwareDoctor.AE.Gen application (unable to clean) 00000000000000000000000000000000 I
C:\Windows.old\Users\Thomas Schmidt\AppData\Roaming\66BAF626EBBD990E7BF537B96EDA788B\local.ini Win32/Adware.AntimalwareDoctor.AE.Gen application (unable to clean) 00000000000000000000000000000000 I
C:\Windows.old\Windows\System32\drivers\kbdhid.sys.XXX Win32/Olmarik.ZC trojan (unable to clean) 00000000000000000000000000000000 I

cosinus · 21.06.2011, 10:23

Alles Funde aus dem alten Windows (windows.old) -der Ordner kann auch prinzipiell komplett weg => Entfernen des Windows.old-Ordners, der generiert wird, wenn Sie eine benutzerdefinierte Installation von Windows Vista so durchführen

Rechner ansonsten wieder im Lot?

thomsch3 · 21.06.2011, 21:47

Hallo Arne,

habe windows.old gelöscht. Ansonsten sieht alles normal aus. Ich hoffe das ist es auch.
Vielen Dank für die akribische Hilfe.

Jetzt habe ich eine ganze Menge Malware-Analyseprogramme auf dem PC:
Malwarebytes, tdsskiller, MBRCheck, SUPERAntiSpyware, OTL, cofi, ...

Kann/soll das alles installiert bleiben oder muss sogar etwas davon deinstalliert werden ? Empfiehlt es sich Malwarebytes zu kaufen?

Gruß,
thomsch3

cosinus · 21.06.2011, 22:15

Dann wären wir durch!

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt.
Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken. Die Bezahlversion muss nicht unbedingt sein, schadet aber nicht und du hilsft dem MBAM-Team auch finanziell ein wenig.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

20.06.2011, 09:00	#16
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Verdacht auf Malware Cookies und ein Überrest im alten Windows-Ordner. Was ist mit ESET? __________________ Logfiles bitte immer in CODE-Tags posten

21.06.2011, 10:23	#18
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Verdacht auf Malware Alles Funde aus dem alten Windows (windows.old) -der Ordner kann auch prinzipiell komplett weg => Entfernen des Windows.old-Ordners, der generiert wird, wenn Sie eine benutzerdefinierte Installation von Windows Vista so durchführen Rechner ansonsten wieder im Lot? __________________ __________________

Verdacht auf Malware

Plagegeister aller Art und deren Bekämpfung: Verdacht auf Malware