Update:

Was sagt ihr zu der Datei?
Kann ich Sie löschen?
Bin ich sauber?
__________________________________________________________

Info: Hab nun etwas Software installiert (Antivir, AdobeReader, Firefox, Java, CCleaner, WMP 11, etc.)
__________________________________________________________

Hab auch noch kurze 3 Frage:

1. Kann man MBAM zusammen mit AntiVir laufen lassen oder sollte man es nur zum Scannen kurz anmachen?

2. Ist es ok wenn ich acht ''svchost.exe'' laufen hab?

3. Wichtig:

Da ich ab und zu von der Arbeit und Privat USB-Sticks, Festplatten, etc. mitbringe wollte ich zu Sicherheit die Autoplayfunktion deaktivieren.
Dazu wollte ich mich an diese Anleitung halten:

hxxp://www.hijackthis-forum.de/tipps-tricks/39167-autorun-funktion-ist-das.html

Hab dann von dem angegebenen Link ''Flash Disinfector'' runtergeladen und Antivir ist sofort angesprungen (war ja zu erwartem).

Code: Alles auswählenAufklappen

ATTFilter

In der Datei 'C:\Dokumente und Einstellungen\Joh\Desktop\Flash_Disinfector.exe'
wurde ein Virus oder unerwünschtes Programm 'APPL/NirCmd.2' [program] gefunden.
Ausgeführte Aktion: Zugriff erlauben

und

In der Datei 'C:\Dokumente und Einstellungen\Joh\Lokale Einstellungen\Temp\RmWDZSVI.exe.part'
wurde ein Virus oder unerwünschtes Programm 'APPL/NirCmd.2' [program] gefunden.
Ausgeführte Aktion: Zugriff erlauben

sowie

In der Datei 'C:\RECYCLER\S-1-5-21-1561945266-1189549105-2552527658-1006\Dc9.exe'
wurde ein Virus oder unerwünschtes Programm 'APPL/NirCmd.2' [program] gefunden.
Ausgeführte Aktion: Zugriff erlauben
         

Habs die Exe dann nacher in den Papierkorb gepackt und gelöscht.

Kurze Zeit später kahm dann aber folgende Meldung:

Code: Alles auswählenAufklappen

ATTFilter

Typ:	Datei
Quelle:	C:\System Volume Information\_restore{9425ECD7-B6A2-494A-AFA0-780C9EDB461F}\RP120\A0011207.exe
Status:	Infiziert
Quarantäne-Objekt:	4c359f01.qua
Wiederhergestellt:	NEIN
Zu Avira hochgeladen:	NEIN
Betriebssystem:	Windows 2000/XP/VISTA Workstation
Suchengine:	8.02.06.60
Virendefinitionsdatei:	7.11.14.161
Meldung:	Enthält Erkennungsmuster der Anwendung APPL/NirCmd.2
Datum/Uhrzeit:	12.09.2011, 00:51

Reaktion:

Die Datei 'C:\System Volume Information\_restore{9425ECD7-B6A2-494A-AFA0-780C9EDB461F}\RP120\A0011207.exe'
enthielt einen Virus oder unerwünschtes Programm 'APPL/NirCmd.2' [program].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c359f01.qua' verschoben!
         

Ich möchte das wieder komplett vom System runter werfen, eigentlich sollte es doch reichen die Datei noch aus der Quaratäne zu löschen!?

Danke & schönen Gruß,

Joh

Die Datei ist sauber, das schient einfach nur ein Log zu sein, was wohl irgendein Scanner angelegt hat. nach einer richtigen Neuinstallation kann jedenfall kein Schädling mehr aktiv sein.

1.) Ja, Malwarebytes verträgt sich mit AntiVir. Das ist aber die Ausnahme, sowas wie AVG und AntIVir sollte man nicht gleichzeitig betreiben.

2.) Ja das ist völlig normal.

Zitat:

Hab dann von dem angegebenen Link ''Flash Disinfector'' runtergeladen und Antivir ist sofort angesprungen (war ja zu erwartem).

FlashDiinfector ist KEINE Malware! Wenn man einen Virenscanner verwendet, muss man auch seine Meldungen interpretieren, nicht immer ist ein Fund gleich ein gefährlicher Schädling!
Statt dem FlashDisinfector würde es auch reichen nur die automatische Wiedergabe zu deaktivieren:

Automatische Wiedergabe deaktivieren:

Windows XP: Zur Vereinfachung hab ich mal die noautoplay.reg hochgeladen. Lad das auf dem Desktop herunter, führ die Datei aus und bestätige mit ja. Nach einem Neustart des Rechners ist die automatische Wiedergabe (von Datenträgern) auf allen Laufwerken deaktiviert, d.h. keine CD, kein Stick oder sonstwas startet nach dem Einstecken mehr automatisch.

Windows Vista/7: In der Systemsteuerung unter automatische Wiedergabe von CDs und anderen Medien alles deaktivieren. => siehe auch Einstellungen für automatische Wiedergabe ändern


Die Funde in System Volume Information wirst du durch das Deaktivieren der Systemwiederherstellung komplett los.

1. Fein, dann lösch ich das endlich mal.

2. ok.

3. Jo, wird da ja auch erwähnt aber ich will nicht das andauernd irgend ein Scanner anspringt.

Danke für den Tipp mit der Windows eigenen Deaktivierung. Werd ich machen!
Kann man das an jedem PC so anwenden?

4. Sooo, ich denke dann sind wir fertig.
Dann müssen wir doch nur noch die ganzen Reste von den anderen Scannern beseitigen, oder? (Hab ich in vielen anderen Threads gelesen, wills aber nicht allein machen).

Joh

Dann wären wir durch!

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt.
Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Wunderbar

Tut mir leid, war die Woche nicht Zuhause und kam dementsprechend nicht an den PC ran.

Zitat:

Zitat von cosinus

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt.

In meinem Fall hatten wir aber gar kein CF angewandt.
Hab in anderen Threads gelesen, dass die ganzen anderen Programme mit OTL entfernt wurden.

Also immoment hab ich noch verknüpfungen, Exe's, etc, von

- OTL
- TDDSSKiller
- Eset
- Defogger
- aswMBR

auf dem Desktop rumliegen.

Zitat:

Zitat von cosinus

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Was Secunia PSi angeht hab ich leider bisher nichts gutes gehört.
Da werd ich wohl lieber selber alles auf dem neusten Stand halten.

Sämtliche Passwörter sind bereits von einem sauberen System aus geändert worden!

Zitat:

Zitat von cosinus

Microsoftupdate

Windows XP:

PDF-Reader aktualisieren

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers..

Java-Update

Hab ich alles schon erledigt aber danke, dass du es noch mal erwähnst!

Zitat:

Zitat von cosinus

1.) Ja, Malwarebytes verträgt sich mit AntiVir. Das ist aber die Ausnahme, sowas wie AVG und AntIVir sollte man nicht gleichzeitig betreiben.

ok. danke. Hab auch nur AntiVir (und eben halt MBAM).

Glaube du hast die Frage hier überlesen:

Zitat:

Zitat von JoWü

Danke für den Tipp mit der Windows eigenen Deaktivierung. Werd ich machen!
Kann man das an jedem PC so anwenden?

Also, ob man die Variante mit der ’’noautoplay.reg’’ auf jedem (XP-)Rechner anwenden kann?

Zudem

wollte ich noch ne externe Fessi online scannen lassen aber irgendwie funktioniert das nicht mehr.

Bei Bitdefender

erscheint das nötige Active-X Steuerelement, welches ich ausführen muss nicht

und

bei Eset kommt irgendwas von ’’fehlerhafter Proxy’’.

Habe dann auch mal alles deaktiviert was da eventuell stören könnte,trotzdem tut sich nix..

Und

außerdem hat MBAM gestern folgendes angezeigt:

Abgehende Internetverbindung/Seite geblockt und dann eine IP.
Soweit Ich das feststellen konnte, geschieht das bei der Nutzung von Skype.

Hab dann mal gegoogelt und anscheinend ist das in diesem Fall ok bzw. normal oder wisst ihr/du da mehr/was neues?


Wenn es für dich ok ist und du mir an diese Stelle noch helfen magst/kannst wäre ich dir echt dankbar.
Kann später auch noch die vollständigen Fehlermeldungen posten.

Danke und besten Gruß,

JoWü

Zitat:

In meinem Fall hatten wir aber gar kein CF angewandt.

Ist auch ein "Standardbaustein" und lieber erwähn ich die CF-Deinstallation einmal zuviel als zuwenig.

Zitat:

Was Secunia PSi angeht hab ich leider bisher nichts gutes gehört.

Wo das? Mit welchen Argumenten? Ich kann Secunia nur dringend empfehlen, so entgeht einem kein wichtiges Updates mehr.
In Windows hat man zwar die automatischen Updates, die beziehen sich aber nur auf MS-Softwareprodukte...

Zitat:

Also, ob man die Variante mit der ’’noautoplay.reg’’ auf jedem (XP-)Rechner anwenden kann?

Ja, die kann man für jeden XP-Rechner verwenden.
Ab Windows Vista, also auch Windows7, kann man rel. komfortabel in der Systemsteuerung die automatische Wiedergabe einstellen.

Zitat:

und
bei Eset kommt irgendwas von ’’fehlerhafter Proxy’’.

Fehlerhafter Proxy?
Ist es das hier => http://www.trojaner-board.de/94344-p...n-pruefen.html

Zitat:

außerdem hat MBAM gestern folgendes angezeigt:

Abgehende Internetverbindung/Seite geblockt und dann eine IP.
Soweit Ich das feststellen konnte, geschieht das bei der Nutzung von Skype.

Das kann durchaus normal sein.

Zitat:

Zitat von cosinus

Ist auch ein "Standardbaustein" und lieber erwähn ich die CF-Deinstallation einmal zuviel als zuwenig.

oK, das leuchtet ein.

Trotzdem: Was soll ich mit dem Krempel machen den ich noch drauf hab?
Manuell löschen oder mit OTL?
Wenn mit OTL, kannst du mir ne kurze Anleitung geben?!

Zitat:

Zitat von cosinus

Wo das? Mit welchen Argumenten? Ich kann Secunia nur dringend empfehlen, so entgeht einem kein wichtiges Updates mehr.
In Windows hat man zwar die automatischen Updates, die beziehen sich aber nur auf MS-Softwareprodukte....

Allein schon bei den Kommantaren bei dem Download Link finden sich nur schlechte Bewertungen, weil das Programm anscheinend unter anderem die:

- Internetverbindung stört
- Firefox sprache umstellt
- Allgemein falsche Sprachausgaben installiert
- Updates trotz ausgewählter manueller installation, automatisch installiert werden
- Installiert Programme neu, die garnicht mehr auf dem Rechner sind

Aber vielleicht sind das auch einfach nur Pechvögel und die 10K Leute bei den alles super ist sagen einfach nix dazu.

Und wenn du das empfiehlst, denk ich ist das auch wirklich brauchbar/ok, war halt nur überrascht und wollte daher noch mal nachfragen!

Zitat:

Zitat von cosinus

Fehlerhafter Proxy?
Ist es das hier => http://www.trojaner-board.de/94344-p...n-pruefen.html

Nee, da ist wohl alles ok.
Da steht nur bei Port ne ''80''.

Habs gestern auch noch mal versucht und dann hats geklappt.
Vielleicht hatte ich beim letzten mal doch irgendwas vergessen auszuschalten oder so..

Zitat:

Zitat von cosinus

Das kann durchaus normal sein.

oK! Ist dann wohl so..

Zitat:

- Internetverbindung stört

Was stört? PSI stört die Verbindung oder andersrum? Beides kann ich nicht nachvollziehen.

Zitat:

- Firefox sprache umstellt
- Allgemein falsche Sprachausgaben installiert

Es gibt keine "falsschen" Sprachen. Natürlich ist PSI ein Programm in englischer Sprache und installiert daher Updates zB für Mozilla auch in Englisch. Da muss der Benutzer das einmal einstellen.
Aber diese Kleinigkeit zu bemängeln und dann zu sagen deswegen nutz ich das Programm nicht ist etwas befremdlich. Man kann auch die Autoupdatefunktion rausnehmen.
Allgemein sollte man immer etwas nachdenken, wenn bestimmte gesetzte Haken in den Setups denn für Auswirkungen haben und was nicht.

Zitat:

- Updates trotz ausgewählter manueller installation, automatisch installiert werden
- Installiert Programme neu, die garnicht mehr auf dem Rechner sind

Auotoupdatefunktion rausnehmen. Das andere kann ich auch überhaupt nicht nachvollziehen.

Zitat:

Aber vielleicht sind das auch einfach nur Pechvögel und die 10K Leute bei den alles super ist sagen einfach nix dazu

Nö, das sind Leute, die mit verschlossenden Augen und abgeschalteten Hirnen blind bei Setups alles weiterklicken und sich dann über Autoupdates beschweren

Zitat:

Und wenn du das empfiehlst, denk ich ist das auch wirklich brauchbar/ok, war halt nur überrascht und wollte daher noch mal nachfragen!

Deswegen Autoupdatefunktion rausnehmen. PSI nehm ich immer nur als Indikator dafür welche Programme nicht aktuell sind, ich will aber schon noch selber entscheiden wann wie und welches Update für welches Programm installiert wird.

Zitat:

Zitat von cosinus

Was stört? PSI stört die Verbindung oder andersrum? Beides kann ich nicht nachvollziehen.

Es gibt keine "falsschen" Sprachen. Natürlich ist PSI ein Programm in englischer Sprache und installiert daher Updates zB für Mozilla auch in Englisch. Da muss der Benutzer das einmal einstellen.
Aber diese Kleinigkeit zu bemängeln und dann zu sagen deswegen nutz ich das Programm nicht ist etwas befremdlich. Man kann auch die Autoupdatefunktion rausnehmen.
Allgemein sollte man immer etwas nachdenken, wenn bestimmte gesetzte Haken in den Setups denn für Auswirkungen haben und was nicht.

Auotoupdatefunktion rausnehmen. Das andere kann ich auch überhaupt nicht nachvollziehen.

Nö, das sind Leute, die mit verschlossenden Augen und abgeschalteten Hirnen blind bei Setups alles weiterklicken und sich dann über Autoupdates beschweren

Deswegen Autoupdatefunktion rausnehmen. PSI nehm ich immer nur als Indikator dafür welche Programme nicht aktuell sind, ich will aber schon noch selber entscheiden wann wie und welches Update für welches Programm installiert wird.

Wie gesagt das ist mir alles klar!
Diese ''Probleme'' standen halt in den Kommentaren unter dem Download.
Hab es hier nur aufgelistet weil du gefragt hast.
Ist eigentlich auch vollkommen egal.
Waren/sind nicht meine Probleme.
Hat mich einfach nur etwas stutzig gemacht das da ne menge Leute irgendwelche Probleme hatten.
Auch wenn Sie es in den meißten Fällen wohl selbst schuld waren.

Ich bin da wohl etwas paranoid gerade und hab deswegen lieber noch mal nachgefragt.
Hab es selber ja noch garnicht installiert und war einfach etwas abgeschreckt, da nur auf negative Bewertungen zu stoßen.

Hatte mir das auch so gedacht, dass nur zu nutzen um zu sehen was aktualisiert werden muss.
Autoupdate und sowas halt ich auch nicht viel von.
Da kommt oft nur murks bei raus (vorallem wenn man nicht richtig liest).

Aber das hab ich mir eh angewöhnt, jedes Programm erst mal zu googeln, andere Meinungen einzuholen bzw. wenn es installiert ist und man damit arbeitet, alles durchzulesen was man veranstaltet.

Denke damit ist das geklärt!


Sooo,also..

Sind auch vollkommen vom eigentlichen Thema abgekommen, damit wir den Thread hier endlich schließen können:

Zitat:

Zitat von JoWü

Trotzdem: Was soll ich mit dem Krempel machen den ich noch drauf hab?
Manuell löschen oder mit OTL?
Wenn mit OTL, kannst du mir ne kurze Anleitung geben?!

Zitat:

Ich bin da wohl etwas paranoid gerade und hab deswegen lieber noch mal nachgefragt.

Ist ja auch kein Problem, mein schroffer Ton war ja nicht gegen dich gerichtet sondern gegen die Kommentare dieser unbekannten DAUs

Zitat:

Trotzdem: Was soll ich mit dem Krempel machen den ich noch drauf hab?
Manuell löschen oder mit OTL?

Die meisten Tools können einfach so gelöscht werden, logisch, es gab ja auch keine setup.exe außer zu sowas wie Malwarebytes oder Superantispyware.

Zitat:

Zitat von cosinus

Ist ja auch kein Problem, mein schroffer Ton war ja nicht gegen dich gerichtet sondern gegen die Kommentare dieser unbekannten DAUs

Puuh, bin ich Ja beruhigt!
Sollte mir sowas nicht so zu Herzen nehmen.

Zitat:

Zitat von cosinus

Die meisten Tools können einfach so gelöscht werden, logisch, es gab ja auch keine setup.exe außer zu sowas wie Malwarebytes oder Superantispyware.

Roger!

Damit wäre dann wohl wirklich alles geklärt.

Also noch mal ein RIESIGES !
Ich habe viel gelernt.

Auf das wir uns hoffentlich nie wieder sehen (müssen).

Denke ich lass euch ne kleine Spende da, einfach super was ihr hier anbietet und leistet!