Hallo Zusammen,

ich wende mich bereits ein zweites Mal hierher, da mir hier zuvor bereits gut geholfen wurde. (Es handelte sich dabei um ein Fehlalarm.)

Es kam wieder eine Warnmeldung mit AntiVir. Der Platz oben in der Betreffzeile hat nicht ausgreicht. Die "fehlerhafte" Datei wurde gefunden in C:\Users\...\AppData\Local\Mozilla\Firefox\Profiles\m3ssewbw.default\Cache\_CACHE_002_

Ich habe die Datei gleich an AntiVir mit Betreff "Verdacht auf Fehlalarm" gesendet, und nun folgende Antwort erhalten:

Dear Sir or Madam,

Thank you for your email to Avira's virus lab.
Tracking number: INC00837114.
We received the following archive files:
File ID Filename Size (Byte) Result
26311604 4e7ad5d185296.zip 160.52 KB OK
A listing of files contained inside archives alongside their results can be found below:
File ID Filename Size (Byte) Result
26311605 488a78e1.vir 280.35 KB DAMAGED FILE (MALWARE)

Please find a detailed report concerning each individual sample below:
Filename Result
488a78e1.vir DAMAGED FILE (MALWARE)

The file '488a78e1.vir' has been determined to be 'DAMAGED FILE (MALWARE)'.In particular this means that this file is damaged and not working properly. Nevertheless we were able to determine that it contains malicious code fragments.

Was bedeutet das nun für mich? Was muss ich tun? Die Warnmeldung von AntiVir kam ein paar Mal. Seit dem gab es nichts mehr. Ich hatte die Datei immer in Quarantäne geschoben.

Muss ich die Datei nochmal an AntiVir schicken, nun aber mit dem Betreff "Verdächtige Datei"?

Bin ich nun sicher?

Vielen lieben Dank an Euch!
Gruß,
mantoos

Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=e587b92cefa6c840be73c51a345e9e05
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-09-25 09:49:25
# local_time=2011-09-25 11:49:25 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=1797 16775165 100 100 200361 91882899 45566 0
# compatibility_mode=4096 16777215 100 0 76995718 76995718 0 0
# compatibility_mode=5892 16776573 100 100 35957 154519063 0 0
# compatibility_mode=8192 67108863 100 0 325 325 0 0
# scanned=24373
# found=0
# cleaned=0
# scan_time=1029
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=53251
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=e587b92cefa6c840be73c51a345e9e05
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-09-26 08:37:25
# local_time=2011-09-26 10:37:25 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=1797 16775165 100 100 231380 91913918 76585 0
# compatibility_mode=4096 16777215 100 0 77026737 77026737 0 0
# compatibility_mode=5892 16776573 100 100 570 154550082 0 0
# compatibility_mode=8192 67108863 100 0 31344 31344 0 0
# scanned=205365
# found=0
# cleaned=0
# scan_time=8890

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 7796

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

25.09.2011 20:57:39
mbam-log-2011-09-25 (20-57-39).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 374895
Laufzeit: 1 Stunde(n), 19 Minute(n), 19 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hallo Arne,

ich hab den Scan gemacht. Die log-Datei ist so elend lang, wie geht das mit der Box, wie Du es oben gemacht hast?

Reicht Dir hier ggf. ein Auszug, nach was suchst Du? In dem Log steht ja so ziemlich alles von mir drin, und würde ich ungern im Ganzen posten.

Gruß,
mantoos

Achso, hab ich eben erst gesehen. OTL hat auch die Datei Extras.txt angelegt mit dem ersten Eintrag

OTL Extras logfile created on: 27.09.2011 08:03:41 - Run 1

Dies zur Info und Vollständigkeit.

Gruß,
mantoos

Mach es so wenn die Logs zu groß sind => http://www.trojaner-board.de/69886-a...tml#post566999

Hallo Arne,

anbei der Anhang.

Danke,
mantoos

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKLM..\Run: []  File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 23:43:36 | 000,000,024 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{38f630de-b955-11dd-9bf5-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{38f630de-b955-11dd-9bf5-806e6f6e6963}\Shell\AutoRun\command - "" = F:\lge.exe
O33 - MountPoints2\{5f129309-9a1c-11df-bb1e-00508d95d8e2}\Shell - "" = AutoRun
O33 - MountPoints2\{5f129309-9a1c-11df-bb1e-00508d95d8e2}\Shell\AutoRun\command - "" = G:\pushinst.exe
O33 - MountPoints2\{89b30791-b8e3-11dd-a178-00508d95d8e2}\Shell - "" = AutoRun
O33 - MountPoints2\{89b30791-b8e3-11dd-a178-00508d95d8e2}\Shell\AutoRun\command - "" = G:\pushinst.exe
@Alternate Data Stream - 217 bytes -> C:\ProgramData\TEMP:DA18D4E3
@Alternate Data Stream - 213 bytes -> C:\ProgramData\TEMP:581B0446
@Alternate Data Stream - 204 bytes -> C:\ProgramData\TEMP:5F85EE30
@Alternate Data Stream - 200 bytes -> C:\ProgramData\TEMP:6BF0805F
@Alternate Data Stream - 196 bytes -> C:\ProgramData\TEMP:70B3C619
@Alternate Data Stream - 196 bytes -> C:\ProgramData\TEMP:592D7272
@Alternate Data Stream - 137 bytes -> C:\ProgramData\TEMP:908A1B53
@Alternate Data Stream - 125 bytes -> C:\ProgramData\TEMP:96646EC1
@Alternate Data Stream - 120 bytes -> C:\ProgramData\TEMP:D9987109
@Alternate Data Stream - 120 bytes -> C:\ProgramData\TEMP:97995ED4
@Alternate Data Stream - 119 bytes -> C:\ProgramData\TEMP:93F3E4C9
@Alternate Data Stream - 116 bytes -> C:\ProgramData\TEMP:4A966CC2
@Alternate Data Stream - 114 bytes -> C:\ProgramData\TEMP:151760F0
:Commands
[emptytemp]
[resethosts]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{38f630de-b955-11dd-9bf5-806e6f6e6963}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{38f630de-b955-11dd-9bf5-806e6f6e6963}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{38f630de-b955-11dd-9bf5-806e6f6e6963}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{38f630de-b955-11dd-9bf5-806e6f6e6963}\ not found.
File F:\lge.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5f129309-9a1c-11df-bb1e-00508d95d8e2}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5f129309-9a1c-11df-bb1e-00508d95d8e2}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5f129309-9a1c-11df-bb1e-00508d95d8e2}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5f129309-9a1c-11df-bb1e-00508d95d8e2}\ not found.
File G:\pushinst.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{89b30791-b8e3-11dd-a178-00508d95d8e2}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{89b30791-b8e3-11dd-a178-00508d95d8e2}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{89b30791-b8e3-11dd-a178-00508d95d8e2}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{89b30791-b8e3-11dd-a178-00508d95d8e2}\ not found.
File G:\pushinst.exe not found.
ADS C:\ProgramData\TEMPA18D4E3 deleted successfully.
ADS C:\ProgramData\TEMP:581B0446 deleted successfully.
ADS C:\ProgramData\TEMP:5F85EE30 deleted successfully.
ADS C:\ProgramData\TEMP:6BF0805F deleted successfully.
ADS C:\ProgramData\TEMP:70B3C619 deleted successfully.
ADS C:\ProgramData\TEMP:592D7272 deleted successfully.
ADS C:\ProgramData\TEMP:908A1B53 deleted successfully.
ADS C:\ProgramData\TEMP:96646EC1 deleted successfully.
ADS C:\ProgramData\TEMP9987109 deleted successfully.
ADS C:\ProgramData\TEMP:97995ED4 deleted successfully.
ADS C:\ProgramData\TEMP:93F3E4C9 deleted successfully.
ADS C:\ProgramData\TEMP:4A966CC2 deleted successfully.
ADS C:\ProgramData\TEMP:151760F0 deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 56466 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: ***

User: ***
->Temp folder emptied: 32074148 bytes
->Temporary Internet Files folder emptied: 1983467 bytes
->Java cache emptied: 16371598 bytes
->FireFox cache emptied: 43646371 bytes
->Google Chrome cache emptied: 7761409 bytes
->Apple Safari cache emptied: 7586816 bytes
->Flash cache emptied: 56941 bytes

User: ***
->Temp folder emptied: 6936700 bytes
->Temporary Internet Files folder emptied: 117617765 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 16090686 bytes
->Flash cache emptied: 56941 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1114674 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 6285022 bytes
RecycleBin emptied: 713537587 bytes

Total Files Cleaned = 926,00 mb

C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTL by OldTimer - Version 3.2.29.1 log created on 09282011_134708

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...


--> Was passiert hier eigentlich genau?

Danke und Gruß,
mantoos

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.




Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen!