Hallo zusammen,

mein Laptop (Dell-Duo) macht mir ein paar Sorgen. Ich habe ihn normal genutzt und hatte an sich nie Probleme. Vor einiger Zeit finde ich auf c:\ dann ein seltsames Verzeichnis, welches Tausende leerer Dateien mit unsinnigen Namen enthielt (siehe Screenshot). Habe diese einfach gelöscht, alle Dateien waren 0 Bytes groß.

Genutzt habe ich immer einen normalen User, keinen Admin. Firewall war stets aktiviert, McAfee Internet Schutz. Danach habe ich Avast installiert und Comodo.

Mein System: Win 7 Home Premium, 32bit
Schutz: Vor dem Verzeichnis McAfee Security, danach Avast, Spyware Terminator und Comodo Internet Security.

Habe den Rechner nach Löschen der Dateien mit Malwarebytes gescannt, Avast Bootscan, Avast Normal-Vollscan, mit einer Boot-CD (Knoppix mit Scanner, aktuell vor ein paar Tagen runtergeladen, Avira), alle haben nix gefunden.

Ich wollte das System neu installieren, aber die Recovery-Konsole startet nicht, immer nur das normale Windows, sonst hätte ich den längst neu aufgesetzt zur Sicherheit. Den Key haben die intelligenterweise auch nicht dem Rechner verewigt... Somit kann ich nicht mal Win neu installieren.

Wenn kein Scanner was findet, sollte das doch ein gutes Zeichen sein?

Danke für Ratschläge!

VG
Helos

Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo Arne,

vielen Dank für die enorm fixe Reaktion.

Ich habe noch wie im Hilfe-Thread angegeben Scans von GMER und OTL gemacht sowie den Defogger laufen lassen (habe keine virtuellen Laufwerke), die Logs habe ich beigefügt und vorher entsprechend Namen beseitigt.

MBAM läuft gerade per Vollscan, nur beim ESET bin ich etwas verunsichert: Man soll ja alle Scanner abschalten, Virenscan, Firewall etc. Aber online scannen lassen und keinen Schutz zu haben macht mir etwas Sorge oder kann man die Verbindung trennen vor dem Scan? Ihr schreibt ja selber man soll vor dem Online-Gehen alle Wächter aktivieren...

Vielen Dank!!!

VG
Helos

Toll, MBAM lief ewig, habe den Log editiert aber die Datei ist weg :-/. Gefunden wurde aber nix.

Grüße
Helos

Zitat:

habe den Log editiert aber die Datei ist weg

Sieh nach im Reiter Logdateien!

Hallo Arne,

habe ich natürlich schon gemacht, aber das ist leer. Dabei habe ich vor 1 Woche schon mal gescannt und auch der Log ist nicht im MBAM. Wie gesagt, er hat nix gefunden.

VG
Helos

Und was ist mit ESET?

Hallo Arne,

hier der ESET-Log und auch der vom MBAM, war natürlich im Admin-Ordner... Hätte ich direkt drauf kommen können.

ESET hat einiges gefunden, aber alles harmlos:

C:\Dokumente und Einstellungen\xxxxxxx\Downloads\Notfall-CD-2.2.zip Win32/OpenCandy application deleted - quarantined

--> Das ist die AVIRA Notfall-CD für den Bootscan.

C:\Dokumente und Einstellungen\TestAdmin\Desktop\smsniff.exe a variant of Win32/Sniffer.SniffPass.B application cleaned by deleting - quarantined

--> Habe ich mir heruntergeladen weil man damit herausfinden kann, welche Programme was ins Netz senden, ich wollte damit gucken, ob etwas Verdächtiges sich "zu Hause" meldet. Da VirusTotal 3x gewarnt hat, habe ich es nicht installiert, obwohl die Quelle ok ist (Chip.de oder compu-Bild).

C:\Dokumente und Einstellungen\TestAdmin\Downloads\smsniff.zip a variant of Win32/Sniffer.SniffPass.B application deleted - quarantined

--> siehe darüber.

C:\Program Files\Dell DataSafe Local Backup\hstart.exe a variant of Win32/HiddenStart.A application cleaned by deleting - quarantined

War von Anfang an installiert, Programm für HD-Backups von Dell.

C:\Program Files\Dell DataSafe Local Backup\Components\DSUpdate\hstart.exe

--> siehe oben.

Im Prinzip hat kein Scanner etwas gefunden. Welche Schritte kann ich noch durchführen?

Vielen Dank und Grüße!
Helos

Noch als Ergänzung zum Verhalten des Rechners: Die Firewall meldet keine besonderen Verbindungen ins Netz, also nicht dass da wild kommuniziert wird, wie meistens bei Malware. Allerdings habe ich öfters Probleme mit dem Internet, dass der Rechner nicht mehr online geht ins WLAN bzw. immer was von angeblicher "mangelnder Konnektivität" von sich gibt. Dann wieder geht es. Warum ich die Reparaturkonsole nicht mehr nutzen kann weiß ich auch nicht, kann man diese eigentlich wiederherstellen lassen und würde es Sinn machen den MBR mal zu prüfen?

Eigentlich müsste der Hersteller einem doch die Backup-DVD zuschicken? Kann die Sicherheitspartition auch verseucht werden? Ich habe vor ein paar Tagen eine Sicherung angefertig aber die kann ich wenn der Rechner befallen sein sollte wohl vergessen.

Und noch was, ich habe mehrere externe Platten an den PC angeschlossen, was kann ich tun, wenn ich den Rechner fit habe und die Platten nutzen will um eine Verseuchung von den Platten aus zu verhindern?

Die Verhaltensanalyse von SpywareTerminator zeigt auch kein verdächtiges Verhalten an... Könnte ich die Wiederherstellungskonsole von Win7 eigentlich reparieren oder neu installieren? Finde dazu leider nix :-(
Grüße
Helos

Die Funde von ESET kannst du ignorieren.

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hallo Arne,

den Log habe ich beigefügt.

Viele Grüße
Helos

Zitat:

PRC - [2011.10.07 18:47:14 | 001,883,328 | ---- | M] (COMODO) -- C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe

Comodo ist völlig kontraproduktiv, bitte umgehend deinstalliern.
Mach danach wieder ein neues OTL-Log.

Guten Abend,

an sich dachte ich Comodo sei deinstalliert gewesen. Käme ich um eine Deinstallation herum, reicht nicht Deaktivieren für den Scan? Die Defense+ Schilde schätze ich durchaus. Was wäre denn eine Alternative mit vergleichbarer Leistung?

VG
Helos

Zitat:

Was wäre denn eine Alternative mit vergleichbarer Leistung?

Reiner Virenscanner plus Windows-Firewall. Das reicht.
Bitte Comodo komplett deinstallieren

Hallo Andre,

Comodo deinstalliert und neuen Log habe ich beigefügt.

Grüße
Helos