Hallo,

bei mir hat auch der Bundespolizei-Trojaner zugeschlagen. Die Suche hat mir gezeigt, daß er hier im Forum schon recht bekannt ist.
Umso enttäuschter bin ich von meinem AVG-Virenscanner, der hat nichts gefunden....

Egal, schauen wir positiv in die Zukunft:
Nach dem Zwangs-Reboot hat ThreadFire zwei verdächtige Exe blockiert, die sich dann selbst gelöscht haben. Außerdem noch wermgr.exe angemängelt, das ins Internet will. Das habe ich auch blockiert.

- Full Scan AVG: Kleinere Auffälligkeiten: Spam
- Malwarebytes Anti-Malware läuft, schon mehrere Funde, wir werden sehen.
- OTL: Ich hänge die Extras.txt an und OTL.txt direkt, einmal vorher ohne Defogger, einmal nach dem AVG-Scan mit Defogger.

Ich hoffe, ich bin auf dem richtigen Weg.
Vielen Dank vorneweg für die Hilfe!

Reiner

Zitat:

- Malwarebytes Anti-Malware läuft, schon mehrere Funde, wir werden sehen.

Bitte das Log posten wenn fertig

So, der Scan ist auch fertig. Sieht gut aus: Jede Menge Sicherungen des gleichen Jokes, den ich nicht wirklich als Virus bezeichnen würde.
Ich habe sie trotzdem mal entsorgt, damit die Scanner nicht immer etwas finden.

Was nun?

Viele Grüße

Reiner




Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8331

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

08.12.2011 22:30:08
mbam-log-2011-12-08 (22-29-56).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 694768
Laufzeit: 10 Stunde(n), 57 Minute(n), 20 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 22

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\alte festplatten\alte sich\alte versionen des backups\acer2000-01-15\gemeinsame dateien\Bilder\von thomas\Y2K.exe (PUP.Joke.RJLSoftware) -> No action taken.
c:\alte festplatten\alte sich\alte versionen des backups\acer2001-06-23\gemeinsame dateien\xxx\Spiele\stressabbau.exe (Joke.Stressreducer) -> No action taken.
c:\alte festplatten\alte sich\alte versionen des backups\acer2001-06-23\gemeinsame dateien\***\Jokes\Y2K.exe (PUP.Joke.RJLSoftware) -> No action taken.
c:\alte festplatten\alte sich\c von 20070807\gemeinsame dateien\xxx\Spiele\stressabbau.exe (Joke.Stressreducer) -> No action taken.
c:\alte festplatten\alte sich\c von 20070807\gemeinsame dateien\***\sqs-angestellter\SQS\Witzig\STRESS~1.EXE (Joke.Stressreducer) -> No action taken.
c:\alte festplatten\alte sich\sicherung 20070807\c von 20070807\gemeinsame dateien\Bilder\von thomas\Y2K.exe (PUP.Joke.RJLSoftware) -> No action taken.
c:\alte festplatten\alte sich\sicherung 20070807\c von 20070807\gemeinsame dateien\xxx\Spiele\stressabbau.exe (Joke.Stressreducer) -> No action taken.
c:\alte festplatten\alte sich\sicherung 20070807\c von 20070807\gemeinsame dateien\***\Jokes\Y2K.exe (PUP.Joke.RJLSoftware) -> No action taken.
c:\alte festplatten\alte sich\sicherung 20070807\c von 20070807\gemeinsame dateien\***\sqs-angestellter\SQS\Witzig\STRESS~1.EXE (Joke.Stressreducer) -> No action taken.
d:\Backup\backup-20100831\Phenom-D\alte festplatten\alte sicherungen\c von 20070807\gemeinsame dateien\xxx\Spiele\stressabbau.exe (Joke.Stressreducer) -> No action taken.
d:\Backup\backup-20100831\Phenom-D\alte festplatten\alte sicherungen\c von 20070807\gemeinsame dateien\***\sqs-angestellter\SQS\Witzig\STRESS~1.EXE (Joke.Stressreducer) -> No action taken.
d:\Backup\backup-20100831\Phenom-D\alte festplatten\alte sicherungen\sicherung 20070807\c von 20070807\gemeinsame dateien\Bilder\von thomas\Y2K.exe (PUP.Joke.RJLSoftware) -> No action taken.
d:\Backup\backup-20100831\Phenom-D\alte festplatten\alte sicherungen\sicherung 20070807\c von 20070807\gemeinsame dateien\xxx\Spiele\stressabbau.exe (Joke.Stressreducer) -> No action taken.
d:\Backup\backup-20100831\Phenom-D\alte festplatten\alte sicherungen\sicherung 20070807\c von 20070807\gemeinsame dateien\***\Jokes\Y2K.exe (PUP.Joke.RJLSoftware) -> No action taken.
d:\Backup\backup-20100831\Phenom-D\alte festplatten\alte sicherungen\sicherung 20070807\c von 20070807\gemeinsame dateien\***\sqs-angestellter\SQS\Witzig\STRESS~1.EXE (Joke.Stressreducer) -> No action taken.
d:\Backup\backup-20100831\Phenom-D\alte festplatten\aufräumen\alte backups\alte versionen des backups\acer2000-01-15\gemeinsame dateien\Bilder\von thomas\Y2K.exe (PUP.Joke.RJLSoftware) -> No action taken.
d:\Backup\backup-20100831\Phenom-D\alte festplatten\aufräumen\alte backups\alte versionen des backups\acer2001-06-23\gemeinsame dateien\xxx\Spiele\stressabbau.exe (Joke.Stressreducer) -> No action taken.
d:\Backup\backup-20100831\Phenom-D\alte festplatten\aufräumen\alte backups\alte versionen des backups\acer2001-06-23\gemeinsame dateien\***\Jokes\Y2K.exe (PUP.Joke.RJLSoftware) -> No action taken.
d:\Backup\backup-20100831\Phenom-D\xxx\Spiele\stressabbau.exe (Joke.Stressreducer) -> No action taken.
d:\xxx\Spiele\stressabbau.exe (Joke.Stressreducer) -> No action taken.
d:\***\freiberufler\aaa-sonstiges\Temp\Sicher2\STRESS~1.EXE (Joke.Stressreducer) -> No action taken.
d:\***\sqs-angestellter\SQS\Witzig\STRESS~1.EXE (Joke.Stressreducer) -> No action taken.

Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Aha, doch etwas gefunden. Sieht aber alles nach alten Sachen aus, nicht nach dem neuen Bundestrojaner, oder sehe ich das falsch?
Umso schlimmer, das die alten Sachen offensichtlich auch nicht gefunden wurden.


ESETSmartInstaller@High as CAB hook log:
OnlineScanner64.ocx - registred OK
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.7600.16385 (win7_rtm.090713-1255)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-12-10 03:36:16
# local_time=2011-12-10 04:36:16 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=2560 16777215 100 0 0 0 0 0
# compatibility_mode=4096 16777215 100 0 4539100 4539100 0 0
# compatibility_mode=5893 16776574 100 94 14668245 75145813 0 0
# compatibility_mode=8192 67108863 100 0 276 276 0 0
# scanned=531805
# found=8
# cleaned=0
# scan_time=15412
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\6\18729646-1c898050 a variant of Win32/Kryptik.XAF trojan (unable to clean) 00000000000000000000000000000000 I
D:\Backup\***-20090914.zip a variant of Win32/Keygen.BV application (unable to clean) 00000000000000000000000000000000 I
D:\Backup\Backup-20100831\Phenom-D\***-20090914.zip a variant of Win32/Keygen.BV application (unable to clean) 00000000000000000000000000000000 I
D:\Hobby und Info\Computer\Installationsdateien\SoftonicDownloader58808.exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I
D:\Hobby und Info\Computer\Installationsdateien\SoftonicDownloader_fuer_sequoiaview.exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I
D:\***\Clearstream 2010\***\Computer\Nokia\S3_643_SmartphonewareBestCalc.zip a variant of Win32/Keygen.BV application (unable to clean) 00000000000000000000000000000000 I
D:\***\Freiberufler\AAA-Sonstiges\Temp\Sicher2\***-20090914.zip a variant of Win32/Keygen.BV application (unable to clean) 00000000000000000000000000000000 I
D:\***\Freiberufler\AAA-Sonstiges\Temp\Sicher2\S3_643_SmartphonewareBestCalc.zip a variant of Win32/Keygen.BV application (unable to clean) 00000000000000000000000000000000 I

Zitat:

D:\Backup\***-20090914.zip a variant of Win32/Keygen.BV application (unable to clean) 00000000000000000000000000000000 I
D:\Backup\Backup-20100831\Phenom-D\***-20090914.zip a variant of Win32/Keygen.BV application (unable to clean) 00000000000000000000000000000000 I

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!

Hallo,

ehrlich gesagt finde ich es etwas frech, mit hier geklaute Software zu unterstellen. Ich habe meine Rechner supersauber aufgesetzt, sogar inklusive einer schweineteuren Office-Professional Lizenz. Alles ist gekauft oder Freeware, soweit ich weiß.

Die Zip-Datei, in der dieser Keygen-Virus oder Trojaner drin sein soll, ist ein altes Backup meines Arbeitsverzeichnisses.
Da es ein ZIP ist, ist dieser Virus vermutlich nicht installiert, also lösche ich das Teil einfach.

Eure Hilfe ist wirklich gut, aber ihr überschätzt den normalen User etwas.



Reiner

Zitat:

Eure Hilfe ist wirklich gut, aber ihr überschätzt den normalen User etwas.

Einfach mal die Finger von illegaler Software lassen, dann handelt man sich a) solche Probleme weniger ein und b) bekommt man hier auch noch Hilfe. Wir haben hier nun mal bestimmte Voraussetzungen.