Hey Leute, ich hab da wohl ein kleines Virenproblem.
Erstmal: ich bin mir nicht sicher, wo die Viren herkommen, aber ich habe Angst, dass sie mir Probleme machen werden.
1) Ich habe eben einfach im Internet gesurft, als AntiVir mit einem unsichtbaren Scan BDS/Sinowal.6553621 im Pfad C:\Users\DarkClaw\AppData\Local\Temp\0.9089879125445383.exe gefunden hat. Da das keine Systemdatei ist, hoffe ich, dass ihr mir helfen könnt, ohne das ich das System neu aufsetzen muss. Ein Malwarebytesscan des genannten Ordners (DarkClaw) läuft gerade durch. Die behaftete Datei sitzt atm bei AntiVit in der Quarantäne.
2.) hab ich einen Scan mit AntiVir desselben Gebiets angefangen, dieser hat html/infected.webpage.gen2 gefunden, ist aber noch nicht fertig, daher nichts genaueres; aber kann man diese HTML-Dinger nicht einfach löschen?

Ich benutze Windows 7 Ultimate mit 64-Bit. Scans usw habe ich grad keine geordneten zur Hand, deshalb folgen diese später (AntiVir-Organisation ist ja mal unübersichtlich)

Ich bin nicht richtig gut informiert, was das Thema angeht, wenn also noch irgendwelche Informationen, Logs, Scans, etc fehlen bitte wissen lassen.
mfg DC
€: Der AntiVir Suchlauf ist durch, hab jetzt noch mehr
C:\Users\DarkClaw\AppData\Local\Mozilla\Firefox\Profiles\utsf41mg.default\Cache\0\17\039C9d01
[0] Archivtyp: GZ
--> object
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen2
C:\Users\DarkClaw\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\3\144851c3-426e80b4
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Sinowal.6553621
C:\Users\DarkClaw\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\55\57789877-616cf44e
[0] Archivtyp: ZIP
--> Market.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2011-3544.A
Hab jetzt alles in der Quarantäne sitzen. Der MB-Suchlauf hat seltsamerweise nichts ergeben. Ich schau nochmal nach Updates und mach einen Gesamtsuchlauf.
Hier ist der Log vom Antivirsuchlauf (wie kann ich den in ein extrafenster setzen?)


Avira Free Antivirus
Erstellungsdatum der Reportdatei: Samstag, 10. Dezember 2011 13:32

Es wird nach 3552166 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 x64
Windowsversion : (plain) [6.1.7600]
Boot Modus : Normal gebootet
Benutzername : DarkClaw
Computername : DARKCLAW-PC

Versionsinformationen:
BUILD.DAT : 12.0.0.870 Bytes 09.12.2011 13:59:00
AVSCAN.EXE : 12.1.0.18 490448 Bytes 25.10.2011 16:35:27
AVSCAN.DLL : 12.1.0.17 65744 Bytes 11.10.2011 12:59:58
LUKE.DLL : 12.1.0.17 68304 Bytes 11.10.2011 12:59:47
AVSCPLR.DLL : 12.1.0.21 99536 Bytes 08.12.2011 17:15:00
AVREG.DLL : 12.1.0.27 227536 Bytes 09.12.2011 17:15:01
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:07:39
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 15:08:51
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 10:00:55
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 10:18:22
VBASE005.VDF : 7.11.10.251 1788416 Bytes 07.07.2011 12:12:53
VBASE006.VDF : 7.11.13.60 6411776 Bytes 16.08.2011 07:26:09
VBASE007.VDF : 7.11.15.106 2389504 Bytes 05.10.2011 12:59:54
VBASE008.VDF : 7.11.18.32 2132992 Bytes 24.11.2011 16:50:12
VBASE009.VDF : 7.11.18.33 2048 Bytes 24.11.2011 16:50:12
VBASE010.VDF : 7.11.18.34 2048 Bytes 24.11.2011 16:50:12
VBASE011.VDF : 7.11.18.35 2048 Bytes 24.11.2011 16:50:12
VBASE012.VDF : 7.11.18.36 2048 Bytes 24.11.2011 16:50:12
VBASE013.VDF : 7.11.18.89 204800 Bytes 28.11.2011 17:14:33
VBASE014.VDF : 7.11.18.145 143872 Bytes 01.12.2011 17:17:53
VBASE015.VDF : 7.11.18.180 173056 Bytes 02.12.2011 17:14:41
VBASE016.VDF : 7.11.18.208 164864 Bytes 05.12.2011 17:14:43
VBASE017.VDF : 7.11.18.239 177152 Bytes 06.12.2011 17:14:46
VBASE018.VDF : 7.11.19.36 171520 Bytes 09.12.2011 17:14:55
VBASE019.VDF : 7.11.19.37 2048 Bytes 09.12.2011 17:14:55
VBASE020.VDF : 7.11.19.38 2048 Bytes 09.12.2011 17:14:55
VBASE021.VDF : 7.11.19.39 2048 Bytes 09.12.2011 17:14:55
VBASE022.VDF : 7.11.19.40 2048 Bytes 09.12.2011 17:14:55
VBASE023.VDF : 7.11.19.41 2048 Bytes 09.12.2011 17:14:55
VBASE024.VDF : 7.11.19.42 2048 Bytes 09.12.2011 17:14:55
VBASE025.VDF : 7.11.19.43 2048 Bytes 09.12.2011 17:14:55
VBASE026.VDF : 7.11.19.44 2048 Bytes 09.12.2011 17:14:55
VBASE027.VDF : 7.11.19.45 2048 Bytes 09.12.2011 17:14:55
VBASE028.VDF : 7.11.19.46 2048 Bytes 09.12.2011 17:14:55
VBASE029.VDF : 7.11.19.47 2048 Bytes 09.12.2011 17:14:55
VBASE030.VDF : 7.11.19.48 2048 Bytes 09.12.2011 17:14:55
VBASE031.VDF : 7.11.19.52 35840 Bytes 09.12.2011 17:14:55
Engineversion : 8.2.6.134
AEVDF.DLL : 8.1.2.2 106868 Bytes 25.10.2011 16:35:10
AESCRIPT.DLL : 8.1.3.90 491899 Bytes 09.12.2011 17:15:00
AESCN.DLL : 8.1.7.2 127349 Bytes 01.09.2011 21:46:02
AESBX.DLL : 8.2.4.5 434549 Bytes 01.12.2011 17:20:48
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 21:16:06
AEPACK.DLL : 8.2.14.5 741751 Bytes 09.12.2011 17:15:00
AEOFFICE.DLL : 8.1.2.21 201084 Bytes 01.12.2011 17:20:46
AEHEUR.DLL : 8.1.3.6 3895670 Bytes 09.12.2011 17:14:59
AEHELP.DLL : 8.1.18.0 254327 Bytes 25.10.2011 16:31:50
AEGEN.DLL : 8.1.5.17 405877 Bytes 09.12.2011 17:14:56
AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 21:46:01
AECORE.DLL : 8.1.24.0 196983 Bytes 25.10.2011 16:31:19
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 21:46:01
AVWINLL.DLL : 12.1.0.17 27344 Bytes 11.10.2011 12:59:41
AVPREF.DLL : 12.1.0.17 51920 Bytes 11.10.2011 12:59:38
AVREP.DLL : 12.1.0.17 179408 Bytes 11.10.2011 12:59:38
AVARKT.DLL : 12.1.0.19 208848 Bytes 08.12.2011 17:14:52
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 11.10.2011 12:59:37
SQLITE3.DLL : 3.7.0.0 398288 Bytes 11.10.2011 12:59:51
AVSMTP.DLL : 12.1.0.17 62928 Bytes 11.10.2011 12:59:39
NETNT.DLL : 12.1.0.17 17104 Bytes 11.10.2011 12:59:47
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 11.10.2011 13:00:00
RCTEXT.DLL : 12.1.0.16 98512 Bytes 11.10.2011 13:00:00

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: ShlExt
Konfigurationsdatei...................: C:\Users\DarkClaw\AppData\Local\Temp\c4dbbd79.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: aus
Durchsuche Registrierung..............: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Samstag, 10. Dezember 2011 13:32

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Users\DarkClaw\AppData'
C:\Users\DarkClaw\AppData\Local\Mozilla\Firefox\Profiles\utsf41mg.default\Cache\0\17\039C9d01
[0] Archivtyp: GZ
--> object
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen2
C:\Users\DarkClaw\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\3\144851c3-426e80b4
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Sinowal.6553621
C:\Users\DarkClaw\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\55\57789877-616cf44e
[0] Archivtyp: ZIP
--> Market.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2011-3544.A

Beginne mit der Desinfektion:
C:\Users\DarkClaw\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\55\57789877-616cf44e
[FUND] Enthält Erkennungsmuster des Exploits EXP/2011-3544.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '492ff7ac.qua' verschoben!
C:\Users\DarkClaw\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\3\144851c3-426e80b4
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Sinowal.6553621
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '51b5d808.qua' verschoben!
C:\Users\DarkClaw\AppData\Local\Mozilla\Firefox\Profiles\utsf41mg.default\Cache\0\17\039C9d01
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '03e182e7.qua' verschoben!


Ende des Suchlaufs: Samstag, 10. Dezember 2011 14:10
Benötigte Zeit: 28:39 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

5989 Verzeichnisse wurden überprüft
106144 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
106141 Dateien ohne Befall
9902 Archive wurden durchsucht
0 Warnungen
3 Hinweise

Bitte folge den Anweisungen hier und poste die geforderten Logfiles.
http://www.trojaner-board.de/69886-a...-beachten.html

Ohne unfreundlich zu sein:
Ich habe mich entschieden den PC neu aufzusetzen und mir alle dementsprechenden Anleitungen ausgedruckt. Das allerwichtigste habe ich sichern können, aber ich hatte ein sehr alter JAVA und daher sicher ziemlich viele Probleme auf dem System. Deshalb werde ich morgen alles inklusive MBR und Startsektor neu aufsetzen.
Mein PC ist stillgelegt, deshalb kann ich die geforderten Logs auch nicht mehr hier reinstellen. Ich denke, ich verliere nicht zu viel wenn ich neu aufsetze und der Aufwand bleibt vergleichsweise klein (in unserer heutigen Zeit, in der Windows 7 fast alle Treiber selbst findet) und daher ist es wohl besser wenn ich ganz neu aufsetze.
mfg DC

Deine Entscheidung


Hier noch ein paar Tipps zur Absicherung deines Systems.


Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.

• Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
• Windows Updates
  • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
  • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
• Gehe sicher das die automatischen Updates aktiviert sind.
• Software Updates
  Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
  Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.

Anti- Viren Software

• Gehe sicher immer eine Anti Viren Software installiert zu haben und das diese auch up to date ist. Es ist nämlich nutzlos wenn diese out of date sind.

Zusätzlicher Schutz

• MalwareBytes Anti Malware
  Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
  Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
  Ein Tutorial zur Verwendung findest Du hier.
• WinPatrol
  Diese Software macht einen Snapshot deines Systems und warnt dich vor eventuellen Änderungen. Downloade dir die Freeware Version von hier.

Sicheres Browsen

• SpywareBlaster
  Eine kurze Einführung findest du Hier
• MVPs hosts file
  Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
• WOT (Web of trust)
  Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.

Alternative Browser

Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.

• Opera
• Mozilla Firefox.
  • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
  • NoScript
    Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
    
  • AdblockPlus
    Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
    Es spart ausserdem Downloadkapazität.

Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )



Don'ts

• Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
• verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
• Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
• Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe

Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.


Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.

Vielen dank für die Liste.
Mein hauptfehler war wohl, dass ich mein JAVA auf einer sehr alten Version hatte, daher konnte der ganze Mist über JAVA-Exploits auf mein System gelanfen (von denen AntiVir im Nachhinein ja auch noch zwei gefunden hat.).
Ich setzte einfach mal neu auf, denn ich denke es gibt 3 Möglichkeiten was passiert ist:
1.) Ich habs irgendwie hinbekommen den Mist zu löschen, weil ja nichts mehr gefunden wird
2.) AntiVir hat das Teil nur fehlerfhaft erkannt (Tools wie Norton Eraser oder Kaspersky TSSDKiller haben nichts gefunden, genausowenig Malwarebytes) oder
3.) der Sinowal war schon so weit, dass er meine Antivirenprogramme manipuliert hat.
Alles in allem habe ich am Ende aber doch zuviel Angst davor, dass mir irgendjemand auf meine Steam- oder Amazonkonten zugreift. Deshalb setze ich lieber neu auf, also danke für die Hilfe.
Eine letzte Frage noch: welches Free Antivirus Tool kannst du empfehlen? Ich habe bisher immer AntiVir von Avira verwendet, aber das hat ja einen sehr schlechten ruf. Ist Avast wirklich besser?
mfg DC
PS: ansonsten kannst du den Thread entfernen

Es gibt kein bestes Antiviren Programm und aus Diskussionen in dieser Richtung halt ich mich schon lange raus, weil diese sinnlos sind.

Jeder hat eine andere Meinung

Froh das wir helfen konnten

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen