Habe fast zeitgleich den Trojaner auf dem Arbeits-PC (XP SP3, Firefox, ESET NOD32) und meinem privaten Laptop (Vista Home Premium SP2, Firefox sandboxed, ESET NOD32) 'geschenkt' bekommen. Wie, oder wodurch, keine Ahnung.

Habe sofort das Netz getrennt. Tip - keinesfalls den PC neu starten. Befall ließ sich nicht säubern , nur Button 'löschen' bzw. 'abbrechen' waren aktiviert. Sah alles so aus wie im Bild von Mischlig (16.01.12, 14:26)

Löschen hat auf beiden Geräten nichts gebracht. Habe danach sofort die On-Demand Prüfung gestartet.
Auf dem Laptop fand er sich 7 mal in der Sandbox Default.
Auf dem Arbeits-PC hatte er sich unter meinen Firefoxanwendungsdaten eingenistet (genau wie bei Mischlig).

Auf dem Arbeits-PC sind zusätzlich sämtliche Systemwiederherstellungspunkte befallen.

Da ich die Löschung nach Befall noch nie benutzte, löschte ich auf dem Arbeits-PC, der mit dem Scan zuerst fertig war, leider nur einen Fund.
Deshalb scanne ich gerade nochmal.

Wichtig beim Löschen der Fundstellen unter ESET NOD32:
Hinter jedem Fund gibt es ein kleines schwarzes Dreieck, Cursor drauf -> linke Maustaste muß man diese Fundstelle zum Löschen markieren.

Erst wenn alle Fundstellen einzeln so bearbeitet sind darf man auf 'Ausführen' drücken. Am Laptop habe ich es dann richtig gemacht.

Ich scanne ihn zur Vorsicht aber doch nochmal mit ESET NOD32.

Später hänge ich vom Laptop die diversen Scans im TJB-Standard hier an. Wollte nur schonmal daraufhin weisen, wie sinnvoll die Sandbox wirkt.

Der 2te Scan mit ESET NOD32 war sauber.
18:20 - Jetzt scanne ich mit Malwarebyte.

Gruß PeterPan

Die Systemuhr geht hier 1 Stunde nach, es ist schon 19:17 Uhr.
Hier mein VollScan am Laptop (Vista Home Premium) nach dem Befall um 14:30 Uhr.
Jetz lasse ich ESET noch online scannen.

Malwarebytes Anti-Malware 1.60.0.1800
www.malwarebytes.org

Datenbank Version: v2012.01.16.02

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.19170
s***k :: S***K-PC [Administrator]

16.01.2012 18:08:08
mbam-log-2012-01-16 (18-08-08).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 304042
Laufzeit: 53 Minute(n), 51 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

ESET Online Scan

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=7d6062f4cae0df4a98b6f9d3b8ebdb19
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-01-16 08:35:44
# local_time=2012-01-16 09:35:44 (+0100, Mitteleuropäische Zeit )
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=5892 16776573 100 100 43781 164272192 0 0
# compatibility_mode=8199 39157117 100 95 4120 31896314 0 0
# scanned=139640
# found=0
# cleaned=0
# scan_time=6679
# nod_component=V3 Build:0x30000000

dank Sandboxie hatte ich auf dem Laptop nur 7 Fundstellen, alle in der Default Sandbox.
Auf dem Arbeits-PC waren es dagegen 177 Fundstellen, die zu löschen erheblichen Arbeitsaufwand machen.
Im 4ten Scan mit NOD32, der gerade noch auf dem Arbeits-PC läuft, wurden wieder 4 befallene Systemwiederherstellungspunkte gefunden.

Absolut wichtig: Nicht den Rechner abschalten, bevor er völlig clean ist!

Irgendwie bin ich hier am Laptop doch noch nicht fertig.
NOD32 reicht immer mal wieder Dateien aus dem selben Verzeichnis, aber mit leicht abgewandeltem Dateinamen zur Analyse bei ESET ein.
Dabei popt das NOD-Mitteilungsfenster (blau) auf.
Ein Scan mit NOD32 findet nichts.

Was kann ich hier tun?

Soll ich zu dem anhängenden Problem ein neues Fenster aufmachen?
Eigentlich ist es ja nur die Fortsetzung.
Wo finde ich den Fiesling?
Wer kann mir bitte helfen?

So, wieder ein Bausteinchen geklärt.
Wie man im vorangegangenen Anhang sehen kann, erfolgen diese Einsendungen zur Analyse jeweils direkt nach der Aktualisierung der Signaturdatenbank.

Das ist ein Feature von NOD32.
Man kann es in den erweiterten Einstellungen durch Wegnahme eines Häkchens deaktivieren.

Zwar hatte ich die Quarantäne schon komplett gelöscht gehabt,
aber die Befunde wollen erstmal alle zur Analyse versandt sein!

In welcher Geschwindigkeit das passiert, weiß nur der Entwickler bei ESET.
So erscheint mir der Zusammenhang logisch.

Z.Zt. wird nach Aktualisierung der Signaturdatenbank nichts mehr zur Analyse eingereicht, obwohl ich dieses Feature aktiviert ließ.

Ich hoffe, ich konnte dem einen oder anderen Interessierten hier helfen.