Hallo allerseits,

vorab: Ich habe kein "spezifisches" Problem, welches auf Trojaner oder Viren zurückgeht, dennoch wird im Laufe der Zeit mein "Gefühl von Sicherheit" immer kleiner. Nachdem eine Freundin Eure Scans durchlaufen hat und sehr viel bei sich gefunden hat möchte ich gerne auch einmal einfach "alles durchsuchen".

Dennoch gibt es einige "Unregelmäßigkeiten", von denen ich nicht so recht weiß, ob sie von einem Virus oder Trojaner kommen könnten. Hier eine kurze Aufzählung:

1. eMails
Da ich für *@meineDomain.de die sogenannte "Domainhoheit" habe nutze ich oft individuelle eMail-Adressen, um zu markieren, wo ich sie nutze. So würde ich hier im Trojanerboard z.B. die eMail trojaner-board.de@meineDomain.de als Anmeldeadresse nutzen. Die Mails werden alle an meine eigene eMail weitergeleitet, ich schicke nie eine eMail über diese "customized" Adressen raus.

Es existieren also mehrere hundert dieser "individuellen mails", und komischerweise bekomme ich auf sehr viele davon Spam-eMails. In vielen Fällen mag das an den Foren liegen, daß die gehackt wurden und deren eMails nun in Spam-Listen sind, allerdings passiert mir das auch bei einigen richtig großen und gut abgesicherten Websites. Und mit "richtig groß" meine ich wirklich die Top-Player!

Ich habe nicht den Hauch einer Ahnung, wie eine individuell und einmalig für eine Foren-Anmeldung genutzte eMail-Adresse in einem Spam-Verteiler kommen kann ... der einzige Punkt, wo "alles zusammenläuft" ist meine Outlook-Installation.

2. Geschwindigkeit, das immer gleiche übel.
Gut, (fast) jeder jammert über einen zu langsamen PC. Ich habe einen Core i7 extreme, also an sich einen richtig schnellen Rechner, 8 GB RAM drinnen, 64 Bit und so weiter. Bin kein Profi ... aber ist schon recht gut, der Rechner. Und kommt mir langsamer vor als mein alter XP-Rechner von ALDI.

Übrigens wundere ich mich auch über den Speicher: 8 GB installiert, allerdings nur "4 GB nutzbar", so steht es im System. Ich glaube aber, das ist eher eine Einstellungs-Sache als ein Virus, oder?

3. Temp-Dateien
Ich nutze GData als Virenschutz, und ich kriege immer wieder mal eine Meldung über eine Datei mit einem Virus. GData verweist dabei in der Regel auf Temp-Verzeichnisse, gibt mir aber keine Optionen (Löschen, Quarantäne,...). Die Datei selbst ist von endlosen Dateinamen und Verzeichnisnamen umgeben, ich werde da nicht klug draus.


Weiter zu Euren Schritten:
Ich habe nun mit Defogger Disabled und danach OTL laufen lassen. Da ich ein 64-bit-system habe soll ich GMER nicht laufen lassen, richtig?

Die Ergebnisse von OTL.exe stehen nun unten. Vorab: Vielen lieben Dank für Eure Hilfe!

Alles Liebe, Julian!

Zitat:

und komischerweise bekomme ich auf sehr viele davon Spam-eMails.

Und was soll daran komisch sein?
Spambots generieren ihre Empfängeradressen oder schnappen sie im Internet und/oder aus Adressbüchern auf, tw. aus gehackten Konten oder PCs.
Gearde wenn bei dir nur die Domain bekannt sein muss kann ein Spammer doch an "irgendwas"@deineDomain.de spammen

Zitat:

Ich habe nicht den Hauch einer Ahnung, wie eine individuell und einmalig für eine Foren-Anmeldung genutzte eMail-Adresse in einem Spam-Verteiler kommen kann ... der einzige Punkt, wo "alles zusammenläuft" ist meine Outlook-Installation.

Du möchtest vllt mal den Spamfilter deines Providers anstellen.
Für irgendwelche Registrierungen lässt sie auch ein "Müllkonto" bei einem Freemailanbieter wie GMX oder web.de sicher einrichten, wer will und wenn die Seite es erlaubt auch im Zusammenhang mit Spamgourmet.

Zitat:

2. Geschwindigkeit, das immer gleiche übel.

Da kann man nicht pauschal eine Ursache nennen. Sehr sehr häufig werden die Windows-Systeme aber planlos mit irgendwelcher Software zugemüllt, sogar schon herstellerseitig ist da viel Schrott mit bei auf einem vorinstallierten Gerät.
Ein vollständiges Plätten und eine Neuinstallation von normaler Windows-DVD (keine Redovery-Gedöns!) kann da echt Wunder wirken.

Zitat:

3. Temp-Dateien
Ich nutze GData als Virenschutz, und ich kriege immer wieder mal eine Meldung über eine Datei mit einem Virus.

Ohne die Logs wird das hier nichts.
Alles von GDATA muss hier gepostet werden.

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Hi Cosinus,

Zitat:

Und was soll daran komisch sein?
Spambots generieren ihre Empfängeradressen oder schnappen sie im Internet und/oder aus Adressbüchern auf, tw. aus gehackten Konten oder PCs.
Gearde wenn bei dir nur die Domain bekannt sein muss kann ein Spammer doch an "irgendwas"@deineDomain.de spammen

Das wäre wirklich kein Thema, und über SPAM an eMails wie "info@meinedomain.de" oder "admin@meinedomain.de" wundere ich mich natürlich nicht.

Worüber ich mich wundere ist, daß speziell diesese Format, das ich nutze, häufig in Spammails auftaucht. Auf das Trojaner-Board bezogen:

Ich melde mich mit "trojaner-board.de@meinedomain.de" an, und auf GENAU DIESE Domain bekomme ich spam. Ich glaube nicht, daß viele Spam-Verteiler bei Blindmails einfach mal domainnamen VOR das ät-Zeichen setzen.

Diese "Konstrukte" kriege ich dann aber wieder auch NUR auf die eMail-Adressen, mit denen ich irgendwo einen Account angelegt habe. Zuerst dachte ich immer wieder, daß die Foren gehackt worden wären und habe die Betreiber darauf hingewiesen. Das ist mir aber auch mit Accounts bei mehreren großen Anbietern passiert, einfach "zu viele", als daß ich es für realistisch halte, daß die alle gehackt worden sind.

Nur um mal ein paar Namen in den Raum zu werfen: Ich halte es für unwahrscheinlich, daß Adobe, Amazon und ebay gleichzeitig gehackt worden sind. Bei allen drei habe ich accounts unter "adobe.com@meinedomain.de", "amazon.com@meinedomain.de" und "ebay.de@meinedomain.de". Und genau das ist das Muster, nach dem Spam an mich geht.

Nachvollziehbar, warum es eben doch verwunderlich ist?
;-)

Zitat:

Du möchtest vllt mal den Spamfilter deines Providers anstellen.
Für irgendwelche Registrierungen lässt sie auch ein "Müllkonto" bei einem Freemailanbieter wie GMX oder web.de sicher einrichten, wer will und wenn die Seite es erlaubt auch im Zusammenhang mit Spamgourmet.

Hab´ nen eigenen Mailserver. ;-)
Der Spamfilter ist darin ausgeschaltet, ich nehme obige Technik. Die ist an sich recht einfach, wenn ich mich im sonstwas-forum.de anmelde, dann unter "sonstwas-forum.de@meinedomain.de". Am Mailserver ist ein Alias eingerichtet, der alles abfängt.

Sobald an die eMail Spam geht leite ich einfach diese eine eMail um und fertig. Das schöne ist: Durch den Alias kann ich jegliche eMail-Adresse mit meiner Domain nutzen ohne sie vorher einzurichten. Für mich sind solche eMail-Adressen sozusagen ein "Wegwerfprodukt", allerdings mit einer markierung, über welche Domain ich diese eMail-Adresse "rausgegeben" habe.

Zitat:

Da kann man nicht pauschal eine Ursache nennen. Sehr sehr häufig werden die Windows-Systeme aber planlos mit irgendwelcher Software zugemüllt, sogar schon herstellerseitig ist da viel Schrott mit bei auf einem vorinstallierten Gerät.
Ein vollständiges Plätten und eine Neuinstallation von normaler Windows-DVD (keine Redovery-Gedöns!) kann da echt Wunder wirken.

Daher habe ich es auch mit "immer das Gleiche" markiert. Sollte heißen: Ich nehme da snicht zwangsläufig als ein Virus-Hinweis.

Zitat:

Alles von GDATA muss hier gepostet werden.

GDATA hat wie es aussieht keine "große Logdatei" sondern massenhaft einzelne Einträge, ungefähr 20x am Tag ein Update der Virensignaturen.

Das überspringe ich mal und poste alle Virenmeldungen der letzten Wochen:

Code: Alles auswählenAufklappen

ATTFilter

Datei C:\Users\Julian\AppData\Local\Temp\jar_cache1252372150731719144.tmp
Virus Java:Agent-ACJ [Expl], Java:Agent-AFG [Expl], Java:Agent-ACI [Expl] (Engine B)

----------

Datei C:\Users\Julian\AppData\Local\Temp\jar_cache6246591173723136642.tmp
Virus Trojan.Agent.ATMO, Exploit.Java.CVE-2010-0840.I (Engine A)

----------

Datei C:\Users\Julian\AppData\Local\Temp\jar_cache1252372150731719144.tmp
Virus Java.Exploit.CVE-2010-0840.Y (Engine A)

----------

Datei C:\Users\Julian\AppData\Local\Temp\jar_cache6246591173723136642.tmp
Virus Trojan.Agent.ATMO, Exploit.Java.CVE-2010-0840.I (Engine A)

----------

Virenprüfung von Web-Inhalten

Adresse:     justfycugh.com
Virus:     JS:Pdfka-gen [Expl] (Engine B)
Status:     Der Zugriff wurde verweigert.

Virenprüfung von Web-Inhalten

Adresse:     justfycugh.com/af85dd.pdf
Virus:     JS:Pdfka-gen [Expl] (Engine B)
Status:     Der Zugriff wurde verweigert.

----------

*** Prozess ***

Prozess: 4460
Dateiname: 0.607582342898585.exe
Pfad: c:\users\julian\appdata\local\temp\0.607582342898585.exe

Herausgeber: Unbekannter Herausgeber
Erstelldatum: 01/12/12 23:41:15
Änderungsdatum: 01/12/12 23:41:15

Gestartet von: java.exe
Herausgeber: Sun Microsystems, Inc.


*** Aktionen ***

Das Programm versucht zu erreichen, dass ein Programm beim Systemstart automatisch gestartet wird.
Ein Autostart Eintrag verweist auf einen verdächtigen Ort.


*** Quarantäne ***

Folgende Dateien wurden in Quarantäne verschoben:
C:\Users\Julian\AppData\Local\Temp\0.607582342898585.exe

Folgende Registry Einträge wurden gelöscht:

\REGISTRY\USER\S-1-5-21-2012717551-1950593539-2622157764-1000\Software\Microsoft\Windows\CurrentVersion\Run || vasja

OjowLDAuODI4OSwxNzozLDEsMjQ6NCwxLDE6NiwxLDE6OCwxLDEyOjE0LC0xLDM6MTUsMSwzOjE2LDEsMzoyNiwxLDM6MjgsMSwxOjM1LDAuODI4OSwyOjM3LDEsMToxMTQsMSwxOjEyNiwxLDE6MTQ1LDIwMTIxNiwxOjoA

C:\Users\Julian\AppData\Local\Temp\0.607582342898585.exe
"C:\Program Files (x86)\Java\jre6\bin\java.exe" -D__jvm_launched=34294228100 "-Xbootclasspath/a:C:\\PROGRA~2\\Java\\jre6\\lib\\deploy.jar;C:\\PROGRA~2\\Java\\jre6\\lib\\javaws.jar;C:\\PROGRA~2\\Java\\jre6\\lib\\plugin.jar" "-Djava.class.path=C:\\PROGRA~2\\Java\\jre6\\classes" -Dsun.awt.warmup=true "-Dsun.plugin2.jvm.args=-D__jvm_launched=34294228100 \"-Xbootclasspath/a:C:\\\\PROGRA~2\\\\Java\\\\jre6\\\\lib\\\\deploy.jar;C:\\\\PROGRA~2\\\\Java\\\\jre6\\\\lib\\\\javaws.jar;C:\\\\PROGRA~2\\\\Java\\\\jre6\\\\lib\\\\plugin.jar\" \"-Djava.class.path=C:\\\\PROGRA~2\\\\Java\\\\jre6\\\\classes\" -Dsun.awt.warmup=true --- --" sun.plugin2.main.client.PluginMain write_pipe_name=jpi2_pid6524_pipe2,read_pipe_name=jpi2_pid6524_pipe1

----------
Datei C:\Users\Julian\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\37\78bf8d65-1945e486
Virus Java:CVE-2011-3544-AS [Expl] (Engine B)

----------
Die Datei wurde in die Quarantäne verschoben.

Datei C:\Users\Julian\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\46\11c0c46e-7aabcf1d
Virus Win32:Rootkit-gen [Rtk] (Engine B)

----------
Datei C:\Users\Julian\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\37\78bf8d65-1945e486
Virus Java:CVE-2011-3544-AS [Expl] (Engine B)
         

Das sind alle GDATA-Logs von diesem Jahr, mit ausnahme der Update-Meldungen. Gut so?
;-)

Die früheren Logs hatte ich als ZIPs angehängt, die waren zu lang. Also die von der "Einstiegs-Prüfung". ;-)

Alles Liebe, Julian!

Zitat:

Nachvollziehbar, warum es eben doch verwunderlich ist?
;-)

Hm, kommt drauf an, was für Spam das denn jetzt ist. Und es gibt auch Zufälle
Und je nachdem ob dein Rechner befallen ist oder nicht können die Schädlinge alles was nach Mailadresse aussieht "abfangen"

Zitat:

Hab´ nen eigenen Mailserver. ;-)

Wozu hast du einen eigenen Mailserver?
Eigene (größere) Firma? Beschreib mal etwas genauer die Konfig und it was der genau läuft.

Zitat:

Folgende Dateien wurden in Quarantäne verschoben:
C:\Users\Julian\AppData\Local\Temp\0.607582342898585.exe

Dieser Rechner ist befallen. Ist das der einzige Windowws-Rechner da bei dir?

Zitat:

Hm, kommt drauf an, was für Spam das denn jetzt ist. Und es gibt auch Zufälle
Und je nachdem ob dein Rechner befallen ist oder nicht können die Schädlinge alles was nach Mailadresse aussieht "abfangen"

Der billigste Viagra-Spam.

Zitat:

Wozu hast du einen eigenen Mailserver?
Eigene (größere) Firma? Beschreib mal etwas genauer die Konfig und it was der genau läuft.

Nicht "größer", aber eben meine eigene. ;-)
Ich habe einen gemieteten "hosted" Webserver bei Netbuilt. Dort wird er verwaltet, ist aber kein "Shared" sondern wirklich "ein eigener". Sobald es um die php.ini geht und "weiter aufwärts" kenne ich mich nicht mehr aus, dann darf Netbuilt ran. Ich bin also wirklich nicht "sehr weit in der Technik drinnen".

Das mit den eMails ist recht einfach:
Die eMail *@meinedomain.de gilt als "Joker" und fängt alles ab. Ich brauche also nur in der Bedienoberfläche die eMail anzulegen, und schon geht alles, wo meine Domain hinten dran hängt, an mich. ;-)

Zitat:

Dieser Rechner ist befallen. Ist das der einzige Windowws-Rechner da bei dir?

Nein.

1) Mein Rechner
2) Mein Notebook
3) Ein alter Rechner, der mir als "Kopierstation" dient.
(*Anmerkung: Ich produziere selbst CDs, ist nichts raubkopiertes*)
4) Sandra macht meine Buchhaltung, sie ist einmal die Woche da und Ihr Rechner hängt bei mir im Netz
5) Ich habe einen "alten" REchner von mir, der auch im Netz hing, Sandra vermacht, wei lich ihn nicht mehr brauchte. Der steht jetzt bei Sandra ... war aber bei mir im Netz.

Dann gibt es noch:
5) einen AIRport (Apple zum übertragen von Musik)
6) Einen Netzwerk-Drucker (Oki)
7) einen NAS-Speicher (Q-NAP)
8) einen Popcornhour Multimedia-Streamer mit Festplatte
9) Ein iPhone
10) Eine Wii
11) Eine Fritzbox, die all die Geräte oben vernetzt.

(ui, mir fällt gerade auf, ich habe ja richtig viel)

Alles Liebe, Julian!

Ok. Wenn du jetzt den Rechner analysieren willst, von dem das letzte Log von GDATA stammt, dann auch bitte erstmal nur diesen Rechner und nicht Logs von verschiedenen Systemen hier reinposten. Sonst bricht das Chaos aus.

Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Hi Arne,

hier schonmal der Log von Malwarebytes, der sieht schonmal sauber aus.

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.60.0.1800
www.malwarebytes.org

Datenbank Version: v2012.01.30.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Julian :: SILVERSTONE [Administrator]

Schutz: Deaktiviert

30.01.2012 14:08:36
mbam-log-2012-01-30 (14-08-36).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 1120229
Laufzeit: 10 Stunde(n), 19 Minute(n), 24 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Der Rest Folgt!

Alles Liebe, Julian!