Hallo Cosinus,

die Scans habe ich gemacht...

hier der von Malwarebyte

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.02.05.03

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 7.0.6002.18005
MHO :: MHO [Administrator]

06.02.2012 00:00:41
mbam-log-2012-02-06 (00-00-41).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 355939
Laufzeit: 1 Stunde(n), 7 Minute(n), 37 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Bei dem SUPERAntiSpyware habe ich zuerst aus Versehen nur den Quickscan gemacht, da waren nur ein paar Tracking Cookies, die ich dann entfernt habe.

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 02/06/2012 at 09:30 AM

Application Version : 5.0.1144

Core Rules Database Version : 8203
Trace Rules Database Version: 6015

Scan type       : Quick Scan
Total Scan Time : 00:04:43

Operating System Information
Windows Vista Home Basic 32-bit, Service Pack 2 (Build 6.00.6002)
UAC On - Limited User (Administrator User)

Memory items scanned      : 669
Memory threats detected   : 0
Registry items scanned    : 27142
Registry threats detected : 0
File items scanned        : 7509
File threats detected     : 13

Adware.Tracking Cookie
	www.digital-eliteboard.com [ C:\USERS\MHO\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\5Q9G6MZH.DEFAULT\COOKIES.SQLITE ]
	www.digital-eliteboard.com [ C:\USERS\MHO\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\5Q9G6MZH.DEFAULT\COOKIES.SQLITE ]
	.digital-eliteboard.com [ C:\USERS\MHO\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\5Q9G6MZH.DEFAULT\COOKIES.SQLITE ]
	.digital-eliteboard.com [ C:\USERS\MHO\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\5Q9G6MZH.DEFAULT\COOKIES.SQLITE ]
	.digital-eliteboard.com [ C:\USERS\MHO\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\5Q9G6MZH.DEFAULT\COOKIES.SQLITE ]
	.www.ep-mediastore-ab.de [ C:\USERS\MHO\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\5Q9G6MZH.DEFAULT\COOKIES.SQLITE ]
	.ep-mediastore-ab.de [ C:\USERS\MHO\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\5Q9G6MZH.DEFAULT\COOKIES.SQLITE ]
	.ep-mediastore-ab.de [ C:\USERS\MHO\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\5Q9G6MZH.DEFAULT\COOKIES.SQLITE ]
	.ep-mediastore-ab.de [ C:\USERS\MHO\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\5Q9G6MZH.DEFAULT\COOKIES.SQLITE ]
	stats.mobi.ch [ C:\USERS\MHO\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\5Q9G6MZH.DEFAULT\COOKIES.SQLITE ]
	stats.mobi.ch [ C:\USERS\MHO\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\5Q9G6MZH.DEFAULT\COOKIES.SQLITE ]
	www.mediamarkt.de [ C:\USERS\MHO\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\5Q9G6MZH.DEFAULT\COOKIES.SQLITE ]
	www.mediamarkt.de [ C:\USERS\MHO\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\5Q9G6MZH.DEFAULT\COOKIES.SQLITE ]
         

Beim Vollscan wurde dann noch etwas gefunden...

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 02/06/2012 at 11:18 AM

Application Version : 5.0.1144

Core Rules Database Version : 8203
Trace Rules Database Version: 6015

Scan type       : Complete Scan
Total Scan Time : 01:32:55

Operating System Information
Windows Vista Home Basic 32-bit, Service Pack 2 (Build 6.00.6002)
UAC On - Limited User (Administrator User)

Memory items scanned      : 672
Memory threats detected   : 0
Registry items scanned    : 34401
Registry threats detected : 0
File items scanned        : 211836
File threats detected     : 1

Trojan.Agent/Gen-Frauder
	D:\INSTALLATIONSDATEIEN\PROJECT2003\SERVER\SUPPORT\DATABASE\RESTOREP.EXE
         

den Trojaner habe ich dann entfernen lassen, ich hoffe das war richtig.

Viele Grüße
SunSun

Sieht ok aus, da wurden nur Cookies gefunden. (und ein Fehlalarm bei ESET)
Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Oh, ich kann´s kaum glauben!!

Heißt das, dass der letzte Fund von SUPERAntiSpyware kein echter Trojaner war?

Ich hatte ja keinerlei Behinderungen gemerkt, nur eben die Meldungen von Avira und dann die Funde mit den div. Programmen hier.

Kann ich also wieder ganz normal arbeiten? Auch Online Banking?
Soll ich meine Passörter bei meinen div. Accounts ändern?

Was ist mit den ganzen Programmen, die ich in den letzten Tagen installiert habe? Derzeit ist der SUPERAntiSpyware noch aktiv...

Fragen über Fragen

Aber schon mal ganz ganz herzlichen Dank für deinen Einsatz!!!!

SunSun

Dann wären wir durch!

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt.
Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:

Adobe - Andere Version des Adobe Flash Player installieren

Notfalls kann man auch von Chip.de runterladen => http://filepony.de/?q=Flash+Player

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Nochmals vielen Dank für deine Hilfe, Arne!!

Ich werde deinen Leitfaden durcharbeiten, in der Hoffnung, dass wir uns nicht mehr wiedersehen

Alles Gute und beste Grüße

Sun Sun

Sry Arne,
jetzt bin ich doch nochmal da...

combofix /uninstall klappt nicht...

Es kommt der Hinweis:
Combofix konnte nicht gefunden werden. Stellen Sie sicher dass Sie den Namen richtig eingegeben haben und wiederholen Sie den Vorgang.


Ich habe per Suchfunktion hier auch schon den Hinweis mit CF uninstall von dir vom 25.11.2011 gefunden:

Code: Alles auswählenAufklappen

ATTFilter

Edit: Einer meiner Kollegen hat hier drauf mal hingewiesen:

Es kommt mal vor das Combofix nicht entfernt werden kann
Benutze dann CF-UNINST.exe
hxxp://download.bleepingcomputer.com/sUBs/CF_UNINST.EXE
         

und habe das Uninstall auch auf meinen Desktop gelegt. Das lief, es kam die Meldung done und trotzdem ist CF noch da – auf dem Desktop... Auch nach Neustart.

SunSun

Das ist nur die EXE einfach löschen