Man sollte nicht so früh morgens am Feiertag Logs beantworten!
-.-

Zitat:

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VistaCodecs\{146A630B-CF66-4B5E-95BF-478A16039BF3}\Vista Codec Package.msi Win32/Packed.Autoit.E.Gen application
C:\Programme\VistaCodecPack\Tools\renderer32.exe Win32/Packed.Autoit.E.Gen application

Diese Funde von ESET sind zwar nicht direkt malware, beinhalten jedoch potentielle Sicherheitsrisiken. Um diese zu beheben, deinstalliere Vista Codec Pack.


Schritt 1: Adobe Shockwave Player update

Dein Shockwave-Player ist veraltet. Um den Shockwave Player zu aktualisieren, gehe bitte wie folgt vor:

• Besuche die Seite Adobe - Adobe Shockwave Player
• Klicke auf die Schaltfläche "Zustimmen und installieren" und folge den Anweisungen auf dem Bildschirm.
• Melde dich umgehend, falls Schwierigkeiten auftreten.

Schritt 2: Adobe Flash Player update


Dein Flash-Player ist veraltet. Da gerade diese Software gerne von Schädlingen als Sprungbrett ins System genutzt wird, muss sie immer aktuell gehalten werden.
Um den Flash Player zu aktualisieren, gehe bitte wie folgt vor:

• Lade dir den aktuellen Adobe Flash Player von hier herunter. Wichtig: Entferne den Haken für optionale Software (z.B. Google Chrome), der auf der Seite angezeigt wird, bevor du auf "Jetzt herunterladen" klickst.
• Starte das Setup und folge den Anweisungen auf dem Bildschirm.
• Melde dich umgehend, falls Schwierigkeiten auftreten.

Schritt 3: Java update


Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

• Downloade dir bitte die neueste Java-Version von hier
• Speichere die jxpiinstall.exe
• Schließe alle laufenden Programme. Speziell deinen Browser.
• Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 4 ) herunter laden.
• Wenn die installation beendet wurde
  Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
• Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

• Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
• Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
• Klicke auf Dateien löschen....
• Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
• Klicke erneut OK.

Schritt 4: Adobe Reader update


Dein Adobe Reader ist veraltet. Da einige Schädlinge die Schwachstellen in veralteten Versionen nutzen, werden wir sie aktualisieren.

• Lade dir den aktuellen Adobe Reader von hier herunter. Wichtig: Entferne den Haken für optionale Software (z.B. Google Chrome), der auf der Seite angezeigt wird, bevor du auf "Jetzt herunterladen" klickst.
• Starte die Installation und folge den Anweisungen auf dem Bildschirm.
• Drücke die Windows- und die R-Taste, gib im folgenden Fenster appwiz.cpl ein und klicke auf OK.
• Suche und entferne alle älteren Reader-Versionen.

Jaja... die Feiertage heißen so, weil man sich an diesen Tagen nur aufs feiern konzentrieren sollte...

Nun hatte ich dds schon runtergeladen und nochmal laufen lassen... Aber ist ja nur Analyse, wenn ich das richtig gesehen habe!?

Ich habe jetzt alle Updates gemacht und alle Schritte wie beschrieben ausgeführt (inkl. Deinstallieren dieses "VistaCodecPack + Löschen temporärer Java-Dateien + deinstallieren des alten Java).

In Systemsteuerung > Software steht noch zusätzlich "Adobe Flash Player 10". Soll ich den deinstallieren, oder baut die F.P.11-Installation darauf auf?

Beste Grüße
Robert

Wenn du den Flash Player aktualisiert hast, kannst du eventuelle veraltete Plkugins deinstallieren - sollst du sogar!

So "Flash Player 10" ist nun ebenfalls deinstalliert.

Wie geht es weiter?

Beste Grüße
Robert

Dann sind wir durch!

Lass uns noch ein wenig aufräumen:

ComboFix

Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.

Windows-Taste + R drücke. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK.

Code: Alles auswählenAufklappen

ATTFilter

Combofix /Uninstall
         

Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden.

Nun die eben deaktivierten Programme wieder aktivieren.



Hier noch ein paar Tipps zur Absicherung deines Systems.

Aktualität

Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.

• Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
• Windows Updates
  • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
  • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
• Gehe sicher das die automatischen Updates aktiviert sind.
• Software Updates
  Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
  Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.

Antviren-Software

• Gehe sicher immer eine Antiviren-Software installiert zu haben und dass diese auch up to date ist. Auch der beste Virenscanner ist sinnlos, wenn er nicht aktuell ist!
  Eine Auswahl kostenloser Antivirenprogramme:

• AVG Free Anti-Virus
• Avast! Free Anti-Virus
• Microsoft Security Essentials
  Hinweis:MSE wird auch durch Windows Updates angeboten, falls kein Virenscanner am System erkannt wird

Zusätzlicher Schutz

• MalwareBytes Anti Malware
  Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
  Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
  Ein Tutorial zur Verwendung findest Du hier.

Sicheres Browsen

• SpywareBlaster
  Eine kurze Einführung findest du Hier
• MVPs hosts file
  Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
• WOT (Web of trust)
  Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.

Alternative Browser
Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.

• Opera
• Mozilla Firefox.
  • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
  • NoScript
    Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
  • AdblockPlus
    Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner, um diesen zu AdBlockPlus hinzuzufügen, reicht und dieser wird nicht mehr geladen.
    Es spart ausserdem Downloadkapazität.

Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )

Don'ts

• Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
• verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
• Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
• Sei mißtrauisch in sozialen Netzwerken (z.B. MeinVZ, Facebook, etc) - auch, wenn Nachrichten/Einträge scheinbar von einem deiner Freunde stammen, bedeutet das noch lange nicht, dass sie unschädlich sind (Malware kann seinen Rechner verseucht haben).
• Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe

Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, damit ich diesen Thread aus meinen Abos löschen kann.

Das liest sich gut, dass wir durch sind!

Vielen Dank erstmal an dieser Stelle!

Ich habe allerdings noch viele Fragen:

1. Auf dem Desktop sieht es momentan wie auf folgendem Bild aus, kann ich das Alles entfernen (Inklusive Deinstallation von Eset-Onlinescan und MBAM)?


2. Gibt es Ordner die von den Programmen angelegt wurden, welche ich entfernen kann (siehe zB. die "backup_registry"-Ordner)?

3. Ich benutze gerne CCleaner und justiere immer sehr genau die Einstellung VOR einem Reinigungslauf. Desweiteren prüfe ich immer die angeblichen Registry-Fehler auf Plausibilität und mache ein Backup der zu entfernenden Reg-Einträge. Die Macher vom CrapCleaner scheinen sehr vorsichtig mit der Reg zu sein, da viel Müll garnicht erst gefunden bzw. angezeigt (also auch nicht entfernt) wird.
Wenn ich also behutsam mit dem Cleaner arbeite, speziell bei der Suche nach Reg-Fehlern, kann ich den dann weiterhin benutzen (Ich habe auch die Anleitung zum CrapCleaner hier im Board gelesen.)?

4. Kann ich den VNC-Server wieder aus der MSE-Quarantäne befreien und alle übrigen Dateien entfernen lassen?
Hier die Dateien in der MSE-Quarantäne (siehe auch das letzte Woche gepostete Bild mit den Funden):

Code: Alles auswählenAufklappen

ATTFilter

Adware:Win32/Adparatus

Beschreibung: Dieses Programm zeigt Popupwerbungen an.

Elemente:
file:D:\PC_XXX_alt\LWC\Download\BlotClockInst.exe

-----------------------------------------------------------------------------------

Exploit:Java/CVE-2011-3544.DS

Beschreibung: Dieses Programm ist gefährlich. Es nutzt die Sicherheitslücken eines Computers aus.

Elemente: 
file:C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temp\jar_cache1522549774744554378.tmp
file:C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temp\jar_cache6239713381635208369.tmp

-----------------------------------------------------------------------------------

PWS:Win32/Zbot.gen!Y

Beschreibung: Dieses Programm ist gefährlich. Es zeichnet Benutzerkennwörter auf.

Elemente: 
file:C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temp\~!#50.tmp
file:C:\System Volume Information\_restore{941BE9D8-9E78-4BD6-9B8A-9AF1E4DF145E}\RP341\A0048309.exe

-----------------------------------------------------------------------------------

TrojanDownloader:Win32/Small.TG

Beschreibung: Dieses Programm ist gefährlich. Es lädt andere Programme herunter.

Elemente: 
file:C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temp\8ldhla46.dat

-----------------------------------------------------------------------------------

RemoteAccess:Win32/RealVNC

Beschreibung: Das Verhalten dieses Programms ist potenziell unerwünscht.

Elemente: 
file:D:\PC_YYY\LWC_nach_CHKDSK\Dokumente und Einstellungen\All Users\Startmenü\Programme\RealVNC\VNC Server 4 (Service-Mode)\Configure VNC Service.lnk
file:D:\PC_YYY\LWC_nach_CHKDSK\Dokumente und Einstellungen\All Users\Startmenü\Programme\RealVNC\VNC Server 4 (Service-Mode)\Register VNC Service.lnk
file:D:\PC_YYY\LWC_nach_CHKDSK\Dokumente und Einstellungen\All Users\Startmenü\Programme\RealVNC\VNC Server 4 (Service-Mode)\Start VNC Service.lnk
file:D:\PC_YYY\LWC_nach_CHKDSK\Dokumente und Einstellungen\All Users\Startmenü\Programme\RealVNC\VNC Server 4 (Service-Mode)\Stop VNC Service.lnk
file:D:\PC_YYY\LWC_nach_CHKDSK\Dokumente und Einstellungen\All Users\Startmenü\Programme\RealVNC\VNC Server 4 (Service-Mode)\Unregister VNC Service.lnk
file:D:\PC_YYY\LWC_nach_CHKDSK\Dokumente und Einstellungen\All Users\Startmenü\Programme\RealVNC\VNC Server 4 (User-Mode)\Configure User-Mode Settings.lnk
file:D:\PC_YYY\LWC_nach_CHKDSK\Dokumente und Einstellungen\All Users\Startmenü\Programme\RealVNC\VNC Server 4 (User-Mode)\Run VNC Server.lnk
file:D:\PC_YYY\LWC_nach_CHKDSK\Dokumente und Einstellungen\YYY\Startmenü\Programme\RealVNC\VNC Server 4 (Service-Mode)\Configure VNC Service.lnk
file:D:\PC_YYY\LWC_nach_CHKDSK\Dokumente und Einstellungen\YYY\Startmenü\Programme\RealVNC\VNC Server 4 (Service-Mode)\Register VNC Service.lnk
file:D:\PC_YYY\LWC_nach_CHKDSK\Dokumente und Einstellungen\YYY\Startmenü\Programme\RealVNC\VNC Server 4 (Service-Mode)\Start VNC Service.lnk
file:D:\PC_YYY\LWC_nach_CHKDSK\Dokumente und Einstellungen\YYY\Startmenü\Programme\RealVNC\VNC Server 4 (Service-Mode)\Stop VNC Service.lnk
file:D:\PC_YYY\LWC_nach_CHKDSK\Dokumente und Einstellungen\YYY\Startmenü\Programme\RealVNC\VNC Server 4 (Service-Mode)\Unregister VNC Service.lnk
file:D:\PC_YYY\LWC_nach_CHKDSK\Dokumente und Einstellungen\YYY\Startmenü\Programme\RealVNC\VNC Server 4 (User-Mode)\Configure User-Mode Settings.lnk
file:D:\PC_YYY\LWC_nach_CHKDSK\Dokumente und Einstellungen\YYY\Startmenü\Programme\RealVNC\VNC Server 4 (User-Mode)\Run VNC Server.lnk
file:D:\PC_YYY\LWC_nach_CHKDSK\Programme\RealVNC\VNC4\logmessages.dll
file:D:\PC_YYY\LWC_nach_CHKDSK\Programme\RealVNC\VNC4\vncconfig.exe
file:D:\PC_YYY\LWC_nach_CHKDSK\Programme\RealVNC\VNC4\winvnc4.exe
file:D:\PC_YYY\LWC_nach_CHKDSK\Programme\RealVNC\VNC4\wm_hooks.dll
file:D:\PC_YYY\LWC_vor_CHKDSK\Dokumente und Einstellungen\All Users\Startmenü\Programme\RealVNC\VNC Server 4 (Service-Mode)\Configure VNC Service.lnk
file:D:\PC_YYY\LWC_vor_CHKDSK\Dokumente und Einstellungen\All Users\Startmenü\Programme\RealVNC\VNC Server 4 (Service-Mode)\Register VNC Service.lnk
file:D:\PC_YYY\LWC_vor_CHKDSK\Dokumente und Einstellungen\All Users\Startmenü\Programme\RealVNC\VNC Server 4 (Service-Mode)\Start VNC Service.lnk
file:D:\PC_YYY\LWC_vor_CHKDSK\Dokumente und Einstellungen\All Users\Startmenü\Programme\RealVNC\VNC Server 4 (Service-Mode)\Stop VNC Service.lnk
file:D:\PC_YYY\LWC_vor_CHKDSK\Dokumente und Einstellungen\All Users\Startmenü\Programme\RealVNC\VNC Server 4 (Service-Mode)\Unregister VNC Service.lnk
file:D:\PC_YYY\LWC_vor_CHKDSK\Dokumente und Einstellungen\All Users\Startmenü\Programme\RealVNC\VNC Server 4 (User-Mode)\Configure User-Mode Settings.lnk
file:D:\PC_YYY\LWC_vor_CHKDSK\Dokumente und Einstellungen\All Users\Startmenü\Programme\RealVNC\VNC Server 4 (User-Mode)\Run VNC Server.lnk
file:D:\PC_YYY\LWC_vor_CHKDSK\Dokumente und Einstellungen\YYY\Startmenü\Programme\RealVNC\VNC Server 4 (Service-Mode)\Configure VNC Service.lnk
file:D:\PC_YYY\LWC_vor_CHKDSK\Dokumente und Einstellungen\YYY\Startmenü\Programme\RealVNC\VNC Server 4 (Service-Mode)\Register VNC Service.lnk
file:D:\PC_YYY\LWC_vor_CHKDSK\Dokumente und Einstellungen\YYY\Startmenü\Programme\RealVNC\VNC Server 4 (Service-Mode)\Start VNC Service.lnk
file:D:\PC_YYY\LWC_vor_CHKDSK\Dokumente und Einstellungen\YYY\Startmenü\Programme\RealVNC\VNC Server 4 (Service-Mode)\Stop VNC Service.lnk
file:D:\PC_YYY\LWC_vor_CHKDSK\Dokumente und Einstellungen\YYY\Startmenü\Programme\RealVNC\VNC Server 4 (Service-Mode)\Unregister VNC Service.lnk
file:D:\PC_YYY\LWC_vor_CHKDSK\Dokumente und Einstellungen\YYY\Startmenü\Programme\RealVNC\VNC Server 4 (User-Mode)\Configure User-Mode Settings.lnk
file:D:\PC_YYY\LWC_vor_CHKDSK\Dokumente und Einstellungen\YYY\Startmenü\Programme\RealVNC\VNC Server 4 (User-Mode)\Run VNC Server.lnk
file:D:\PC_YYY\LWC_vor_CHKDSK\Programme\RealVNC\VNC4\logmessages.dll
file:D:\PC_YYY\LWC_vor_CHKDSK\Programme\RealVNC\VNC4\vncconfig.exe
file:D:\PC_YYY\LWC_vor_CHKDSK\Programme\RealVNC\VNC4\winvnc4.exe
file:D:\PC_YYY\LWC_vor_CHKDSK\Programme\RealVNC\VNC4\wm_hooks.dll

-----------------------------------------------------------------------------------

Trojan:WinNT/Sirefef.J

Beschreibung: Dieses Programm ist gefährlich. Es führt Befehle eines Angreifers aus.

Elemente: 
file:C:\System Volume Information\_restore{941BE9D8-9E78-4BD6-9B8A-9AF1E4DF145E}\RP341\A0048310.sys
file:C:\System Volume Information\_restore{941BE9D8-9E78-4BD6-9B8A-9AF1E4DF145E}\RP341\A0048409.sys
file:C:\System Volume Information\_restore{941BE9D8-9E78-4BD6-9B8A-9AF1E4DF145E}\RP341\A0049409.sys
file:C:\System Volume Information\_restore{941BE9D8-9E78-4BD6-9B8A-9AF1E4DF145E}\RP341\A0049438.sys
file:C:\System Volume Information\_restore{941BE9D8-9E78-4BD6-9B8A-9AF1E4DF145E}\RP342\A0049499.sys
file:C:\System Volume Information\_restore{941BE9D8-9E78-4BD6-9B8A-9AF1E4DF145E}\RP342\A0049512.sys
file:C:\System Volume Information\_restore{941BE9D8-9E78-4BD6-9B8A-9AF1E4DF145E}\RP343\A0050512.sys

-----------------------------------------------------------------------------------

TrojanDownloader:Win32/Karagany.I

Beschreibung: Dieses Programm ist gefährlich. Es lädt andere Programme herunter.

Elemente: 
file:C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\50\44a7a272-5b16adf9
file:C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temp\tempfiles.exe

-----------------------------------------------------------------------------------

Exploit:Java/CVE-2010-0840.BS

Beschreibung: Dieses Programm ist gefährlich. Es nutzt die Sicherheitslücken eines Computers aus.

Elemente: 
file:C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temp\jar_cache4628580679280526750.tmp

-----------------------------------------------------------------------------------

Trojan:WinNT/Sirefef.J

Beschreibung: Dieses Programm ist gefährlich. Es führt Befehle eines Angreifers aus.

Elemente: 
file:C:\System Volume Information\_restore{941BE9D8-9E78-4BD6-9B8A-9AF1E4DF145E}\RP341\A0048298.sys

-----------------------------------------------------------------------------------

Trojan:WinNT/Sirefef.J

Beschreibung: Dieses Programm ist gefährlich. Es führt Befehle eines Angreifers aus.

Elemente: 
file:C:\WINDOWS\system32\drivers\ipsec.sys

-----------------------------------------------------------------------------------

Trojan:WinNT/Sirefef.J

Beschreibung: Dieses Programm ist gefährlich. Es führt Befehle eines Angreifers aus.

Elemente: 
file:C:\WINDOWS\system32\DRIVERS\ipsec.sys
driver:IPSec
         

Beste Grüße
Robert

Ich hoffe du bist jetzt nicht in Urlaub gefahren Marius!?!