okay....

ich dachte, da es ein anderer Fall ist, müsste ich ein neues Thema aufmachen....

Nachdem ich die beiden infizierten objekte in Q gestellt habe, fährt der Rechner im normalen Windows in 15 sek hoch...

Warum soll das ein anderer Fall sein? Anderer PC?

Nein, ist der selbe PC....
dachte halt nur, weil du gesagt hattest, dass wir nun fertig sind...

Ach der selbe Rechner? Dann geh ich jede Wette ein, dass du nicht jede Softwarekomponente nach unserer Preozedur aktualisiert hast!

Ich wollte ja gerade deine Liste abarbeiten und war dabei ein AntiVir update und komplett-scan zu machen.... Ich hatte Cookies vorher gelöscht und dann konnte ich ja schon nichts mehr machen....

Ich hab die 2 Objekte nun in die Quarantäne gestellt. Soll ich jetzt schon alles updaten, oder erst warten, bis der Rechner wieder sauber ist?

Bitte alle Funde entfernen!
Wenn der ucash Müll weg ist aktualisierst du umgehend alles was ich da gepostet hab!

Nur noch mal, damit ich dich richtig verstehe:

Ich lösche nun die Funde in der Quarantäne vollständig?

Zitat:

Keine Aktion durchgeführt.
-> No action taken.

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! Bitte nachholen falls noch nicht getan!

NICHTS voreilig aus der Quarantäne löschen!

So, habe gestern die MS-Updateseite besucht und geupdated.
AdobeReader, Adobe Flash player und FF waren aktualisiert.

Wärend der Microsoftupdates schlug Antivir dann Alarm.
Ich habe dann noch mal Malwarebytes drüber laufen lassen.

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.15.09

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Besitzer :: SCHNEEWANTE [Administrator]

Schutz: Aktiviert

15.07.2012 19:50:15
mbam-log-2012-07-15 (19-50-15).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 308946
Laufzeit: 49 Minute(n), 13 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\System Volume Information\_restore{31054393-ABE5-41CB-AACD-3E2228D7FE79}\RP150\A0023492.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Java update-einstellungen sind seid heute morgen nun auch geändert.

Da habe ich nun unter Software in der Systemsteuerung stehen:
Java Auto updater, Java(TM) 6 Update 2, Java(TM) 7 Update 5, JavaFX 2.1.1
Ist das richtig so, kann oder muss ich davon irgendetwas löschen?
Außerdem hat mir Secunia PSI vorgeschlagen WinAmp, Skype und IE zu updaten.

Wärend eines Vollscans heute morgen hat AntiVir das gefunden:

Code: Alles auswählenAufklappen

ATTFilter

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Montag, 16. Juli 2012  08:43

Es wird nach 3874705 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Microsoft Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : SCHNEEWANTE

Versionsinformationen:
BUILD.DAT      : 12.0.0.1125    41829 Bytes  02.05.2012 16:34:00
AVSCAN.EXE     : 12.3.0.15     466896 Bytes  08.05.2012 17:49:45
AVSCAN.DLL     : 12.3.0.15      66256 Bytes  08.05.2012 17:49:45
LUKE.DLL       : 12.3.0.15      68304 Bytes  08.05.2012 17:49:46
AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  08.05.2012 17:49:46
AVREG.DLL      : 12.3.0.17     232200 Bytes  10.05.2012 17:49:32
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 10:49:21
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 07:56:15
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 07:56:21
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 17:35:04
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 15:39:39
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 07:47:44
VBASE006.VDF   : 7.11.34.117     2048 Bytes  29.06.2012 07:47:44
VBASE007.VDF   : 7.11.34.118     2048 Bytes  29.06.2012 07:47:44
VBASE008.VDF   : 7.11.34.119     2048 Bytes  29.06.2012 07:47:44
VBASE009.VDF   : 7.11.34.120     2048 Bytes  29.06.2012 07:47:44
VBASE010.VDF   : 7.11.34.121     2048 Bytes  29.06.2012 07:47:44
VBASE011.VDF   : 7.11.34.122     2048 Bytes  29.06.2012 07:47:44
VBASE012.VDF   : 7.11.34.123     2048 Bytes  29.06.2012 07:47:44
VBASE013.VDF   : 7.11.34.124     2048 Bytes  29.06.2012 07:47:44
VBASE014.VDF   : 7.11.34.201   169472 Bytes  02.07.2012 14:55:19
VBASE015.VDF   : 7.11.35.19    122368 Bytes  04.07.2012 15:07:38
VBASE016.VDF   : 7.11.35.87    146944 Bytes  06.07.2012 08:03:17
VBASE017.VDF   : 7.11.35.143   126464 Bytes  09.07.2012 16:24:35
VBASE018.VDF   : 7.11.35.235   151552 Bytes  12.07.2012 17:29:18
VBASE019.VDF   : 7.11.36.45    118784 Bytes  13.07.2012 17:29:18
VBASE020.VDF   : 7.11.36.46      2048 Bytes  13.07.2012 17:29:18
VBASE021.VDF   : 7.11.36.47      2048 Bytes  13.07.2012 17:29:18
VBASE022.VDF   : 7.11.36.48      2048 Bytes  13.07.2012 17:29:18
VBASE023.VDF   : 7.11.36.49      2048 Bytes  13.07.2012 17:29:18
VBASE024.VDF   : 7.11.36.50      2048 Bytes  13.07.2012 17:29:18
VBASE025.VDF   : 7.11.36.51      2048 Bytes  13.07.2012 17:29:18
VBASE026.VDF   : 7.11.36.52      2048 Bytes  13.07.2012 17:29:18
VBASE027.VDF   : 7.11.36.53      2048 Bytes  13.07.2012 17:29:18
VBASE028.VDF   : 7.11.36.54      2048 Bytes  13.07.2012 17:29:18
VBASE029.VDF   : 7.11.36.55      2048 Bytes  13.07.2012 17:29:18
VBASE030.VDF   : 7.11.36.56      2048 Bytes  13.07.2012 17:29:18
VBASE031.VDF   : 7.11.36.90     68608 Bytes  16.07.2012 06:43:06
Engineversion  : 8.2.10.114
AEVDF.DLL      : 8.1.2.10      102772 Bytes  10.07.2012 16:24:36
AESCRIPT.DLL   : 8.1.4.32      455034 Bytes  06.07.2012 04:20:56
AESCN.DLL      : 8.1.8.2       131444 Bytes  02.03.2012 17:35:09
AESBX.DLL      : 8.2.5.12      606578 Bytes  14.06.2012 18:34:05
AERDL.DLL      : 8.1.9.15      639348 Bytes  31.01.2012 07:55:37
AEPACK.DLL     : 8.3.0.14      807287 Bytes  15.07.2012 17:29:20
AEOFFICE.DLL   : 8.1.2.40      201082 Bytes  29.06.2012 07:47:41
AEHEUR.DLL     : 8.1.4.72     5038455 Bytes  15.07.2012 17:29:20
AEHELP.DLL     : 8.1.23.2      258422 Bytes  29.06.2012 07:47:39
AEGEN.DLL      : 8.1.5.32      434548 Bytes  07.07.2012 08:03:18
AEEXP.DLL      : 8.1.0.62       86389 Bytes  15.07.2012 17:29:20
AEEMU.DLL      : 8.1.3.2       393587 Bytes  10.07.2012 16:24:36
AECORE.DLL     : 8.1.27.2      201078 Bytes  10.07.2012 16:24:36
AEBB.DLL       : 8.1.1.0        53618 Bytes  31.01.2012 07:55:33
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  08.05.2012 17:49:45
AVPREF.DLL     : 12.3.0.15      51920 Bytes  08.05.2012 17:49:45
AVREP.DLL      : 12.3.0.15     179208 Bytes  08.05.2012 17:49:46
AVARKT.DLL     : 12.3.0.15     211408 Bytes  08.05.2012 17:49:45
AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  08.05.2012 17:49:45
SQLITE3.DLL    : 3.7.0.1       398288 Bytes  08.05.2012 17:49:46
AVSMTP.DLL     : 12.3.0.15      63440 Bytes  08.05.2012 17:49:45
NETNT.DLL      : 12.3.0.15      17104 Bytes  08.05.2012 17:49:46
RCIMAGE.DLL    : 12.3.0.15    4447952 Bytes  08.05.2012 17:49:45
RCTEXT.DLL     : 12.3.0.15      98512 Bytes  08.05.2012 17:49:45

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Optimierter Suchlauf..................: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Montag, 16. Juli 2012  08:43

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'E:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'trillian.exe' - '93' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_TATIHTU.EXE' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamgui.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'EEventManager.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'RunDLL32.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvraidservice.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '92' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemonu.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '163' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1295' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\OpenOffice.org\3\user\config\standard.sob
  [WARNUNG]   Die komprimierten Daten sind fehlerhaft
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\OpenOffice.org\3\user\config\standard.sob
  [WARNUNG]   Die komprimierten Daten sind fehlerhaft
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\50\70acb872-61071d99
  [0] Archivtyp: ZIP
  --> dvmgrfpjbmb/msccenslyvfaspybdpbgrf.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/JAVA.Ivinest.Gen
C:\Programme\OpenOffice.org 3\Basis\presets\config\standard.sob
  [WARNUNG]   Die komprimierten Daten sind fehlerhaft
C:\Programme\WinRAR\rarnew.dat
  [WARNUNG]   Das Archiv ist unbekannt oder defekt
Beginne mit der Suche in 'D:\' <meins>
D:\TBx-s05e01.part1.rar
  [WARNUNG]   Die Datei ist kennwortgeschützt
D:\TBx-s05e01.part2.rar
  [WARNUNG]   Die Datei ist kennwortgeschützt
Beginne mit der Suche in 'E:\'
E:\World_of_Tanks\Updates\wot_67.141320_launcher_eu.patch
  [WARNUNG]   Die Komprimierungsmethode wird nicht unterstützt
E:\World_of_Tanks\Updates\wot_71.145341_launcher_eu.patch
  [WARNUNG]   Die Komprimierungsmethode wird nicht unterstützt

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\50\70acb872-61071d99
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/JAVA.Ivinest.Gen
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '541a674c.qua' verschoben!


Ende des Suchlaufs: Montag, 16. Juli 2012  09:33
Benötigte Zeit: 49:29 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

   6781 Verzeichnisse wurden überprüft
 592360 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 592359 Dateien ohne Befall
   7004 Archive wurden durchsucht
      8 Warnungen
      1 Hinweise
 241609 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
         

Was muss ich als nächstes tun???

ESET ausführen! Anleitung kennst du ja!

Eset

Code: Alles auswählenAufklappen

ATTFilter

 ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=e85bc4e2396b9f4c89f4cd53bdfbed78
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-06-28 11:09:11
# local_time=2012-06-28 01:09:11 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1792 16777191 100 0 10171780 10171780 0 0
# compatibility_mode=8192 67108863 100 0 102 102 0 0
# scanned=74508
# found=0
# cleaned=0
# scan_time=3968
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=e85bc4e2396b9f4c89f4cd53bdfbed78
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-07-17 09:37:08
# local_time=2012-07-17 11:37:08 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1792 16777191 100 0 11807663 11807663 0 0
# compatibility_mode=8192 67108863 100 0 1635985 1635985 0 0
# scanned=81268
# found=1
# cleaned=0
# scan_time=4163
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\2\3ed7cb02-662caade	a variant of Java/Exploit.CVE-2012-0507.CD trojan (unable to clean)	00000000000000000000000000000000	I
         

Nur Funde in der SWH und im JavaCache - leere diesen mal indem du alles löscht was in diesem Ordner ist

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache

In System Volume Information sind die Dateien für Wiederherstellungspunkte gespeichert.

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Rechner ansonsten soweit ok oder sind noch Probleme offen?

Habe den Ordner gelöscht und habe die Systemwiederherstellung deaktiviert.

Habe mit Avira einen Komplettscan gemacht und er zeigte nichts an. Auch Malwarebytes hat nichts mehr gefunden.

Trotzdem beobachte ich immer noch dieses lange hochfahren.
Ich weiss, du hattest mir da schon einen link gezeigt, was es sein könnte.

Aber was ich beobachtet hatte:
Ganz am Anfang als ich mir den Live-Security-mist eingefangen hatte, hat es um die 40-45 sec gedauert.
Als wir dann "durch" waren und ich schauen wollte, ob alles "okay" war, habe ich die Zeit noch einmal gestoppt und er hat nur 17 sec gebraucht. Ich wollte dann ja die MS-updates machen und die weiteren Punkte von deiner Liste abarbeiten.Dann hab ich mir ja den Ukash-Müll eingefangen.
Seit dem braucht er wieder 40sec.
Ich weiss nicht, ob ich mir das einfach nur einbilde, oder ob doch noch irgendwo was schlummert, was bis jetzt nicht gefunden wurde.

Kann ich eventuell noch mal irgendwas testen, ob sich doch noch wo was versteckt?

Meine Güte, ob nun 17s oder 40s zum Hochfahren ist ja nun egal
Und 40 Sekunden zum Hochfahren ist noch im Vergleich zu anderen Kisten recht flott

Es geht mir nicht ums hochfahren, sondern eher darum, dass ich dachte, der Rechner hat noch irgendwo nen Virus versteckt, da er immer nur langsam war, als er nicht sauber war....