Guten Morgen,

folgendes Problem tritt auf: Vermutlich ein Virusbefall (EXP/JS.Iframe.AL in Firefox Cache), der sich nicht so einfach beheben lässt. Zuvor hatte ich Windows XP, dann habe ich Windows 7 installiert. Ich hatte während der Installation auf "Festplatte formatieren" geklickt. Entweder habe ich mir den Virus erneut eingefangen, oder er war nie wirklich weg.

Das Problem wird ja auch in einem anderen Thread ausführlich diskutiert, aber es wird ja darauf hingewiesen einen eigenen Thread aufzumachen. Ich habe mir alles durchgelesen und versucht es auf meinem Rechner ebenfalls wie beschrieben durchzuführen.

Malwarebytes findet jedoch keine Malware, ESET Online und TDDSKiller finden ebenfalls nichts.

Es wird darauf hingewiesen, dass das OTL-Fix eigens für den Verfasser des ursprünglichen Posts ausgelegt ist und andere Computer schädigen kann. Daher habe ich dieses Tool nicht verwendet.

Gibt es eine allgemein gültige Problemlösung oder hat jemand eine Anleitung für mich?

Zitat:

der sich nicht so einfach beheben lässt.

Was lässt sich da nicht so einfach beheben?
Wenn das wirklich ein Schädling war und dernur im FF-Cache sitzt, einfach den Cache leeren und gut ist.

Zitat:

Entweder habe ich mir den Virus erneut eingefangen, oder er war nie wirklich weg.

Schonmal überlegt was bei einer Formatierung passiert?
Das Dateisystem wird neu angelegt, der "alte" FF-Cache aus dem überformatieren Dateisystem ist dann mit Sicherheit nicht mehr da. Daraus folgt, dass du wohl die selbe Internetseite nachträglich wieder besucht hast und schon ist es erneut in den FF-Cache gekommen.

Zitat:

Gibt es eine allgemein gültige Problemlösung oder hat jemand eine Anleitung für mich?

Allgemein gültig bei Malwarebefall nein
Schon mal dran gedacht, dass hier einfach nur ein Fehlalarm möglich ist?
Welche Seite besuchtest du denn wo die Meldung auftauchte?

Hallo,

natürlich habe ich den Cache geleert und formatiert. Das ist ja das Beunruhigende. Ich habe mich auf folgenden Artikel bezogen, den ich aber nur bedingt bei mir anwenden kann. Daher das neue Post.

hxxp://www.trojaner-board.de/112371-antivir-findet-exp-js-iframe-al.html

Ich weiß nicht so wirklich was ich mit deiner Antwort anfangen soll
Auf meine anderen Punkte bzwl welche Webseiten usw du besuchst und ob hier gar ein Fehlalarm vorliegt bist du nicht eingegangen

Irgendwie hast du auch nicht erwähnt welchen Virenscanner du verwendest und ob du den auch nach diesem potentiellen Fehlalarm mal aktualisiert hast

Hallo,

ich gehe nicht von einem Fehlalarm aus, da ich die Meldung immer noch täglich erhalte. Ich verwende Antivir als Scanner. Antivir meldet den Fehler eigentlich durchgehend, sobald der Browser geöffnet wird. Bei geschlossenem Broweser, erhalte ich keine Virenmeldung.

Zitat:

ich gehe nicht von einem Fehlalarm aus, da ich die Meldung immer noch täglich erhalte.

Zusammenhang nicht wirklich ersichtlich
Ein Fehlalarm wäre es nicht wenn du ständig auch den Browsercache leerst und ständig für Updates des Virenscanners sorgst usw

Wenn sich nichts am Browsercache ändert und der Virenscanner weiterhin mit seinen alten Signaturen den Fehlalarm noch drin hat ist so kein Zusammenhang hineindeutbar

Ursache/Wirkung ist so immer noch nicht klar - du hast auch nicht beschrieben auf welche Seiten du dich bewegst und ob der Schädling durch eine infizierte Seite erkannt wird
Ebenso ist nicht klar, ob wirklich auch immer dasselbe Objekt im Cache bemängelt wird da du kein Log von AntVir gepostet hast

Hallo Arne,

im Anhang eine Log-Datei von Antivir. Antivir updatet sich automatisch, ich habe auch schon den Browser-Cahce geleert. Es bleibt bei gleichen Fehlermeldungen.

Ich surfe auf "ganz normalen" Seiten und ich lade weder Musik, Filme oder ähnliches runter. Überwiegend gmx.de und meine Bank.

Ich hoffe das hilft.

Bitte erstmal routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Im Anhang die Log-Dateien von Malewarebytes, keine Funde.

Heutiger Scan mit Update und der Scan von letzter Woche.

Und hier das ESET Ergebnis von heute:

Code: Alles auswählenAufklappen

ATTFilter

 ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=96d6189a300614499120f5c74a855efa
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-07-11 08:33:47
# local_time=2012-07-11 10:33:47 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1792 16777215 100 0 2325135 2325135 0 0
# compatibility_mode=5893 16776574 100 94 2225835 93621555 0 0
# compatibility_mode=8192 67108863 100 0 151 151 0 0
# scanned=90029
# found=3
# cleaned=0
# scan_time=3922
C:\Users\Daniel\AppData\Local\Mozilla\Firefox\Profiles\or4bq4do.default\Cache\3\66\A9CCCd01	JS/Iframe.BQ trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\Daniel\AppData\Local\Temp\SetupDataMngr_Searchqu.exe	a variant of Win32/Toolbar.SearchSuite application (unable to clean)	00000000000000000000000000000000	I
C:\Users\Daniel\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16\7b964910-5662adc0	multiple threats (unable to clean)	00000000000000000000000000000000	I
         

adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Search.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

Hier ist die Log-Datei:

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v1.702 - Logfile created 07/16/2012 at 11:24:17
# Updated 13/07/2012 by Xplode
# Operating system : Windows 7 Professional Service Pack 1 (64 bits)
# User : 
# Running from : C:\Users\X\Downloads\adwcleaner.exe
# Option [Search]


***** [Services] *****


***** [Files / Folders] *****

Folder Found : C:\ProgramData\boost_interprocess
File Found : C:\Users\Daniel\AppData\Local\Temp\Searchqu.ini
File Found : C:\Users\Daniel\AppData\Local\Temp\searchqutoolbar-manifest.xml
File Found : C:\Users\Daniel\AppData\Local\Temp\SetupDataMngr_Searchqu.exe
File Found : C:\Users\Daniel\AppData\Roaming\Mozilla\Firefox\Profiles\or4bq4do.default\searchplugins\Search_Results.xml
File Found : C:\Program Files (x86)\Mozilla FireFox\searchplugins\Search_Results.xml

***** [Registry] *****

Key Found : HKCU\Software\DataMngr
Key Found : HKLM\SOFTWARE\Microsoft\Tracing\SearchquMediaBar_RASAPI32
Key Found : HKLM\SOFTWARE\Microsoft\Tracing\SearchquMediaBar_RASMANCS
Key Found : HKLM\SOFTWARE\Microsoft\Tracing\SetupDataMngr_Searchqu_RASAPI32
Key Found : HKLM\SOFTWARE\Microsoft\Tracing\SetupDataMngr_Searchqu_RASMANCS
[x64] Key Found : HKCU\Software\DataMngr
[x64] Key Found : HKLM\SOFTWARE\DataMngr

***** [Registre - GUID] *****

Key Found : HKLM\SOFTWARE\Classes\CLSID\{99079A25-328F-4BD4-BE04-00955ACAA0A7}
Key Found : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
Key Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
[x64] Key Found : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
[x64] Key Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}

***** [Internet Browsers] *****

-\\ Internet Explorer v9.0.8112.16421

[HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://www.searchnu.com/406

-\\ Mozilla Firefox v13.0.1 (de)

Profile name : default 
File : C:\Users\Daniel\AppData\Roaming\Mozilla\Firefox\Profiles\or4bq4do.default\prefs.js

Found : user_pref("browser.search.defaultenginename", "Search Results");
Found : user_pref("browser.search.order.1", "Search Results");
Found : user_pref("keyword.URL", "hxxp://dts.search-results.com/sr?src=ffb&appid=342&systemid=406&sr=0&q=");

*************************

AdwCleaner[R1].txt - [2422 octets] - [16/07/2012 11:24:17]

########## EOF - C:\AdwCleaner[R1].txt - [2550 octets] ##########
         

adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Delete.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Hallo Arne,

ich habe Deiner Anweisung Folge geleistet, hier ist die Log-Datei:

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v1.702 - Logfile created 07/17/2012 at 12:25:47
# Updated 13/07/2012 by Xplode
# Operating system : Windows 7 Professional Service Pack 1 (64 bits)
# User : 
# Running from : C:\Users\\Downloads\adwcleaner.exe
# Option [Delete]


***** [Services] *****


***** [Files / Folders] *****

Folder Deleted : C:\ProgramData\boost_interprocess
File Deleted : C:\Users\Daniel\AppData\Local\Temp\Searchqu.ini
File Deleted : C:\Users\Daniel\AppData\Local\Temp\searchqutoolbar-manifest.xml
File Deleted : C:\Users\Daniel\AppData\Local\Temp\SetupDataMngr_Searchqu.exe
File Deleted : C:\Users\Daniel\AppData\Roaming\Mozilla\Firefox\Profiles\or4bq4do.default\searchplugins\Search_Results.xml
File Deleted : C:\Program Files (x86)\Mozilla FireFox\searchplugins\Search_Results.xml

***** [Registry] *****

Key Deleted : HKCU\Software\DataMngr
Key Deleted : HKLM\SOFTWARE\Microsoft\Tracing\SearchquMediaBar_RASAPI32
Key Deleted : HKLM\SOFTWARE\Microsoft\Tracing\SearchquMediaBar_RASMANCS
Key Deleted : HKLM\SOFTWARE\Microsoft\Tracing\SetupDataMngr_Searchqu_RASAPI32
Key Deleted : HKLM\SOFTWARE\Microsoft\Tracing\SetupDataMngr_Searchqu_RASMANCS
[x64] Key Deleted : HKLM\SOFTWARE\DataMngr

***** [Registre - GUID] *****

Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{99079A25-328F-4BD4-BE04-00955ACAA0A7}
Key Deleted : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
[x64] Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}

***** [Internet Browsers] *****

-\\ Internet Explorer v9.0.8112.16421

Replaced : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://www.searchnu.com/406 --> hxxp://www.google.com

-\\ Mozilla Firefox v13.0.1 (de)

Profile name : default 
File : C:\Users\Daniel\AppData\Roaming\Mozilla\Firefox\Profiles\or4bq4do.default\prefs.js

Deleted : user_pref("browser.search.defaultenginename", "Search Results");
Deleted : user_pref("browser.search.order.1", "Search Results");
Deleted : user_pref("keyword.URL", "hxxp://dts.search-results.com/sr?src=ffb&appid=342&systemid=406&sr=0&q=");

*************************

AdwCleaner[R1].txt - [2543 octets] - [16/07/2012 11:24:17]
AdwCleaner[S1].txt - [2398 octets] - [17/07/2012 12:25:47]

########## EOF - C:\AdwCleaner[S1].txt - [2526 octets] ##########
         

Vielen Dank!

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?