Hallo Leute,

Vielleicht (sehr wahrscheinlich ) hat hier jemand mehr Ahnung als Iche.

Hab erstmals am 23.07. diese (zuerst 'gedacht', leicht beheb-bare) GUV Sperre auf meinem I-Net Profil (Windows7 - eingeschränkte Nutzer-Rechte) sehen müssen.

Okay... Google ....und ein 'bisschen' Verständnis von Rechnern und wie sie funktionieren, haben dies bald beseitigt. ...Vorerst.
Admin-Profil -> Autostart (des I-Net Profils) bereinigt -> MBam, Spybot, Ad-Aware, Root-Kit Finder/Destroyer und so weiter drüber laufen lassen, HighJackThis gefixt... CCleaner alle Temps gelöscht.... etc pp...

Hatte jetzt paar Tage Ruhe und gestern (03.08.) plötzlich wieder die Sperre im I-Net Profil... Hab die gleiche Prozedur angefangen, wie erst Letztens...

...da meckerte nun heute der Avira Scanner (im Admin Profil) aller 4-5 Min über nen gefundenen Virus (ATRAPS.gen/ATRAPS.gen2) in besagtem I-Net Profil.

Wenn ich mich mit dem (I-Net)Profil abmeldete, war Ruhe (im Admin Profil von Seiten des Avira Scanners). Sobald das I-Net Profil aktiv war, sprang immer wieder Avira an (im Admin-Profil).

Hab nun eset durchlaufen lassen:

Code: Alles auswählenAufklappen

ATTFilter

C:\Users\***\AppData\Local\{eecb21e5-f602-2e09-a9d1-8ea5be561c69}\n	Win32/Sirefef.EV trojan	cleaned by deleting - quarantined
C:\Users\***\AppData\Local\{eecb21e5-f602-2e09-a9d1-8ea5be561c69}\U\00000004.@	Win32/Conedex.D trojan	cleaned by deleting - quarantined
C:\Users\***\AppData\Local\{eecb21e5-f602-2e09-a9d1-8ea5be561c69}\U\000000cb.@	Win32/Conedex.E trojan	cleaned by deleting - quarantined
         

... Dazwischen 108 Einträge von Platte F:/ (das ist eine alte WinXP Platte, die wegen 'alter' Daten noch angesteckt ist!)
like this:

Code: Alles auswählenAufklappen

ATTFilter

F:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2GVEG1RU\c[1].js	HTML/Iframe.B.Gen virus	deleted - quarantined
         

Da dort seit Monaten nichts aktiviert wurde, bzw vom derzeitigen Betriebssystem/Explorer/I-Explorer nichts geladen wird, gehe ich mal davon aus, dass von dort keine (aktive) Gefahr ausgeht!?...
weiter...

Code: Alles auswählenAufklappen

ATTFilter

H:\streams\new\TV-Stream.to - Das einzigartige TV-Erlebnis!-Dateien\googleplus.htm	HTML/ScrInject.B.Gen virus	deleted - quarantined
         

Da die 1. - 3. Zeile des eset scans ({eecb21e5-f602-2e09-a9d1-8ea5be561c69}) identisch ist mit den immer wieder kehrenden Virus Meldungen von Avira:

Code: Alles auswählenAufklappen

ATTFilter

C:\Users\***\AppData\Local\{eecb21e5-f602-2e09-a9d1-8ea5be561c69}\u\80000000.@
C:\Users\***\AppData\Local\{eecb21e5-f602-2e09-a9d1-8ea5be561c69}\u\80000032.@
         

(ATRAPS.Gen/ATRAPS.Gen2)
hoffe ich, den Verursacher gefunden und eleminiert zu haben?! Jedenfalls ist seither wieder mal Ruhe... auch von Seiten des Viren Scanners (und auch bei aktivem/angemeldetem I-Net Profil).

Frage 1/Priorität 1 : Kann ich davon ausgehen, dass mein System jetzt bereinigt ist, nachdem eset, die Infizierung lokalisiert und bereinigt/gelöscht hat? Avira/MBam und co haben dass (diese Dateinamen) ja nicht mal gefunden...

Frage/Prio 2: Wenn nicht, ist es "ausreichend, das I-Net Profil zu kicken und ein Neues anzulegen? (möchte mir die Arbeit ersparen, den kompletten Rechner zu sichern und neu aufzusetzen)

Frage/Prio 3: Wie kann/könnte ich die Dateien in dem "Ordner" ({eecb21e5-f602-2e09-a9d1-8ea5be561c69}) sehen/anzeigen(Hex-Editor)/editieren/verschieben/löschen?

Ich hoffe, dass dadurch, dass der Virus/Trojan/was_weiss_ich... sich im beschränkten Profil "breit-machen" musste, er|sie|es also aufgrund beschränkter Schreib-Zugriffe, nicht als root-kit durchging, sondern sich somit auf das Profil (und dessen Zugriffsrechte) "beschränken" musste?!

Gruss und 1000 Dank
Toxic

Ps.: System-Wiederherstellung ist bei mir standardmäßig deaktiviert und Image ner "Grund-Installation" zum schnellen Wieder-Einspielen hab ich nicht
...aber ne Frau , die ihr Profil jeden Tag genauso wiederfinden möchte, wie es gestern noch war, mit allen Mails/Kontakten/Links/Icons(+ exakte Position der Icons)/Hintergrund-Bildchen etc... ...egal was mit dem Rechner inzwischen passiert (ist)!

Anm.: Meine Frau hat auch nen extra Profil mit eingeschr. Rechten, (wie das beschr. I-Net Profil) dort scheint/schien dass Problem nicht aufzutreten!

Wir oft hast du mit Malwarebytes gescannt?
Zu jedem Scanvorgang wird im Reiter Logdateien ein Log erstellt. Bitte alle posten, die dort sichtbar sind.

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Erstmal Danke für die Antwort!

Ich habe MBAM mehrfach laufen lassen (5-6 mal) ...eigentlich immer nach Änderungen (händigem Clean-Up).

Leider habe ich keine Logs mehr, da ich Malware Bytes jedes Mal deinstalliert habe (2 Scanner brauch ich ja nicht gleichzeitig, dass bringt bloß interne Konflikte/Verklemmungen -> Deadlocks).

Somit hab ich auch in dem Zuge den MB Ordner immer mit entsorgt! (eh keine Funde, s.u.)

Aber soviel kann ich sagen:

MBAM hat nie was gefunden!

Was Avira als Realtime-Scanner fand, hab ich tlw. von Avira selber entsorgen lassen, bzw. hab sie selber händig entsorgt:

...nach 'cleanem' Start-Modus (msconfig -> (nur Microsoft Treiber/Dienste wurden geladen + keine User-Auto-Runs))
-> dann shell gestartet (ohne Windows-Explorer -> Explorer-Task vorher gekillt)
-> und dann Dateien entsorgt (vorher Batch-Datei erstellt mit allem was 'verdächtig und evtl infiziert' war).

Ps.:
eset zeigte mir bisher als einziger Scanner die o.g. Probleme, welche ich auf dieselbige Art entfernt habe. Seitdem schweigt der Virenscanner (was ja nicht unbedingt positiv zu werten ist )

---

Allerdings hab ich nun (den nicht schönen Nebeneffekt), dass die Icons nicht mehr ihre Position auf dem Desktop halten.
Nach jedem Aktualisieren (F5 drücken), nach jedem Abmelden bzw. Wieder-Anmelden und Windows Neustart, sind alle Symbole mittelgroß (Icon-Größe) und nach (Programm)Größe "sortiert", an den linken Desktop Rand "geklatscht", was natürlich nicht schön ist, wenn man nach Arbeitsbereichen eingeteilt, seine Icons auf dem Desktop sucht (und aus Platz und Übersichts-Gründen eher 'kleine' Icons haben möchte).

(Automatisches Anordnen ist aus, Designs dürfen Icons NICHT ändern, Reg-Key: NoSaveSettings bringt nix -> war auch zu erwarten, da sich das Profil die Fenstergrößen /-positionen komischerweise trotzdem "merkt")

Ich möchte aber keine Extra Software installieren, die den Desktop speichert und 'wiederherstellt'!, denn das kann ja Windows selber! Wenn das nicht funktioniert, funktioniert was am Betriebssystem bzw. Profil-Einstellungen nicht, bzw. hat da Schad-Software bzw. Buggy programmierte Software ihre Finger im Spiel! (Letztes schliess ich mal aus, weil ich nix hinzu installiert habe)
...und die anderen Profile ihre Icon Position/Größe halten! (auch das neu angelegte Profil)

Hab somit das betroffene Profil erstmal unter "Quarantäne gestellt" und ein Neues angelegt. Deshalb auch meine (Ausgangs/Kern-)Frage, ob ich nun sicher sein kann, dass die Probleme sich auf das genannte Profil 'begrenzen'!?

Ich möchte mir die Arbeit ersparen, den Rechner komplett neu aufzusetzen!
Da sind gleich mal paar Tage weg!

Danke im Voraus!
Toxic

adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Search.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

Okay... Die Usernamen hab ich "stern"-ifiziert
Ich bin in dem Profil, wo das Problem auftrat (sonst machts ja keinen Sinn!).
2. Is das I-Net Profil meiner Frau
3. Admin Profil
4. Das neu angelegte Profil

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v1.800 - Logfile created 08/12/2012 at 02:17:01
# Updated 01/08/2012 by Xplode
# Operating system : Windows 7 Home Premium Service Pack 1 (32 bits)
# User : ***
# Running from : C:\Users\***\Desktop\adwcleaner.exe
# Option [Search]


***** [Services] *****


***** [Files / Folders] *****

Folder Found : C:\Users\***\AppData\Local\SanctionedMedia
Folder Found : C:\Users\***\AppData\LocalLow\boost_interprocess
Folder Found : C:\Users\***\AppData\LocalLow\boost_interprocess
Folder Found : C:\Users\***\AppData\LocalLow\boost_interprocess

***** [Registry] *****

Key Found : HKCU\Software\SanctionedMedia
Key Found : HKCU\Software\Softonic
Key Found : HKLM\SOFTWARE\Cheat Engine\OpenCandy
Key Found : HKLM\SOFTWARE\DT Soft

***** [Registre - GUID] *****


***** [Internet Browsers] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Registry is clean.

-\\ Mozilla Firefox v14.0.1 (de)

Profile name : default 
File : C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\gg5sy6mk.default\prefs.js

[OK] File is clean.

Profile name : default 
File : C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\4geswso6.default\prefs.js

[OK] File is clean.

Profile name : default 
File : C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\edf3toxi.default\prefs.js

[OK] File is clean.

Profile name : default 
File : C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\zmlik8l4.default\prefs.js

[OK] File is clean.

-\\ Google Chrome v [Unable to get version]

File : C:\Users\***\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] File is clean.

*************************

AdwCleaner[R1].txt - [1724 octets] - [12/08/2012 02:17:01]

########## EOF - \AdwCleaner[R1].txt - [1852 octets] ##########
         

Chrome kam ma i-wo mit, nutze ich aber nicht! Entsorge ich gleich...

GreetZ ToX

Ps. Ich nutze (meist) WOT im Firefox und "SanctionedMedia" lässt bei WOT(active) einige Google Such-Seiten da rot aufleuchten!

adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Delete.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.