Hallo,

ich habe folgendes Problem und wäre über Hilfe sehr dankbar:

Vor einigen Tagen hatte ich einen GVU-Trojaner, der den kompletten Desktop sperrte. Ich habe eine schnelle Anleitung aus dem Internet benutzt und das System zurückgesetzt, Recovery-CD eingelegt und alle Festplatten gelöscht und formatiert. Anschließend habe ich das System neu aufgesetzt.

Mittlerweile habe ich MBAM und die Avast-Internet-Security mehrfach angewendet. Vor zwei Tagen wurde wieder ein Trojaner (ich meine mich an VB:CON erinnern zu können) gefunden und von Avast gelöscht.

Heute habe ich wie immer Startzeitscan (o. B.), Mbam (o.B.) und erneut Avast scannen lassen. Avast fand dann auf meiner Platte 3 verschiedene Archivbomben, die er nicht scannen konnte.

Kann es sich dabei wieder um einen Angriff handeln?
Die Dateien heißen alle Places.sqlite und befinden sich im Backup-Bereich.

Gruß

Donkay

Ohne die Logs von Malwarebytes und Co wird das hier nichts.
Alles von Malwarebytes (und evtl. anderen Scannern) muss hier gepostet werden.

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Hallo,

sorry hatte vergessen die Logs von Malwarbyte hinzuzufügen. Hier die aktuellen Logs:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.09.15.06

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Bella :: *** [Administrator]

16.09.2012 03:52:28
mbam-log-2012-09-16 (03-52-28).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM | P2P
Deaktivierte Suchlaufeinstellungen: 
Durchsuchte Objekte: 324244
Laufzeit: 6 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.09.16.13

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Bella :: *** [Administrator]

17.09.2012 01:46:09
mbam-log-2012-09-17 (01-46-09).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM | P2P
Deaktivierte Suchlaufeinstellungen: 
Durchsuchte Objekte: 327296
Laufzeit: 7 Minute(n), 4 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.09.17.06

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Bella :: *** [Administrator]

17.09.2012 16:03:18
mbam-log-2012-09-17 (16-03-18).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM | P2P
Deaktivierte Suchlaufeinstellungen: 
Durchsuchte Objekte: 326872
Laufzeit: 6 Minute(n), 52 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Bei Avast konnte ich nach langer Suche keine Logs in Textform finden, nur Protokolle im Programm selbst, die lediglich die 3 Archivbomben anzeigen.

Vielen Dank nochmal.

Donkay

Zitat:

Kann es sich dabei wieder um einen Angriff handeln?

Da du das Avast-Log uns nicht zeigen kannst, kann man da auch wenig bis garnichts zu sagen
Man braucht schon mindestens den vollen Dateinamen und auch die vollständige Pfadangabe

Hallo Cosinus,

ich hab jetzt im Intenet mal nach den Avast-Logs gesucht, und bin auch (zumindest im Internet) fündig geworden. Dort steht der Pfad, unter dem die Logs zu finden sind, für alle Avast-Versionen. Leider ist der Ordner Logs bei mir nicht vorhanden. Ich habe daher die kompletten Pfade abgeschrieben. Sie lauten wie folgt:

Code: Alles auswählenAufklappen

ATTFilter

D:\***\BackupSet2012-09-17015222\BackupFiles2012-09-17015222\Backupfiles1.zip|>C\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\h84b7eq6.default\places.sqlite

D:\***\BackupSet2012-09-17015222\BackupFiles2012-09-17015222\Backupfiles1.zip|>C\Users\***\AppData\Roaming\Thunderbird\Profiles\3251kok8.default\places.sqlite

D:\***\BackupSet2012-09-17015222\BackupFiles2012-09-17015222\Backupfiles1.zip|>C\Users\***\Appdata\Roaming\Mozilla\Firefox\Profiles\u7vvk9y9.default\places.sqlite
         

Ich habe gerade eben noch einen vollständigen Avast-Scan durchgeführt und der führte zum selben Ergebnis. Komisch ist nur, daß ich den Rechner vorher über ein Jahr lang verwendet habe mit hoher Internetnutzung und Email-Verkehr und es wurden niemals derartige Archivbomben gefunden. Jetzt habe ich einen neu aufgesetzten Rechner ohne persönliche Daten und ohne Emailverkehr und doch wurden diese Archivbomben angelegt, das finde ich schon seltsam.

Gruß

Donkay

Kannst die Funde ignorieren, die sind innerhalb von irgendwelchen Backup-Sets-ZIP-Dateien....

Hallo Cosinus,

vielen herzlichen Dank für deine Hilfe. Ich fühle mich zwar immer noch nicht sicher, da ja direkt nach dem neuaufsetzen (formatieren der Festplatten) wieder ein Trojaner und diese Archivbomben aufgetaucht sind.

Hast du noch einige Tipps, wie man den Pc sicherer machen kann?

Donkay

Zitat:

Ich fühle mich zwar immer noch nicht sicher, da ja direkt nach dem neuaufsetzen (formatieren der Festplatten) wieder ein Trojaner und diese Archivbomben aufgetaucht sind.

Was gibt es denn da nicht zu verstehen? Du fühlst dich unsicher, weil du offensichtlich nicht verstanden hast warum diese Dateien noch gefunden werden.

1. sind diese Funde in alten Archivdateien
2. ist ein System NICHT automatische infiziert nur weil der Virenscanner irgendwas meldet
3. sehen mir die Funde in der Datei places.sqlite in irgendeinem alten Firefoxprofil nach Fehlalarmen aus!

Zitat:

Hast du noch einige Tipps, wie man den Pc sicherer machen kann?

Lesen => http://www.trojaner-board.de/96344-a...tml#post627442