Code: Alles auswählenAufklappen

ATTFilter

UAC On - Limited User
         

Wie hast du SUPERAntiSpyware gestartet? Einfach per Doppelklick?

Bitte so wie es in der Anleitung steht auch ausführen!

Zitat:

Zitat von cosinus

Teil 2: Programm ausführen
Das Programm wurde nun installiert, eine Verknüpfung auf dem Desktop sollte erstellt worden sein. Nachdem du es gestartet hast, wird es sich erstmalig beim Updateserver nach neuen Schädlingssignaturen umsehen und Updates installieren. Diesen Vorgang NICHT abbrechen!

Benutzer mit Windows Vista und Windows 7 starten das Tool bitte wieder per Rechtsklick => als Administrator ausführen!

Ich weiß nicht mehr wie ich das gemacht habe. Ich habe nochmal gescannt:

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 10/15/2012 at 11:13 PM

Application Version : 5.6.1008

Core Rules Database Version : 9404
Trace Rules Database Version: 7216

Scan type       : Complete Scan
Total Scan Time : 05:05:53

Operating System Information
Windows 7 Ultimate 64-bit, Service Pack 1 (Build 6.01.7601)
UAC On - Administrator

Memory items scanned      : 714
Memory threats detected   : 0
Registry items scanned    : 75118
Registry threats detected : 0
File items scanned        : 474535
File threats detected     : 48

Heur.Agent/Gen-WhiteBox
	D:\USERS\*********\DOWNLOADS\DIVERSES\AUDIOSOFTWARE\MEDIACODER-UPDATE-4590.EXE

Trojan.Agent/Gen-Small
	D:\USERS\*********\DOWNLOADS\DIVERSES\AUDIOSOFTWARE\MP3DC207.EXE

Trojan.Unclassified/Dropper
	D:\USERS\*********\PROJEKTE\IECUPDNEW\TESTUMGEBUNG\MSDLIB\CVTM990.EXE

Adware.Tracking Cookie
	45 Cookies
         

Sieht ok aus, da wurden nur Cookies gefunden, die können alle weg. Die anderen Funde sehen für mich nach Fehlalarme aus.
Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )


Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller http://filepony.de/download-cookie_culler/
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ich halte es so, dass ich zum "wilden Surfen" den Opera-Browser oder Chromium unter meinem Linux verwende. Mein Hauptbrowser (Firefox) speichert nur die Cookies von den Sites die ich auch will, alles andere lehne ich manuell ab (der FF fragt mich immer) - die anderen Browser nehmen alles an Cookies zwar an, aber spätestens beim nächsten Start von Opera oder Chromium sind keine Cookies mehr da.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Hallo cosinus,

ja, das System läuft problemlos. Allerdings wird die Datei evre.exe, die ich im Threadstart erwähnte, von keinem Programm hier als Schädling erkannt. Als diese noch durch Autostart gestartet wurde, liefen ja keine aktuellen Mozilla-Programme. Das war ja die Ursache, weshalb ich mich hier gemeldet habe. Ich hatte diese Datei beim Untersuchen meines Rechners gefunden und selbst unter Quarantäne gestellt.
So einen Cookie-Manager für Mozilla werde ich mir mal ansehen, guter Tipp.
Kann ich jetzt mit der deinstallation der Scanner beginnen?

Zitat:

Als diese noch durch Autostart gestartet wurde, liefen ja keine aktuellen Mozilla-Programme.

Zusammenhang besteht wie? Was hat der Schädling im Autostart mit laufenden Mozilla-Programmen zu tun?

Zitat:

Zitat von cosinus

Zusammenhang besteht wie? Was hat der Schädling im Autostart mit laufenden Mozilla-Programmen zu tun?

Ja das weiß ich ja eben nicht.
Nochmal, irgendwann aktualisierte ich Firefox. Danach lief Firefox nicht mehr, er hängte sich nach dem Start auf. Nur ältere Versionen als 13 liefen noch. Dasselbe bei Thunderbird. Alles andere lief. Unter einen anderen Benutzer liefen aber beide. Danach untersuchte ich Einträge in der Registry unter RUN. Da fiel mir dieser genannte Prozess auf, der nur unter meinen Benutzer gestartet wurde. Also killte ich ihn und Mozilla-Programme ließen sich wieder starten.
Woher diese EXE gekommen ist, weiß ich nicht. Sie wird ja auch noch nicht einmal von SUPERAntiSpyware als Schädling erkannt.

Soll ich die EXE mal senden?

Ist diese EXE denn immer noch da?!
Und irgendwie ist ist doch einleuchtend dass nicht jede Malware von einem Virenscanner gefunden kann, kein Virenscanner erkennt jeden Schädling!

Jetzt hat Malwarebytes ihn bemängelt: Trojan.Zbot. Ich hatte die EXE in 'evre.exe.nicht starten' umbenannt. Aber warum erst jetzt und was heißt Zbot, so einfach und offentsichtlich arbeitet doch kein Bot-Netz?

Das Log bitte dazu immer posten!

Außerdem magst du vllt mal Posting #3 vergleichen, da hat ESET das Teil auch gefunden und es lag längt in einer Q:

Code: Alles auswählenAufklappen

ATTFilter

D:\Quarantäne\Okmeux\evre.exe	a variant of Win32/Kryptik.AMOL
         

Log liefere ich nach.
Nein, in das von mir angelegte Quarantäne-Verzeichnis hatte ich die Datei selbst kopiert, nachdem ich sie entdeckt hatte. Allerdings ordnen beide Scanner die Datei unterschiedlich ein: Kryptik.AMOL bzw. ZBOT. Sieht für mich so aus, als wenn die Scanner zwar erkennen, dass die EXE irgendwie verdächtig erscheint, aber nicht warum.

Zitat:

als wenn die Scanner zwar erkennen, dass die EXE irgendwie verdächtig erscheint, aber nicht warum.

Kein Virenscanner sagt dir warum! Entweder findet ein Scanner in einer Datei etwas oder nicht, wenn er etwas findet dann siehst du nur die Meldung welcher Schädling da drin gefunden wurde. Wo bitte ist das hier signifikant anders?

Hast du diese Datei schonmal bei Virustotal ausgewertet? Ich nehme mal stark an, dass diese neuere Malware ist.

Signifikant anders ist das hier, weil dieselbe Datei zwei unterschiedliche Signaturen enthält. Jedenfalls meinen das zwei unterschiedlich Scanner.

Ich werde die Datei mal bei VirusTotal untersuchen lassen, gute Idee.

Hast du noch einen Tipp für mich? Oder kann ich jetzt die Scanner deinstallieren?

Zitat:

Signifikant anders ist das hier, weil dieselbe Datei zwei unterschiedliche Signaturen enthält. Jedenfalls meinen das zwei unterschiedlich Scanner.

Oh wie überraschend, zwei verschiedene Virenscanner melden unterschiedliche Schädlingsnamen

Zitat:

Zitat von cosinus

Oh wie überraschend, zwei verschiedene Virenscanner melden unterschiedliche Schädlingsnamen

Ich befürchte, so kommen wir nicht weiter.

Trotzdem vielen Dank für deine Unterstützung und die Tipps für die Schädlingssuche.

Ich warte eigentlich noch auf der Ergebnis von VT