Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Rootkit BETA 1.01.0.1021
www.malwarebytes.org

Database version: v2013.03.13.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
user :: USER-PC [administrator]

13.03.2013 12:58:49
mbar-log-2013-03-13 (12-58-49).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled: 
Objects scanned: 28699
Time elapsed: 2 minute(s), 36 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)
         

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=b3c5a79fe1ecb546bd5d9f87b7ffc0ca
# engine=13371
# end=finished
# remove_checked=true
# archives_checked=false
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-03-13 12:20:07
# local_time=2013-03-13 01:20:07 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1036 16777214 0 2 24009705 33688998 0 0
# compatibility_mode=5893 16776573 100 94 5694 114807057 0 0
# scanned=122973
# found=2
# cleaned=2
# scan_time=861
sh=F8AC214C85864999B6E9723A85E8820F4F967AFE ft=0 fh=0000000000000000 vn="JS/Agent.NID trojan (cleaned by deleting - quarantined)" ac=C fn="C:\_OTL\MovedFiles\03132013_123912\C_Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\tofilali.js"
sh=886E36C6F04F391E2E90A05F73C8EC05E0A61A3E ft=1 fh=2b7d5155e462497f vn="a variant of Win32/Packed.VMProtect.AAH trojan (cleaned by deleting - quarantined)" ac=C fn="E:\max payne3\Max.Payne.3.CrackOnly-RLD-btarena\gsrld.dll"
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=b3c5a79fe1ecb546bd5d9f87b7ffc0ca
# engine=13373
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-03-13 12:52:40
# local_time=2013-03-13 01:52:40 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1036 16777214 0 2 24011658 33690951 0 0
# compatibility_mode=5893 16776573 100 94 7647 114809010 0 0
# scanned=122975
# found=0
# cleaned=0
# scan_time=1514
         

(Edit)

Zitat:

"E:\max payne3\Max.Payne.3.CrackOnly-RLD-btarena\gsrld.dll"

soeben entfernt worden!
du hast ja jetzt einen einigermaßen guten Überblick über mein System!
würdest du das System jetzt als sauber sehen?

was passiert nun mit den Log´s ?
ist es gefährlich für mich?Die preisgegeben Daten hier im Thema stehen zu lassen ?

vielen dank für deine arbeit!!

Hinweis: Alte Cracks oder Keygens
Lesestoff:
Alte Cracks und Keygens
Werkzeuge, die einen Kopierschutz umgehen, sind nach geltendem Recht illegal. Anhand der Logfiles habe ich gesehen, dass du solche Programme noch von früher auf deinem Computer hast. Bevor wir mit der Bereinigung fortfahren mußt du alle diese Dateien von deinem Rechner entfernen. Melde dich, wenn das erledigt ist. Sollten solche Dateien in einem der nächsten Logfiles auftauchen müssen wir den Support einstellen. Bitte habe Verständnis dafür, dass wir das illegale Kopieren von Software nicht unterstützen können und dürfen.

Hätten wir diese am Anfang der Bereinigung gesehen wäre hier Schluss gewesen. Da dein Rechner aber sauber ist und wir am Ende der drei PCs angekommen sind gebe ich dir das "All Clean" und entlasse dich mit der Warnung in Zukunft die Finger von solchen Tools zu lassen!


Sieht soweit ok aus

Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Info: Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

ok, hab ich mir angeschaut! gibts das auch auf deutsch? die Übersetzung ist nicht sehr toll..
ich habe CCleaner was denkst du davon ?

Desweiteren haben ich noch das Problem mit dem Usb-Stick welcher ja höchstwahrscheinlich das Problem ausgelöst hat. Sind die Daten in irgendeiner Weise zu Retten, mit einem Scann zu durchleuchten?

Vielen Dank
Gruß jojoba

Mein du zu der Hosts-Datei von MVPS? Nein, da gibt es mW keine deutsche Seite zu

Zitat:

Sind die Daten in irgendeiner Weise zu Retten, mit einem Scann zu durchleuchten?

Was genau soll mit dem Stick sein, warum steckst du den nicht einfach an?
Deaktivier aber bitte vorher unebdingt die automatische Wiedergabe (autorun)

Automatische Wiedergabe (Autorun) deaktivieren

Lesestoff:
Aufgabe von Autorun

Die Hauptaufgabe von Autorun besteht darin, auf Hardwareaktionen, die auf einem Computer gestartet werden, softwareseitig zu reagieren. Autorun bietet die folgenden Funktionen:

• Doppelklicken
• Kontextmenü
• Automatische Wiedergabe

Diese Funktionen werden typischerweise von Wechselmedien oder Netzwerkfreigaben aufgerufen. Während der automatischen Wiedergabe wird die Datei "Autorun.inf" auf dem Medium analysiert. Diese Datei legt fest, welche Befehle vom System ausgeführt werden. Viele Firmen nutzen diese Funktionalität zum Starten von Installationsprogrammen.

Das Problem bzw. das Sicherheitsrisiko besteht darin, dass die Autorun-Funktion missbraucht werden kann, um automatisch zB auf infizierten USB-Sticks eine Schädlingsdatei (die in der autorun.inf definiert ist) auszuführen. Ich empfehle dir daher dringend, Autorun komplett zu deaktivieren.

Windows XP: Zur Vereinfachung hab ich die Datei noautorun.reg hochgeladen. Lade sie bitte auf den Desktop herunter, führ die Datei per Doppelklick aus und bestätige mit ja. Nach einem Neustart des Rechners ist die automatische Wiedergabe (von Datenträgern) auf allen Laufwerken deaktiviert, d.h. keine CD, kein Stick oder sonstwas startet nach dem Einstecken mehr automatisch.


Falls die o.g. Datei noautorun.reg nicht herunterladbar sein sollte, hier der Inhalt der noautorun.reg; einfach in eine Textdatei kopieren und diese als noautorun.reg Datei abspeichern und per Doppelklick ausführen um es in die Registry zu schreiben:

Code: Alles auswählenAufklappen

ATTFilter

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
         

Windows Vista/7: In der Systemsteuerung unter automatische Wiedergabe von CDs und anderen Medien alles deaktivieren. => siehe auch Einstellungen für automatische Wiedergabe ändern

ich wollt ihn nicht anstecken, weil beim letzten verbinden mit meinem pc das Problem(Virus,Malware, KA) beim starten entstanden ist!

Versteh ich das richtig, dass wenn der Autorun aus is. Der Usb-Stick nicht auf mein compuer zugreifen kann, sondern nur ich daten runter ziehen kann ?

Und das wäre in meinem fall unbedenklich?

Zitat:

Versteh ich das richtig, dass wenn der Autorun aus is. Der Usb-Stick nicht auf mein compuer zugreifen kann, sondern nur ich daten runter ziehen kann ?

Du hast den Mechanismus noch nicht ganz verstanden, ist aber ja nicht schlimm.
Der USB-Stick ist nur ein "dummes" Speichermedium, er kann einfach nur Daten speichern. Das Problem liegt an der Funktion und an den Einstellungen bzw. Standardeinstellungen von Windows. Sobald ein USB-Datenträger eingesteckt wird sucht Windows nach dieser autorun.inf auf diesem, wird es fündig macht es auch das was darüber definiert ist. Durch die Autorunfunktion von Windows entsteht also erst dieses Sicherheitsproblem.

Also um es mal kurz zu machen: ja, deaktiviere Autorun (automatische Wiedergabe) komplett und das Anstecken eines USB-Sticks kann nichts ausrichten. Es wird nichts mehr ohne Nachfrage ausgeführt.

ok, jetzt habe ich es verstanden, danke!

Andere frage: Wie erhalten ich nun am besten so ein sauberes System?(Vierenprog./win7 Sicherheitseinstellungen/anti Malware/etc.)

gibt es da vlt. hier ein Thema oder in einem anderen Forum deiner Wahl etwas? hab nichts genaueres gefunden hier.

meine Anforderungen an das System sind arbeiten, surfen, Onlinebanking

Ich verstehe die Frage nicht ganz, wir haben dein System doch bereinigt. Dein System ist lt. Logs sauber

Oder hast du nach empfohlenen Sicherheitsmaßnahmen gefragt? Bitte genauer erklären was du da meinst

genau nach empfohlenen Sicherheitsmaßnahmen (Vierenprog./win7 Sicherheitseinstellungen/anti Malware/etc.)

Ok, kein Problem

Lesestoff:
Goldene Sicherheitsregeln
Halte Dich am besten grob an diese Regeln:

1. Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2. Halte Windows und alle verwendeten Programme immer aktuell - unterstützen kann dich dabei Secunia PSI
3. Führe regelmäßig Backups auf externe Medien durch
4. Arbeite mit eingeschränkten Rechten
5. automatische Wiedergabe von allen Laufwerken komplett deaktivieren, denn das ist ein unnötiges Sicherheitsrisiko
6. Bei der Installation von Software möglichst darauf achten, dass die Setups aus offiziellen Quellen stammen und du bei der Installation nach Möglichkeit die benutzerdefinierte Methode wählst - dann hast du die Möglichkeit etwaigen Schrott (wie Toolbars oder sowas wie RegistryBooster) abzuwählen, welcher sonst einfach mitinstalliert wird.
7. Bösartige bzw. ungewollte Sites von vornherein blockieren lassen mit Hilfe der MVPS Hosts File => Blocking Unwanted Parasites with a Hosts File
8. Finger weg von: TuneUp, Registry-Cleanern aller Art, Softonic sowie illegalen Cracks/Keygens oder anderen "Tools" um ein kommerzielles Programm ohne Lizenz nutzen zu können
9. dubiose Seiten bzw. Kinofilm-Streaming-Portale ebenfalls sein lassen, erstens handelt man sich dort schnell Malware ein oder kann in Abofallen geraten und zweitens bewegen sich diese Seiten in einer rechtlichen Grauzone.

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?

Erstmal danke!

Secunia PSI ist installiert!

Backups! aber mit Welchem Prog.? Backup-Software für Datensicherung und Wiederherstellung | Acronis damit irgendwelche Erfahrungen ?

Was bringt arbeiten mit eingeschränkten rechten? Vielleicht dass der Eindringling dann auch nur eingeschränkte rechte hat (wäre logisch)?

Punkt 7 diese Hosts Files: Gibt es da vlt. ein Thema hier im Forum zu? wo es genauer erklärt wird? (versteh das nicht, wie das gehen soll)

Punkt 8: hab CCleaner! ist das ein Registry-Cleanern?

Zitat:

Backups! aber mit Welchem Prog.? Backup-Software für Datensicherung und Wiederherstellung | Acronis damit irgendwelche Erfahrungen ?

Das sei dir überlassen, welche Backupsoftware du nimmst

Zitat:

Vielleicht dass der Eindringling dann auch nur eingeschränkte rechte hat (wäre logisch)?

Ja

Zitat:

Punkt 7 diese Hosts Files: Gibt es da vlt. ein Thema hier im Forum zu? wo es genauer erklärt wird? (versteh das nicht, wie das gehen soll)

Du musst doch nur die Hosts-Datei von MVPS haben und nach c:\windows\system32\drivers\etc kopieren, die vorhandene einfach ersetzen

Zitat:

Punkt 8: hab CCleaner! ist das ein Registry-Cleanern?

Ja er hat so eine Funktion, einfach die Finger davon lassen

Und was bezwecken diese Hosts Files dann ?

inwiefern ist der CCleaner schlecht bzw warum die finger davon lassen ?

wäre cool wenn du´s mir genauer erklären könntest!