Code: Alles auswählenAufklappen

ATTFilter

"C:\Users\*Name*\Downloads\m4a-to80-mp3-converter.exe"
"G:\AA PC Neueinrichtung\Programme\m4a-to80-mp3-converter.exe"
         

Kannst du die beiden Dateien manuell löschen ?
Gibts sonst irgendwelche Probleme am Rechner oder mit Avira ?

Der Rest bei ESET verschwindet gleich beim letzten Schritt.


Soweit sind die Logs jetzt sauber, keine aktive Infektion vorhanden.

Die Reihenfolge ist hier entscheidend.

1. Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
2. Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
   • Windowstaste + R > Combofix /Uninstall (eingeben) > OK
   • Alternative: Combofix.exe in uninstall.exe umbenennen und starten
   • Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
3. Downloade Dir bitte auf jeden Fall DelFix auf deinen Desktop:
   • Schließe alle offenen Programme.
   • Starte die delfix.exe mit einem Doppelklick.
   • Setze vor jede Funktion ein Häkchen.
   • Klicke auf Start.
   • Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
   • Starte deinen Rechner abschließend neu.
4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

Abschließend habe ich noch ein paar Tipps zur Absicherung deines Systems.


Ich kann gar nicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.

• Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
• Windows Updates
  • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
  • Windows Vista / 7 / 8 : Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
• Gehe sicher das die automatischen Updates aktiviert sind.
• Software Updates
  Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
  Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.

Anti-Viren-Programm und zusätzlicher Schutz

• Gehe sicher, dass du immer nur eine Anti-Viren Software installiert hast und dass diese auch up to date ist!
• MalwareBytes Anti Malware
  Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
  Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion bietet zudem noch einen Hintergrundwächter.
  Ein Tutorial zur Verwendung findest Du hier.
• AdwCleaner
  Dieses Tool erkennt eine Vielzahl von Werbeprogrammen (Adware) und unerwümschten Programmen (PUPs).
  Starte das Tool einmal die Woche und lass es laufen. Sollte eine neue Version verfügbar sein, so wird dies angezeigt und du kannst dir die neueste Version direkt auf den Desktop downloaden.
• SpywareBlaster
  Eine kurze Einführung findest du Hier
• WOT (Web of trust)
  Dieses AddOn warnt dich, bevor Du eine als schädlich gemeldete Seite besuchst.

Alternative Browser
Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.
Mozilla Firefox

• Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
• NoScript
  Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt, wenn Du es bestätigst.
• AdblockPlus
  Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
  Es spart außerdem Downloadkapazität.

Performance

• Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC . Achtung: Nicht für Windows 8 geeignet, kann hier zu schwerwiegenden Fehlern führen !
• Halte dich fern von Registry Cleanern.
  Diese Schaden deinem System mehr als dass sie helfen. Hier ein englischer Link:
  Miekemoes Blogspot ( MVP )

Was du vermeiden solltest:

• Klicke nicht auf alles, nur weil es dich dazu auffordert und schön bunt ist.
• Verwende keine P2P oder Filesharing Software (Emule, uTorrent,..)
• Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
• Öffne keine Anhänge von dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie z.B. deinFoto.jpg.exe.
• Lade keine Software von Softonic oder Chip herunter, da diese Installer oft mit Adware oder unerünschter Software versehen sind!

Nun bleibt mir nur noch dir viel Spaß beim sicheren Surfen zu wünschen... ... und vielleicht möchtest du ja das Trojaner-Board unterstützen?

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Hallo,
***
diese Dateien mit m4a gehören zu einem Programm mit dem ich Diktate vom iphone fürs digitale Ausschreibegerät umwandeln muss. Brauch ich dienstlich – gelegentlich. Habe ich jetzt aber dennoch gelöscht.
Waren diese Dateien wirklich infiziert oder werden die nur vorsorglich gelöscht?
***
Probleme beim Avira habe ich erst gestern entdeckt, als ich den Scanner und die Firewall ausschalten sollte. Da war nämlich der Schirm „zu“ und bei Echtzeitscanner und Browserscanner aktivieren ein Haken. Bei Emailscanner jedoch nicht. Der Haken lässt sich auch nicht setzen. Google zeigt mir, dass das ein weit verbreitetes Problem ist, da Avira scheinbar nicht in den Griff bekommt. Seit wann der Zustand bei mir so ist, weiß ich nicht. Ich sehe, dass mehrmals täglich updates gemacht werden und dachte es wäre alles wie immer eingestellt.

***
Defogger und Combofix:
Ich habe keinen Schimmer, was das ist. Also hab ichs wohl auch nicht. Oder?
(Bevor ich mit delfix weitermache, warte ich deine Antwort ab.)

***
Automatische Update sind immer aktiv. Standen jedoch auf 3 Uhr nachts, habs auf Vormittags geändert.
Eine Virensoftware habe ich, wobei ich hier wohl einen Wechsel ins Auge fassen sollte.
Die 2 Addons für Firefox such ich mir zusammen.
Die übrigen Tipps werde ich auch beherzigen.
***
Browser:
Ich nutze nur Firefox. IE dürfte aber wohl irgendwo im Hintergrund noch installiert sein, finde ihn aber nicht in der Systemsteuerung unter Programme. Das Aviraproblem wird in einigen Foren mit dem IE 11 in Verbindung gebracht.


***
Lässt sich jetzt eigentlich sagen, was genau infiziert war und welcher Schaden angerichtet worden sein könnte? Welche Daten können hier abgezogen worden sein? Ich habe erst kürzlich ca. 90 Passwörter geändert, rein vorsorglich. Das dürfte ja wohl alles für die Katz gewesen sein. Muss ich da jetzt alles nochmal machen? Die meisten Passwörter sind in dieser Datei im Firefox gespeichert. Bei Sofortüberweisung z.B. muss man aber jedes Mal eintippen. Ich habe keine Vorstellung, wie diese Trojaner auf die Daten zugreifen.
Vor allem finde ich merkwürdig, dass ich seit gestern auf dieser Dienstemailadresse Zig Mailerdaemons bekomme. Da kann hoffentlich Strato sagen, ob die über meinen Account verschickt wurden oder einfach nur meine Adresse als Absender verwendet wurde.

Mir ist immer nur ytd (das ist der Youtoubedownlader) und babylon in den Pfaden aufgefallen. YTD ist wirklich das einzige Programm, das ich heruntergeladen habe, das möglicherweise unseriös sein könnte. Ansonsten mache ich auf diesem Rechner keine Experimente.

Es wurden ja viele Dateien gelöscht. Waren die wirklich alle infiziert oder möglicherweise auch nur verdächtig und vorsorglich gelöscht?

Auf zwei Internetseiten, die ich dienstlich nutze, bekomme ich jetzt eine Meldung, weil kein Java vorhanden ist. Da habe ich jedoch die Möglichkeit eine unkomfortablere Variante ohne Java zu nutzen.
Bei anderen Seiten kam öfter eine Meldung zu AktivX oder Flashplayer, da weiß ich nicht genau, was wofür zuständig ist. Flashplayer vermutlich zum Abspielen von Filmen. Kann ich beides jetzt wieder bedenkenlos installieren, ganz ohne scheint es nicht zu gehen.

LG

Hi Emily,

gerne beantworte ich deine Fragen.

Zitat:

diese Dateien mit m4a gehören zu einem Programm mit dem ich Diktate vom iphone fürs digitale Ausschreibegerät umwandeln muss. Brauch ich dienstlich – gelegentlich. Habe ich jetzt aber dennoch gelöscht.
Waren diese Dateien wirklich infiziert oder werden die nur vorsorglich gelöscht?

Die .m4a Dateien sind völlig ok. Nur dieser m4a to mp3 Converter wurde gelöscht.
Grund:

Code: Alles auswählenAufklappen

ATTFilter

sh=EDCF4EA293DD0C7475D73797276FBE9E45EBBC29 ft=1 fh=51c8894478037c3d vn="Win32/Somoto.E evtl. unerwünschte Anwendung" ac=I fn="C:\Users\*Name*\Downloads\m4a-to80-mp3-converter.exe"
         

Daraus kann man ersehen, das zumindest das Installationsprogramm des Converter die Somoto Toolbar/Installer mitbringt. Das ist Adware, also ungewünschte Werbung und/oder ungewünschte Drittanbietersoftware.

Das ist der erste Fuß in der Tür zur Infektion, wenn man Software installiert hat, die Browserseiten umlenkt für Werbung usw.

Deswegen werden solche Programme von uns und auch von den Tools die wir einsetzen, erkannt und gemeldet oder automatisch entfernt.

So wie ich sehe möchtest du die m4a Dateien, vom iPhone umwandeln. Ein Alternativprogramm wäre z.b. fre:ac - free audio converter | Free Audio & Video software downloads at SourceForge.net, aber ich will und möchte dir nicht vorschreiben, welche Software du nutzt. Es steht dir natürlich völlig frei, deinen bisherigen Converter zu nutzen.

Zitat:

Probleme beim Avira habe ich erst gestern entdeckt, als ich den Scanner und die Firewall ausschalten sollte. Da war nämlich der Schirm „zu“ und bei Echtzeitscanner und Browserscanner aktivieren ein Haken. Bei Emailscanner jedoch nicht. Der Haken lässt sich auch nicht setzen. Google zeigt mir, dass das ein weit verbreitetes Problem ist, da Avira scheinbar nicht in den Griff bekommt. Seit wann der Zustand bei mir so ist, weiß ich nicht. Ich sehe, dass mehrmals täglich updates gemacht werden und dachte es wäre alles wie immer eingestellt.

Da du ja die Bezahlversion von Avira hast, schlage ich vor, den Avira zu deinstallieren und neu zu installieren. Installier aber nicht die Avira SearchFree Toolbar.

Zitat:

Defogger und Combofix:
Ich habe keinen Schimmer, was das ist. Also hab ichs wohl auch nicht. Oder?
(Bevor ich mit delfix weitermache, warte ich deine Antwort ab.)

Nein, hast du nicht genutzt. Wir arbeiten allerdings mit Textbausteinen hier im Forum, damit wir schnell und effektiv die Themen bearbeiten können. Die Punkte für Defogger+Combofix kannst du also ignorieren, Delfix jedoch nicht.

Delfix räumt deinen Rechner auf, indem es die Logs und Tools, die wir beide benutzt haben, entfernt.

Zitat:

Automatische Update sind immer aktiv. Standen jedoch auf 3 Uhr nachts, habs auf Vormittags geändert.
Eine Virensoftware habe ich, wobei ich hier wohl einen Wechsel ins Auge fassen sollte.
Die 2 Addons für Firefox such ich mir zusammen.
Die übrigen Tipps werde ich auch beherzigen.

Cool !
Nochmal zu Avira (das hier ist meine persönliche Meinung):

Ich war selbst jahrelang Avira Nutzer und war zufrieden. Allerdings hat sich das rapide geändert, als Avira ihre Software mit der Ask-Toolbar kombiniert hat. Ich war zahlender Kunde, hab also die Free Version gar nicht genutzt, dennoch hab ich Avira wegen dieser Geschäftspraxis den Rücken gekehrt (so wie viele andere Kunden).

Ich will hier aber niemanden vorschreiben, was und welche Schutzsoftware er nutzt.
Beruflich setze ich Kaspersky Endpoint Security ein, privat nutze ich Emsisoft Anti Malware.

Achja, einen "besten" Virenschutz gibt es nicht.

Zitat:

Lässt sich jetzt eigentlich sagen, was genau infiziert war und welcher Schaden angerichtet worden sein könnte? Welche Daten können hier abgezogen worden sein? Ich habe erst kürzlich ca. 90 Passwörter geändert, rein vorsorglich. Das dürfte ja wohl alles für die Katz gewesen sein. Muss ich da jetzt alles nochmal machen? Die meisten Passwörter sind in dieser Datei im Firefox gespeichert. Bei Sofortüberweisung z.B. muss man aber jedes Mal eintippen. Ich habe keine Vorstellung, wie diese Trojaner auf die Daten zugreifen.
Vor allem finde ich merkwürdig, dass ich seit gestern auf dieser Dienstemailadresse Zig Mailerdaemons bekomme. Da kann hoffentlich Strato sagen, ob die über meinen Account verschickt wurden oder einfach nur meine Adresse als Absender verwendet wurde.

Mir ist immer nur ytd (das ist der Youtoubedownlader) und babylon in den Pfaden aufgefallen. YTD ist wirklich das einzige Programm, das ich heruntergeladen habe, das möglicherweise unseriös sein könnte. Ansonsten mache ich auf diesem Rechner keine Experimente.

Es wurden ja viele Dateien gelöscht. Waren die wirklich alle infiziert oder möglicherweise auch nur verdächtig und vorsorglich gelöscht?

Bis auf

Code: Alles auswählenAufklappen

ATTFilter

Trojan.RotBrowse, C:\Users\Claudia\AppData\Local\Temp\3878E2C1-BAB0-7891-8762-AADDB9FFAB73\Latest\ccp.exe, , [1a7bc4fea5d625119098abfc2bd98080],
         

könnte man fast sagen, es war "nur" Adware, ABER es gilt der Grundsatz der Technische Kompromittierung ? Wikipedia deswegen kann ich auch nicht sagen, ob und welche Passwörter geklaut/ausgespäht wurden.

Zitat:

Es wurden ja viele Dateien gelöscht. Waren die wirklich alle infiziert oder möglicherweise auch nur verdächtig und vorsorglich gelöscht?

Vorsorglich wird nichts gelöscht, alles was gelöscht wurde, wurde als AdWare/Malware identifiziert. Dabei können mehrere Dateien zu einer einzigen "Sache" gehören.

Zitat:

Auf zwei Internetseiten, die ich dienstlich nutze, bekomme ich jetzt eine Meldung, weil kein Java vorhanden ist. Da habe ich jedoch die Möglichkeit eine unkomfortablere Variante ohne Java zu nutzen.
Bei anderen Seiten kam öfter eine Meldung zu AktivX oder Flashplayer, da weiß ich nicht genau, was wofür zuständig ist. Flashplayer vermutlich zum Abspielen von Filmen. Kann ich beides jetzt wieder bedenkenlos installieren, ganz ohne scheint es nicht zu gehen.

Ja, kannst du neu installieren. Wir haben vorher die veralteten Versionen deinstalliert.

Flash Player veraltet !

Deinstalliere bitte deine aktuelle Version von Adobe Player

Start--> Systemsteuerung--> Software--> Adobe Player und lade dir die neue Version von Hier herunter-
Entferne den Haken für den McAfee SecurityScan bzw. Google Chrome.

Dein Java ist nicht mehr aktuell.
Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

• Downloade dir bitte die neueste Java-Version von hier
• Speichere die jxpiinstall.exe
• Schließe alle laufenden Programme. Speziell deinen Browser.
• Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 67 ) herunter laden.
• Entferne den Haken bei "Installieren Sie die Ask-Toolbar ..." während der Installation.
• Wenn die Installation beendet wurde
  Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
• Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

• Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
• Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
• Klicke auf Dateien löschen....
• Gehe sicher das überall ein Haken gesetzt ist und klicke OK.
• Klicke erneut OK.

schneller Plugin-Test: PluginCheck




Ich hoffe ich konnte einige Fragen von dir beantworten.

Gruß

Timo

Das ist alles sehr viel input :-)

Delfix ist jetzt durch.

Das m4a zu mp3 Programm lässt sich immer noch bedienen. Ikon auf dem Desktop auch vorhanden.

Flashplayer und Java installiert, Plugincheck alles ok.

Secunia ausgeführt und alles aktualisiert. Nur bei einer Sache gab es ein Problem. Es wurden in einem Download 3 msi-Dateien zur Verfügung gestellt, nur 2 ließen sich installieren. Die Dritte brachte die Meldung: Nicht für diese Plattform geeignet. Für was die überhaupt gut sind, konnte ich nicht erkennen.

WOT, noscript und adblocker bringen beim runterladen eine xpi-Datei mit der mein Rechner scheinbar nichts anfangen kann. Es erscheint ein graues Fenster mit drei Auswahlpunkten: Ein Programm finden, mehr Informationen und Standardprogramm nutzen.

TFC ist auch durchgelaufen.

Für Malwarebytes und Secunia hab ich mir eine wöchtenliche Erinnerung eingetragen, damit ich regelmäßig schauen kann.

Um Avira kümmere ich mich gleich, und dann um ein Grafikprogramm bei dem alle Effekte verschwunden sind - vermutlich durch die Löscherei ?!?

Mir schwirrt gerade der Kopf....




Nachtrag: Die Avira toolbar habe ich über Systemsteuerung entfernt und anschl. über den Button "ändern" Avira Pro repariert, also alles angehakt und durchlaufen lassen. Jetzt ist mein Schirmchen wieder auf und auch der Emailschutz hat wieder einen Haken. Scheint dann alles ok zu sein...

Zitat:

Secunia ausgeführt und alles aktualisiert. Nur bei einer Sache gab es ein Problem. Es wurden in einem Download 3 msi-Dateien zur Verfügung gestellt, nur 2 ließen sich installieren. Die Dritte brachte die Meldung: Nicht für diese Plattform geeignet. Für was die überhaupt gut sind, konnte ich nicht erkennen.

Das kann vorkommen, wär halt interessant zu wissen, welches Update das war.

Zitat:

WOT, noscript und adblocker bringen beim runterladen eine xpi-Datei mit der mein Rechner scheinbar nichts anfangen kann. Es erscheint ein graues Fenster mit drei Auswahlpunkten: Ein Programm finden, mehr Informationen und Standardprogramm nutzen.

.xpi Dateien kannst du z.b. per Drag+Drop in den Firefox ziehen, dann öffnet sich die Firefox Software Installation.

Oder du drückst STRG+SHIFT+A und gelangst so in die Addon Verwaltung und suchst von dort aus unter Addons suchen nach WOT, NoScript usw.

Code: Alles auswählenAufklappen

ATTFilter

Um Avira kümmere ich mich gleich, und dann um ein Grafikprogramm bei dem alle Effekte verschwunden sind - vermutlich durch die Löscherei ?!?
         

Das mit dem Grafikprogramm ist sehr unwahrscheinlich.
Falls das Problem weiterhin besteht, dann schreib mir, welches Programm und welche Effekte da betroffen sein sollen.

was das für ein update war, versuche ich herauszufinden.

Die Addons habe ich installiert, auf diesem Weg kannte ich die Prozedur und mir ist aufgefallen, dass ich mindestens noskript schon mal hatte. Hatte es entfernt, weil kaum noch eine Seite normal angezeigt wurde und ich ständig Meldungen bekam.

Hier steht nun auch in der Fußzeile: Skripte sind momentan verboten Script 24 Objekt 0 etc.

Bei FAcebook kam die Meldung Javascript aktivieren. Was aber nicht geht, weil unter Einstellungen Inhalt beim Firefox das Feld nicht mehr da ist :-) Ich muss dann wohl bei den Meldungen unten immer temporär erlauben.

Es müsste per Rechte Maustaste - NoScript - Fratzenbuch.com (oder der Webseite auf der du gerade bist) erlauben einstellbar sein.

Das update das sich über secuna nicht komplett installieren ließ, ist dieses:

Microsoft Core XML Services (MSXML) 6.0
MSXML 6.0 (MSXML6) has improved reliability, security, conformance with the XML 1.0 and XML Schema 1.0 W3C Recommendations, and compatibility with System.Xml 2.0.

1. msxml6.msi
2. msxml6_ia64.msi
3. msxml6_SDK.msi
4. msxml6_x64.msi

Nr. 3 war gestern nicht dabei und Nr. 2 ist, die die für die Plattform nicht geeignet war oder so ähnlich.

Sonst scheint nichts auf meinem Rechner passiert zu sein. Die EMailprobleme haben vlt doch ne andere Ursache. Inzwischen gibt es hier mehrere Threads mit identischem Problem bei gleichem Provider. Die werde ich verfolgen. Es scheint in allen Fällen der Rechner sauber zu sein...

Ich hatte neulich in nem andere Thema auch über MSXML Update von Secunia gelesen, das ist scheinbar fehlerhaft.

Die vier Dateien sind so zu interpretieren:

1. msxml6.msi = Paket für 32 bit Systeme
2. msxml6_ia64.msi = Paket für Intel Itanium Systeme
3. msxml6_SDK.msi = Paket mit dem SDK (Software Development Kit)
4. msxml6_x64.msi = Paket für 64 bit Systeme


Ich würds ignorieren.

Guten Morgen,

ich ignoriere dann mal. Secuna zeigt eben weiterhin an, dass etwas zu aktualisieren wäre... Interessant ist halt, dass auf meinem 64bit PC Datei 1 UND 4 angenommen wurde.
Beim 32bit Laptop hab ichs gestern auch versucht, da wurden zwei nicht angenommen, weiß jetzt nicht mehr welche :-/

Ich denke, du kannst das Thema hier für dich abschließen. Hast mir sehr geholfen. Vielen vielen Dank dafür.

Ich werde mal weiterhin hier mitlesen, vor allem was diese Massenmailgeschichte angeht, scheinen hier einige betroffen zu sein.

Liebe Grüße