Hallo zusammen,

ich hatte die Tage eine Infektion durch einen Wurm, keine Ahnung wie er heißt, die Datei, von der ausgehend das System sabotiert wurde (durch volle Ausnutzung des Upstreams - zum Verbreiten seinerselbst nehme ich an, sehe ich das richtig? ca. 50 MB in 15 Minuten (!) wenn ich mich recht erinner) ist LSSAS.exe, die ich hier auch bereits in ein paar Threads gefunden habe (so bin ich auch auf das Forum gestoßen - Google-Suche nach dem Dateinamen).

Die Datei, wie auch den Registry-Eintrag unter "HKLM/.../Run" (Autostart) hab ich entfernt, Prefetch gibt's bei Windows 2000 nicht. Seither läuft das System wieder wie gewohnt, aber ich habe Sorge, dass sich noch was mehr eingeschlichen haben könnte. Außerdem wüsste ich gerne, ob durch die Infektion das System kompromittiert wurde, oder ob es noch als vertrauenswürdig ansehbar ist...

Ich würde mich als Laie bezeichnen, auch wenn ich zu den oben angegebenen Schritten in der Lage war, daher würde ich gerne auf die Hilfe von euch Experten zurückgreifen, denn ein eigenständiger Versuch der weitergehenden Suche scheiterte bereits am ersten Eintrag des HijackThis Log (smss.exe läuft im Hintergrund - ist das nun was bösartiges oder die Systemdatei?). Das ich wusste, von welcher Datei der Upstream ausging, lag letztlich an einer einzigen Warnnachricht von Antivirus und Firewall, ehe der Wurm diese manipuliert hat (jedenfalls fand der Antivirus den Wurm nicht und die Firewall hinderte ihn kein Stück am nutzen des Upstream).

Achso: Ich nutze Norton Antivirus und Norton Personal Firewall - keine so geschickte Wahl wie mir beim Lesen des Boards erscheint...

Vielen Dank schonmal im vorraus!

Edd



Nach langer Rede, hier die Log-File (es ist bereits die dritte, die erste hab ich beim erstellen der zweiten unbeabsichtigt überschrieben, aber das war ohnhin alles nachdem ich LSSAS.exe + Registry-Eintrag gelöscht hatte) (kein Programm nach Systemstart von mir gestartet, außer natürlich HijackThis):

Logfile of HijackThis v1.99.1
Scan saved at 18:39:13, on 27.05.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
D:\Programme\Norton Personal Firewall\ISSVC.exe
D:\WINNT\system32\svchost.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\WINNT\system32\spoolsv.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
D:\WINNT\System32\svchost.exe
D:\Programme\Norton AntiVirus\navapsvc.exe
D:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
D:\WINNT\system32\regsvc.exe
D:\WINNT\system32\MSTask.exe
D:\WINNT\system32\stisvc.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\Explorer.EXE
D:\Programme\Norton AntiVirus\SAVScan.exe
D:\Programme\TerraTec\Cinergy 400 TV\TTTVRC.exe
D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
D:\WINNT\system32\internat.exe
D:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lycos.de/search/msie40.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.lycos.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Norton Personal Firewall - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - D:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Personal Firewall - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - D:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] D:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] #"D:\Programme\Winamp\winampa.exe"
O4 - HKLM\..\Run: [TerraTec Remote Control] D:\Programme\TerraTec\Cinergy 400 TV\TTTVRC.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] #"D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] D:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\RunServices: [DJSNetCN] D:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O8 - Extra context menu item: Download with GetRight - D:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - D:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINNT\System32\msjava.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - D:\Programme\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - D:\Programme\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .EXE: D:\Programme\Opera7\PLUGINS\NPGetRt1.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - D:\Programme\Norton Personal Firewall\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - D:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - D:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - D:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - D:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Das war's. Wie gesagt: Vielen Dank schonmal für eure Hilfe!

Da das HJT-Log eigentlich gut aussieht, Du aber auf Nummer Sicher gehen willst, mache einen eScan genau nach Cidres Anleitung:
http://www.trojaner-board.de/showthread.php?t=17492

@Edd

Zitat:

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

IE muss auf den aktuellen Stand gebarcht werden, trotz dass du mit Opera surfst. Ansonsten schließe ich mich felix1 an.

So, hab jetzt nen eScan durchgeführt - ganz sauber scheint er ja nicht zu sein... 17x tagged, davon 1x infected... Naja und 36 Errors...

Das mit der Find.bat hat nicht funktioniert, hab's mehrfach versucht, es wurde nie eine Datei "eScan*.txt" auf meinen Festplatten erstellt, egal in welchem Verzeichnis ich die bat ausgeführt habe. Also bin ich nach der älteren beschriebenen Methode vorgegangen - mit der Suchfunktion im Editor...

Tue May 31 20:52:50 2005 => **********************************************************
Tue May 31 20:52:50 2005 => MicroWorld AntiVirus & Spyware Toolkit Utility.
Tue May 31 20:52:50 2005 => Copyright © 2003-2005, MicroWorld Technologies Inc.
Tue May 31 20:52:50 2005 => **********************************************************
Tue May 31 20:52:50 2005 => Version 6.2.9 (D:\Bases_X\mwavscan.com)
Tue May 31 20:52:50 2005 => Log File: D:\Bases_X\MWAV.LOG
Tue May 31 20:52:50 2005 => MWAV Registered: FALSE.
Tue May 31 20:52:50 2005 => MWAV Mode: Only Scan files.
Tue May 31 20:52:50 2005 => Latest Date of files inside MWAV: 31 May 2005 21:36:49.
Tue May 31 20:52:57 2005 => AV Library Loaded...
Tue May 31 20:52:57 2005 => MWAV doing self scanning...
(...)
Tue May 31 20:52:59 2005 => MWAV files are clean.
Tue May 31 20:53:04 2005 => Virus Database Date: 2005/05/31
Tue May 31 20:53:04 2005 => Virus Database Count: 132625
(...)
Tue May 31 20:54:34 2005 => Options Selected by User:
Tue May 31 20:54:34 2005 => Memory Check: Enabled
Tue May 31 20:54:34 2005 => Registry Check: Enabled
Tue May 31 20:54:34 2005 => StartUp Folder Check: Enabled
Tue May 31 20:54:34 2005 => System Folder Check: Enabled
Tue May 31 20:54:34 2005 => System Area Check: Disabled
Tue May 31 20:54:34 2005 => Services Check: Enabled
Tue May 31 20:54:34 2005 => Drive Check: Disabled
Tue May 31 20:54:34 2005 => All Drive Check :Enabled
Tue May 31 20:54:34 2005 => Folder Check: Disabled
(...)
(...)
(...)

8 Einträge wie dieser (alle "tagged as not-a-virus:Tool.Win32.Reboot"):
Tue May 31 22:26:37 2005 => File F:\software\Video Player Programs.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
(...)

2x (hatte die Datei 2x auf Platte):
Tue May 31 22:28:18 2005 => File F:\weitere SICHERHEITSKOPIEN\(...)\themes, etc\lordofth.EXE tagged as "not-a-virus:AdWare.Gator.1050". Action Taken: No Action Taken.
(...)

2x (hatte die Datei 2x auf Platte):
Tue May 31 22:28:48 2005 => File F:\weitere SICHERHEITSKOPIEN\Internet\scripts\Invision1.18.zip tagged as not-a-virus:Client-IRC.Win32.mIRC.82. No Action Taken.
(...)

DIE INFIZIERTE DATEI:
Tue May 31 22:33:40 2005 => File F:\Spiele\Super Mario\spmario\spmario.exe infected by "Trojan.Win32.StartPage.oz" Virus! Action Taken: No Action Taken.
(...)

Tue May 31 23:11:01 2005 => File G:\All u need\Internet\FTP\susetup.exe tagged as not-a-virus:Server-FTP.Win32.Serv-U.40. No Action Taken.
(...)

3 Einträge wie dieser (alle "tagged as not-a-virus:AdWare.[unterschiedlieche Bezeichnung]")
Tue May 31 23:13:56 2005 => File G:\All u need\Internet\GetRight 4.3\Setup.exe tagged as "not-a-virus:AdWare.TimeSinc". Action Taken: No Action Taken.
(...)

(...)
(...)
(...)
Tue May 31 23:29:05 2005 => ***** Scanning complete. *****

Tue May 31 23:29:05 2005 => Total Objects Scanned: 90442
Tue May 31 23:29:05 2005 => Total Virus(es) Found: 17
Tue May 31 23:29:05 2005 => Total Disinfected Files: 0
Tue May 31 23:29:05 2005 => Total Files Renamed: 0
Tue May 31 23:29:05 2005 => Total Deleted Objects: 0
Tue May 31 23:29:05 2005 => Total Errors: 36
Tue May 31 23:29:05 2005 => Time Elapsed: 02:34:05
Tue May 31 23:29:05 2005 => Virus Database Date: 2005/05/31
Tue May 31 23:29:05 2005 => Virus Database Count: 132625

Tue May 31 23:29:05 2005 => Scan Completed.



Also, das war's. Bitte helft mir weiter, wie gehe ich mit diesem Ergebnis um?

>> "tagged as not-a-virus:Tool.Win32.Reboot" und ähnliche <<
Wohl völlig unproblematisch, oder? Verstehe nicht, warum eScan die anzeigt...

>> "tagged as not-a-virus:AdWare.[unterschiedlieche Bezeichnung]" <<
Halte ich für unproblematisch, sind Installationsdateien, die bekanntlich Adware enthalten (wusste ich allerdings bei GetRight nicht) - Problem lässt sich bei Installation mit Ad-Aware schnell lösen...

Aber was mache ich damit:
>> Tue May 31 22:33:40 2005 => File F:\Spiele\Super Mario\spmario\spmario.exe infected by "Trojan.Win32.StartPage.oz" Virus! Action Taken: No Action Taken. <<
Die Datei schlummert schon seit Jahren ungenutzt auf meiner Platte - würd sie nicht vermissen... Aber reicht es sie zu löschen? Ist das Problem dann gelöst?

Vielen Dank schonmal für die Hilfe!

Gruß,
Edd

EDIT am 2.6.: Editierung der Pfade etwas sinnvoller gestaltet - war kritisiert worden...

@Edd
Warum hast du die Datei Find.bat nicht ausgeführt? Bitte nächstes mal den Anleitungen und Empfehlungen, die du hier bekommst , punktgenau nachgehen.

Zitat:

File F:\Spiele\Super Mario\spmario\spmario.exe infected by "Trojan.Win32.StartPage.oz" Virus!
G:\All u need\(...)\GetRight 4.3\Setup.exe

Scheint Fehlalarme zu sein.Super Mario kenne ich , glaube aber noch für MS-DOS oder Win95. Überptüfe die Dateien noch bei http://virusscan.jotti.org/.
Warum hast du die Pfäde bis zur Unerkenntlichkeit gekürzt?

@Rene-gad: Erstmal vielen Dank für deine Hilfe!

Zitat:

Zitat von Rene-gad

Warum hast du die Datei Find.bat nicht ausgeführt? Bitte nächstes mal den Anleitungen und Empfehlungen, die du hier bekommst , punktgenau nachgehen.

Hab's mehrfach versucht, funktionioerte aber nicht. Hatte ich aber auch oben geschrieben - hab sie in mehreren verschiedenen Verzeichnissen versucht auszuführen. DOS-Fenster öffnet sich und schließt sich wieder - das war's. Keine Datei auf der Festplatte auffindbar - auch nicht über die Suchfunktion... Sorry, hab's versucht... Hmmm..... jetzt wo ich drüber nachdenke, ich glaub ich weiß, warum's nicht funktioniert hat: Hatte eScan irrtümlich 2x entpackt, wusste nur beim ersten mal nicht wohin - ich sollte wohl so sachen nicht Nachts machen... :-S

Zitat:

Zitat von Rene-gad

Scheint Fehlalarme zu sein.Super Mario kenne ich , glaube aber noch für MS-DOS oder Win95. Überptüfe die Dateien noch bei http://virusscan.jotti.org/.

Alle vom eScan aufgezeigten Dateien sind von mir selbst im jeweiligen Verzeichnis gespeichert gewesen, die hat kein Virus erstellt und getarnt. Ich weiß nur halt überhaupt nicht, wie ein Virus genau vorgeht, ob er auch "gesunde" Dateien quasi als Versteck nutzen kann zum Beispiel - sonst hätte ich den Thread nicht eröffnen müssen. Die Super Mario exe-Datei ist definitiv von mir selbst dort gespeichert worden, ich glaub aber nicht, dass ich sie jemals ausgeführt habe seit ich sie auf Platte habe (mehrere Jahre schon *g*) - von daher werd ich sie denke ich sicherheitshalber löschen, nutzen werd ich sie eh nie...
Auch wenn ich sie eh löschen werde bei der angegebenen URL prüfen lassen?

Zitat:

Zitat von Rene-gad

Warum hast du die Pfäde bis zur Unerkenntlichkeit gekürzt?

Wollte die Info auf's Wesentliche reduzieren - weniger Arbeit für euch zu lesen. Ob ich nun "G:\SICH(...)\(...)\(...)\themes\lordofth.EXE" oder "G:\SICHERHEITSKOPIEN\Windoof\Desktopf\alt\new stuff\themes, etc\lordofth.EXE" angebe kommt letzten Endes für euch ja auf's selbe hinaus (ok, das Wort "Sicherheitskopien" hätte ich vielleicht nicht kürzen sollen, nicht drüber nachgedacht). Naja, und mir waren ehrlich gesagt die Bezeichnungen, die ich ersatzweise für "Windows" und "Desktop" angegeben hatte (weil mir irgendwann mal beim Erstellen von Sicherheitskopien auf einer anderen Partition Windows einen schlicht mit "Desktop" benannten Ordner zum Systemordner machte), ein wenig peinlich... Aber wie gesagt, "Sicherheitskopien" hätte ich wohl ausschreiben sollen - das war schlicht gedankenlos von mir... :-S Oh, selbiges gilt für das ominöse "F:\weitere (...)\", der Ordner heißt "F:\weitere Sicherheitskopien\", warum ich den runter editiert habe, weiß ich auch nicht... Sorry, gedankenlos... Bei "susetup.exe" hätte ich zumindest noch den Ornder angeben sollen, in dem die Datei sich befindet ("FTP"), denn das gibt Aufschluss darüber, wozu ich die Datei auf Platte haben könnte........ Ok, ok, ok, ich hör auf darüber nachzudenken, hab deutlich übertrieben mit dem Kürzen......... Nächstes mal geb ich die vollen Pfade an - das mit dem Kürzen ist Quatsch, wie ich sehe - hab nicht darüber nachgedacht, dass auch die Angabe des Verzeichnisses wichtig ist, weil sie Aufschluss über den Zweck einer vielleicht unbekannten Datei geben kann... Auf den Gedanken bin ich nur mitten in der Nacht nicht mahr gekommen - naja...... Kopf einschalten oder posten sein lassen - sorry, wollt's erleichtern, hab's aber erschwert... EDIT:

Gruß,
Edd

Zitat:

Zitat von Rene-gad

Scheint Fehlalarme zu sein.Super Mario kenne ich , glaube aber noch für MS-DOS oder Win95. Überptüfe die Dateien noch bei http://virusscan.jotti.org/.

Ergebnis des Online-Tests der Datei auf http://virusscan.jotti.org/ sieht folgendermaßen aus:

File: spmario.exe
Status: INFECTED/MALWARE
MD5: 989c4bac60c569c6e5f109ba70e709ec
Packers detected: PECOMPACT

Scanner results:

AntiVir: Found nothing
Avast: Found nothing
AVG Antivirus: Found nothing
BitDefender: Found nothing
ClamAV: Found nothing
Dr.Web: Found nothing
F-Prot Antivirus: Found nothing
Fortinet: Found nothing
Kaspersky Anti-Virus: Found Trojan.Win32.StartPage.oz
mks_vir: Found nothing
NOD32: Found nothing
Norman Virus Control: Found nothing
VBA32: Found nothing

Also alle nichts gefunden außer Kaspersky Anti-Virus, welcher den gleichen Trojaner feststellt wie eScan (basieren aber ja auch auf der gleichen Routine)...

Die Datei ist die Installationsdatei des Spiels Super Mario, welches entpackt in einem Nebenverzeichnis ist, somit muss ich die Datei vor Jahren schonmal ausgeführt haben... Also ist das jetzt Malware? War die Datei mal "gesund" und ist jetzt "infiziert" worden? Oder Fehlalarm?

Falls es wirklich ein Virus ist: Reicht es die Datei zu löschen oder muss ich noch irgendwas beachten?

Danke schonmal im Voraus.

Gruß,
Edd

Bitte reagiert auf meine Fragen - ich bin kein Kenner und über den vermeintlichen Trojaner lässt sich im Netz nicht wirklich viel finden... Eigentlich nur, dass es zur Zeit keine Beschreibung über "das Programm", wie sie's nennen, gibt - siehe viruslist.com - das war's. Nehme an es ist ein Fehlalarm, sehe ich das richtig?

Ich weiß, ich schreibe oft etwas zu langatmig, also versuche ich's mal sehr kurz und knapp:

Es reicht eine kurze Antwort auf folgende Fragen:
1.) LSSAS.exe gelöscht, sowie aus'm Autostart in der Registry gelöscht (aus HKLM/.../Run) - danach nichts mehr davon in den log-Files zu finden.
=> Problem gelöst?
=> ist das System nach dem fixen wieder vertrauenswürdig, oder muss es neu aufgesetzt werden?
2.) File F:\Spiele\Super Mario\spmario\spmario.exe infected by "Trojan.Win32.StartPage.oz" Virus! Außer dem Hinweis von eScan auf die Datei war nichts in den log-Dateien, auch nicht im HijackThis-log.
=> Reicht es die Datei zu löschen?
=> ist das System danach wieder vertrauenswürdig?

zu 2.) & 3.) ==> Kann ich nach dem Fixen wieder Online-Banking betreiben (vorausgesetzt alle relevante Software ist aktualisiert & Sicherheitseinstellungen aus der Anleitung zum Neuaufsetzen wurden durchgeführt), oder ist das zu Riskant ohne Neuaufsetzen des Systems?

Wäre schön, wenn ihr mir diese Fragen kurz mit "ja" oder "nein" (oder gerne auch einem Satz dazu, muss aber nicht) beantworten würdet. Ich hab wirklich nicht viel Ahnung.

Danke euch schonmal.
Schöne Grüße,
Edd

@Edd

Zitat:

ist das System nach dem fixen wieder vertrauenswürdig, oder muss es neu aufgesetzt werden?

Absolut sicher malwarefrei ist nur ein frisch aufgesetzter Rechner vor dem ersten Internetgang.
Die fragwürdige Datei sende bitte verpackt und Kennwortgeschützt an
Kaspersky Lab Deutschland: info@kaspersky.de oder Technischer Support : deutsch@support.kaspersky.com. In deiner eMail kannst du Jotti -Protokoll einbetten.
Ich würde hier weiterhin auf einen Fehlalarm tippen.

Zitat:

Zitat von Rene-gad

Die fragwürdige Datei sende bitte verpackt und Kennwortgeschützt an Kaspersky Lab Deutschland: info@kaspersky.de oder Technischer Support : deutsch@support.kaspersky.com. In deiner eMail kannst du Jotti -Protokoll einbetten.
Ich würde hier weiterhin auf einen Fehlalarm tippen.

Vielen Dank für die Hilfe, Rene-gad!

Falls noch jemand eine solche Virus-Warnung bekommen hat und Informationen dazu sucht, die Reaktion des Kasperski-Lab auf meine Frage, ob es reicht die Datei zu löschen, war: Löschen sollte genügen.

Sehr schön - hab das Spiel eh seit Jahren nicht angerührt, sofern ich es überhaupt jeh auf PC gespielt hab...

Gruß,
Edd