Hi,

einen Aufruf konnte ich nicht identifizieren (aber das muss nichts heissen), versuche die Datei im abgesicherten Modus umzubenennen, keinesfalls ausführen).
Hah, besser versuche sie einfach so umzubenennen, wenn das nicht geht dann läuft das Ding im Hintergrund, dann in den abgesicherten Mode gehen (Neu booten, beim Booten F8 drücken).

Wie folgt umbenennen:
0xf9.exe nach 0xf9.exe.vir
Damit ist die Datei nicht mehr ausführbar und kann von eventuell vorhanden, unsichtbaren Starteinträgen nicht mehr gefunden werden....

chris

Ps.: Es sind dann noch "verwaiste" Serviceeinträge da (Legacy_SYSREST.SYS und Service_sysrest.sys), das ist unschön, aber da die Dateien "weg" sind, sollte das kein Problem sein. Es sei denn Du willst sie loshaben, dann müssen wir noch was tun...
So, Mittagspause...

Hi,

hab jetzt mal explizit gesucht und das hier gefunden:


0XF9.EXE-059E78B4.pf
C:\WINDOWS\Prefetch
PF-Datei
Unbekannte Anwendung
36KB

und nochmal

0xf9
Anwendung
C:\
Beschreibung:aaaaaa
19KB


Sind das Viren? Kann ich die nicht einfach löschen??

Verwaiste Einträge? Na ja was heisst stören, können die Schaden anrichten? Wo ich schon dabei bin könnte ich die ja auch grad noch entfernen... denke ich mir...

Ja bald hab ich auch Mittagspause! Dank Dir schonmal für Deine tolle Hilfe! Echt super!

Gibts hier im Board irgendwo noch allgemein Infos zu Sicherheit, Antivirenzeugs und so??

Ich glaube ich hab nur XP service Pack2 drauf, ist das ein Problem? Benutze den IE, soll ich besser auf Firefox umsteigen? Was ist mit Auto-Updates von Microsoft, aktivieren? Sonst irgendwelche Sachen die man unbedingt machen sollte oder unbedingt lassen sollte? Hab bisher Avira Antivir benutzt, ist die nicht so dolle? Oder besser regelmässig sowas wie heute machen?

Sorry für die vielen Fragen aber das ist mein Firmen-PC mit einem Fibu Programm mit locker über 10000 Einzelbuchungen, wenn ich mir das abschiesse dann erschiess ich mich gleich mit dazu...

Hi,

müsstest Du löschen können... .
Dann denk bitte unbedingt an ein gutes Backup, Daten von Programmen/Windows trennen (andere Festplatte/Partition) und vielleicht mit diesem PC nicht unbedingt surfen...

Weiterhin eine Firewall einrichten (eine richtige, nicht unbedingt die von Windows), z. B. Zonealarm (http://www.chip.de/downloads/ZoneAlarm_13013718.html), und ja, Firefox ist sicherer, dort kannst Du dann auch NoScript und Dr.Web-Linkscanner einrichten (Addons).
Weiterhin kannst Du den Browser so einrichten, dass er in einer Sandbox läuft (http://www.sandboxie.com/) (d.h. alles was Du in der Sandbox machst passiert nur in ihr, Viren etc. sind darin "eingesperrt" und können beliebig gelöscht werden, es sei denn Du erlaubst den "Ausbruch")...

Du solltest unbedingt auf SP3 aufrüsten (Vollbackup vorher machen)!
http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=de

Aber meistens sitzt das Problem vor dem Rechner, klickt alle Links an, öffnet alle Dateianhänge und führt alle möglichen Programme aus zweifelhaften Quellen aus... ;o).... Und dann nutzt eigentlich nichts wirklich...

Da noch einige MBR-Rootkits unterweg sind, machen wir noch einen kurzen Check...

MBR-Rootkit

Lade den MBR-Rootkitscanner von GMER auf Deine Bootplatte:
http://www2.gmer.net/mbr/mbr.exe
Merke Dir das Verzeichnis wo Du ihn runtergeladen hast;
Start->Ausführen->cmd
Wechsle in das Verzeichnis des Downloads und starte durch Eingabe
von mbr das Programm...

Das Ergebnis sollte so aussehen:

Zitat:

D:\Downloads>mbr
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

In dem Verzeichnis wo mbr.exe liegt findest Du das Log,
poste es im Thread;

chris

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


war das jetzt alles?? oder muss ich da noch was anderes machen? Hab mbr gestartet, Bildschirm hat kurz geflackert, dann kam eine neue Textdatei auf den Desktop mbr.txt... und da steht das oben geschriebene drin...

Hi,

Okay, nein das war alles...
Da combofix jeden Tag neu erstellt wird, kannst Du Ihn deinstallieren:
Start->Ausführen->combofix /u

chris

Hallo,

ok mach ich. Hab leider wohl doch noch nicht alles erwischt, weil heute nachmittag nochmal von Antivir ne Meldung kam... seltsam eigentlich, oder?

Werde mich morgen früh nochmal melden wegem dem nochmaligen Fund, weil ich jetzt zu Hause bin und meinen Laptop "reinigen" werde...

Dank Dir für Deien Hilfe!

Hi,

was hat Antivir wo gemeldet?

chris