Hallo miteinander,

ich habe folgenes Problem:

gestern ging ein Fenster auf mit dem Hinweis AOL-Update Optimized Dial-In, und außschließlich einem button "jetzt installieren" zum drauf klicken. Das Fenster war unschließbar!
Aus Ärger darüber, dass überhaupt was von AOL bei mir installiert ist, ich bin nämlich überhaupt kein AOL-Kunde und hab auch nie was davon getestet oder ähnliches, wollte ich die Software sofort deinstallieren.
Beim Deinstallieren des Programms AOL-Optimized Dial-In kam dann eine Meldung von Kaspersky, ob ich diese Aktion "uninstall.exe" ausführen lassen will. Hab ich 2x bestätigt, daraufhin meldete er mir einen trojaner in der Datei und verschob die Datei in die Quarantäne und machte ein Rollback.

Ich versuchte die Datei daraufhin zu löschen - ging nicht.
(C:\Programme\Gemeinsame Dateien\aol\ACS\AcsUninstall.exe)
Der ganze aol-Ordner ist voll mit verdächtigen Dateien. In einem ist sogar eine Exe mit Pferdchen auf dem Bildschirm (welch ein Hohn!).

Gestern hat Kaspersky dann nochmal 4 Trojaner gefunden
(D:\System Volume Information\_restore{922BDE82-44FE-4534-A656-1144E20616F2}\RP90\A0010378.exe\crack.exe
D:\System Volume Information\_restore{922BDE82-44FE-4534-A656-1144E20616F2}\RP90\A0010379.exe
D:\System Volume Information\_restore{922BDE82-44FE-4534-A656-1144E20616F2}\RP90\A0010388.exe
D:\System Volume Information\_restore{922BDE82-44FE-4534-A656-1144E20616F2}\RP90\A0010389.exe)

Ich weiß nicht, ob das im Zusammenhang steht, aber ich mach mir jetzt sorgen, dass ein aktiver Trojaner auf meinem Rechner haust.

Ich hab schon nach acsuninstall gegooglet, finde zwar die Datei öfter in Beiträgen, wo Probleme auftraten, aber nie als Hauptproblem. Die Lösungen sind immer unterschiedliche Scans mit Virenscannern, deren Ergebnisse ein Profi lesen muss.

Was kann ich jetzt tun um die Datei los zu werden.
Ich kann mir nicht erklären wie sich AOL überhaupt installiert hat. Wie kann ich sowas in Zukunft besser unterbinden?
Bin ich mit Kaspersky ausreichend geschützt? Oder sollte ich noch spezielle Virenscanner regelmäßig durchlaufen lassen?

Ich hoffe jemand von euch weiß mir Rat.

LG Tritri

Hallo Tritri

zu erst bitte folgendes:


1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

2.) Führe dieses MBR-Tool aus und poste die Ausgabe

3.) Malwarebytes Antimalware ausführen und Logfile posten! Nach dem Scan mit Malwarebytes bitte die gefunden Probleme beheben lassen!


Zu Deinen Fragen kommen wir dann anschließend!


Gruß

Hallo Mellosun,

vielen Dank für deine sehr schnelle Antwort!

Ich habe alles versucht nach Anweisung durchzuführen, wobei ich an 2 Dingen "gescheitert bin" :
Ich habe die Systemwiederherstellung deaktiviert, habe dann erst mal die Dateien runter geladen, bin dann in den gesicherten Modus übergegangen. Habe dann die mbr.exe ausgeführt, es kam aber keine Ausgabe, keine Reaktion.
Dann habe ich Malwarebytes Antimalware installiert, musste dann wieder in den ungesicherten Modus wechseln um ins Internet zu kommen und die Datenbank zu aktualisieren.
Bin dann wieder in den gesicherten Modus und habe ihn duchscannen lassen.
Er hat aber nix gefunden. Hier das log:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1203
Windows 5.1.2600 Service Pack 2

24.09.2008 22:40:42
mbam-log-2008-09-24 (22-40-42).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 173156
Laufzeit: 36 minute(s), 43 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Was nun?

lg Tritri

Also das was Kaspersky da angemeckert hat

Code: Alles auswählenAufklappen

ATTFilter

(D:\System Volume Information\_restore{922BDE82-44FE-4534-A656-1144E20616F2}\RP90\A0010378.exe\crack.exe
D:\System Volume Information\_restore{922BDE82-44FE-4534-A656-1144E20616F2}\RP90\A0010379.exe
D:\System Volume Information\_restore{922BDE82-44FE-4534-A656-1144E20616F2}\RP90\A0010388.exe
D:\System Volume Information\_restore{922BDE82-44FE-4534-A656-1144E20616F2}\RP90\A0010389.exe)
         

ist genau die Systemwiederherstellung von Windows! Durch Deaktivieren dieser und anschließendem Neustart werden die Wiederherstellungspunkte gelöscht und somit auch die Dateien!

Zu der anderen Datei

Code: Alles auswählenAufklappen

ATTFilter

(C:\Programme\Gemeinsame Dateien\aol\ACS\AcsUninstall.exe)
         

ist diese noch vorhanden? Also sprich, liegt die noch in dem angegebenen Ordner? Wenn ja, bitte mal auf www.virustotal.com gehen, auf Durchsuchen klicken und zu der Datei navigieren.....Klicke dann auf Send und warte das Ergebnis ab! Poste dies, auch wenn nichts gefunden wird!

Zu dem MBR Tool:

Führe dies mal bitte im normalen Modus aus!

Weiter würde ich gern ein Kaspersky Onlinescan machen lassen:

Kaspersky Online Scan
Überprüfe Dein komplettes System mit dem Kaspersky Online-Scanner. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten. Java muss aktiv sein. Bei Nutzung des Internet Explorer musst Du die ActiveX Steuerelemente (Controls) zulassen. Wenn es nicht funktioniert, die jeweilige Seite zu den Sicheren hinzufügen bzw. die Sicherheitseinstellungen (Extras => Internetoptionen) für die Internetzone herabsetzen (danach aber sofort wieder hochsetzen). Der Scan kann auch mit dem Firefox ausgeführt werden. Dafür muss Java installiert und aktiv/erlaubt sein. Bebilderte Anleitung von sundavis.

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.
Wir werden Dir helfen, die Funde manuell vom System zu entfernen.

• Browser öffnen und
• Kaspersky Online Scanner ansurfen.
• Die Datenschutzerklärung akzeptieren.
• Die nötigen ActiveX-Steuerelemente installieren lassen.
• Update der Signaturen installieren lassen => Weiter
• Scan-Einstellungen => Standard wählen => OK
• Link "Arbeitsplatz" anklicken
• Scan beginnt automatisch
• Untersuchung wurde abgeschlossen => Protokoll speichern als...
• Dateityp auf .txt umstellen => und auf dem Desktop als Kaspersky.txt speichern
• Logdatei hier posten.

• Deinstallation
• nicht nötig, alle Dateien werden in temporären Ordnern gespeichert
  => C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Temp\jkos-<Benutzername>

Gruß

Entschuldigung ich muss mein Problem nochmal konkretisieren.

Ich stelle fest, dass die Datei ACSUninstall.exe nicht im Ordner im angegebenen Pfad ist. Dort sind lediglich andere exe-Dateien von AOL und dem Dialer.
Bei Kaspersky in der Übersicht der gefundenen schädlichen Objekte steht jedoch, dass sie nicht löschbar ist (Desinfizieren und Löschen sind im Menu grau unterlegt) - ich hab mal den Screenshot angehängt, geht aber nur ohne Menu.

Und einen Screenshot von der 2. exe mit dem Pferdchen drauf in einem Unterordner "Backup" des Aol-Ordners hab ich auch angehängt... (soll das bildchen ein schlechter scherz sein?!)
-- die hab ich jetzt mal bei virustotal hochgeladen.
Ergebnis:

Code: Alles auswählenAufklappen

ATTFilter

Die Datei wurde bereits analysiert:
MD5: 	ed14e62537c517a00ffd07b7fbb38ed7
First received: 	2008.05.01 10:29:05 (CET)
Datum 	2008.05.01 10:29:05 (CET) [>146D]
Ergebnisse 	1/32
Permalink: 	analisis/6a389e8f1c4713aecb5057dd38676b3a

(bei klick:)
Datei acssetup.exe empfangen 2008.05.01 10:29:05 (CET)
Status: Beendet
Ergebnis: 1/32 (3.12%)

Antivirus 	Version 	letzte aktualisierung 	Ergebnis
Webwasher-Gateway 	- 	- 	BlockReason.0


weitere Informationen
MD5: ed14e62537c517a00ffd07b7fbb38ed7
SHA1: 7958260ea4ad6e1275e84a99e9f9a9ef487c66a9
SHA256: 0153a1edd07b2c4b3d908b588a14f99f315dcd513a1eff18a5a24988e0e884a7
SHA512: 4fe91e2932961a22f96dc75d86870c618755bdb72c75647f4fc5f2f25b1b9066f3dd21a9e03b34825fd4ea66e2b4ef79638902fe24c129c9276c8cfc734c4619
         

die mbr-datei zeigt auch im normalen modus keine ausgabe. was mach ich falsch?!

Ok, ich für mal den kaspersky online scan durch...

Ok, hier das log:

Code: Alles auswählenAufklappen

ATTFilter

--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7 REPORT
 Thursday, September 25, 2008
 Operating System: Microsoft Windows XP Professional Service Pack 3 (build 2600)
 Kaspersky Online Scanner 7 version: 7.0.25.0
 Program database last update: Wednesday, September 24, 2008 16:26:54
 Records in database: 1255995
--------------------------------------------------------------------------------

Scan settings:
	Scan using the following database: extended
	Scan archives: yes
	Scan mail databases: yes

Scan area - My Computer:
	C:\
	D:\
	E:\
	F:\
	H:\

Scan statistics:
	Files scanned: 132411
	Threat name: 5
	Infected objects: 8
	Suspicious objects: 0
	Duration of the scan: 02:55:20


File name / Threat name / Threats count
C:\Dokumente und Einstellungen\<Benutzername>\Eigene Dateien\<Benutzername2>\Prog\int\ExploreAnywhere SpyBuddy 3.7.2\setup.exe	Infected: not-a-virus:Monitor.Win32.SpyBuddy.27	1
C:\Dokumente und Einstellungen\<Benutzername>\Eigene Dateien\<Benutzername2>\Prog\int\ExploreAnywhere SpyBuddy 3.7.2\setup.exe	Infected: not-a-virus:Monitor.Win32.SpyBuddy.31	1
C:\Dokumente und Einstellungen\<Benutzername>\Eigene Dateien\<Benutzername2>\Prog\int\ExploreAnywhere SpyBuddy 3.7.2\setup.exe	Infected: not-a-virus:Monitor.Win32.KeyLoggerPro.15	1
C:\Dokumente und Einstellungen\<Benutzername>\Eigene Dateien\<Benutzername2>\Prog\int\ExploreAnywhere SpyBuddy 3.7.2\setup.exe	Infected: not-a-virus:Monitor.Win32.SpyBuddy.36	4
C:\Dokumente und Einstellungen\<Benutzername>\Eigene Dateien\<Benutzername2>\Prog\int\ExploreAnywhere SpyBuddy 3.7.2\setup.exe	Infected: not-a-virus:Monitor.Win32.SpyBuddy.13	1

The selected area was scanned.
         

Bitte entschuldige, dass die Nachricht erst am nächsten Tag kam, aber ich brauche immer etwas länger um die ganzen Aufträge umzusetzen
Zudem lief in dem Fall der Online-Scan ganz schön lange durch.

Jetzt habe ich vor lauter Sorge, dass mein Computer nicht ausreichend geschützt ist, die Kasperskyeinstellungen schärfer gestellt. Nun fragt er bei jeder 2. Aktion, ob ich das erlauben will. Nachdem mir die ganzen Dateien aber gar nicht sagen entscheide ich immer aus dem Bauch heraus ob ich erlauben oder ablehnen sollte. Das erscheint mir selbst nicht wirklich sinnvoll, aber wo kann ich in der Sicherheit abstriche machen??

Liebe Grüße
Tri