Strauchdiebe oder Syndikatskiller?

harlud

Hallo Forum!
Ich hatte Malware. Jetzt scheint sie weg zu sein. Waren es digitale Strauchdiebe, die ich erfolgreich verjagt habe, oder haben sich die Syndikatskiller nur versteckt und werden bald grausam zuschlagen?

Ich habe mir am 01.01.2008 bei der Suche nach Plugins für den WindowsMediaPlayer möglicherweise Malware eingefangen. Bei der Mediathek vom ZDF wird das eingebaute Plugin von Mediaplayer 9 nicht erkannt Das Problem samt Lösung ist hier beschrieben: http://mozilla.b61.de/plugins/#wmp2
Bis ich das Problem gelöst hatte und diese Stelle gefunden hatte war ich auf mehreren „hilfreichen“ Websites und habe anschließend das Sytem geprüft. Bei Hijachthis war ein unbekannter Eintrag bei O4, der bei der Onlineauswertung als schädlich angegeben wurde und gefixt werden sollte. Das habe ich getan, der Eintrag blieb nach neuer Prüfung mit HijackThis weg. Leider wurde dabei das Logfile überschrieben, sodaß ich den genauern Namen des Problems nicht mehr herausbekomme. Systemtests mit Antivir, Malwarebytes und Spybot waren ohne Malwarenachweis.
Am 03.11.2008 bekam ich plötzlich vom Antivir Guard eine Malwarewarnung es sei das Backdoorprogramm „PDS/Pcclient.ptl“ in einem Teil von Firefox gefunden worden. Ich habe das Programm bei Jotti testen lassen. Dabei fand nur Antivir das Programm schädlich. Wegen des Verdachtes auf false positiv habe ich die Datei zu Antivir (http://analysis.avira.com/samples/index.php ) geschickt und bekam folgende Nachricht:
(Zitat)„Die Datei '177E6B52d01' wurde als 'DAMAGED FILE (MALWARE)' eingestuft.Dies bedeutet, dass diese Datei beschädigt und nicht richtig lauffähig ist. Dennoch konnten wir feststellen, dass es sich hierbei um eine Datei handelt welche schädliche Codefragmente aufweist.“ (Zitatende)
Beim Aufräumen des Computers habe ich ein (angebliches?) WindowsMediaplayerUpdate mit CCleaner gelöscht. Das hatte ich tags zuvor auch schon ohne Reaktion vom Antivir Guard ausgeführt. Beim Löschvorgang bekam ich die Warnung, es sei das unerwünschte Programm „TR/Agent.553108“ [trojan] gefunden worden. Weil das Antivir immer so rumzickt, wenn ich ein Schadprogramm aus der Quarantäne bei Jotti hochladen will, hab ich es diesesmal mit „umbenennen“ versucht. Beim Versuch des Hochladens aus C:\Recyclers\S-1- usw.war die Datei aber schon leer. Die leere Hülle habe ich mit Killbox beseitigt.
Die anschließenden Suchdurchläufe mit Antivir, Spybot und Malwarebytes waren wieder ohne Malwarefund. Der Computer läuft wie sonst. Eine Prüfung mit der Avira Rescue-CD war wegen des zu kleinen Arbeitspeichers nicht möglich. Die Prüfung des Routers bei Heise Security ergab keine Lücken. Das Hijachthis Logfile scheint in Ordnung. Ich werde es getrennt vom betroffenen Rechner schicken.
Ich finde es erstaunlich, daß nach meinen Irrwegen im Netz plötzlich so halbe Bedrohungen auftauchen. Kann man irgendwie herausbekommen, ob irgendwo eine Backdoor offen ist? Viele Grüße harlud