Zitat:

also der Ordner ? in C:\WINDOWS\system32 wird nicht angezeigt.

Führe nur Punkt 1 durch und du wirst ihn sehen.

Zitat:

Dafür aber einige Ordner in blau in C:\WINDOWS\

Falls du Platz sparen möchtest, dann kannst du die alle löschen. Die dienen dazu die Updates wieder rückgängig zu machen. Der Sinn davon hat sich mir nie erschlossen.

Die letzten Scans, der Rechner scheint tatsächlich sauber zu sein. Deine Vermutung mit den abgefangenen Daten wird immer wahrscheinlicher.

1.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

2.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte.

ciao, andreas

Hi Andreas,

ah so ist das mit den blauen Einträgen. Es macht also nichts wenn man die einfach löscht ??

Mh, selbst wenn ich den Explorer so einstelle wie gezeigt sehe ich den Ordner nicht. Seltsam oder??

Anbei habe ich das Protokoll von Active-Scan geposted:


;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2009-06-12 00:24:51
PROTECTIONS: 2
MALWARE: 2
SUSPECTS: 0
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
AntiVir Desktop 9.0.1.30 Yes Yes
Kaspersky Internet Security 8.0.0.506 Yes Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
02885963 Rootkit/Booto.C Virus/Worm No 0 Yes No C:\System Volume Information\_restore{576D7B26-A37B-49D1-8F26-068B3BC56CE5}\RP74\A0022580.sys
04023711 Generic Malware Virus/Trojan No 0 Yes No D:\Download Daten\Musikbearbeitung\Voxengo Elephant\elephant\Keygen.exe
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location -~
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description -~
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================


Wie ist das mit den Sachen die Kaspersky gefunden hat. Das sahen nicht so aus als seien sie Viren oder?

PrevX 3.0 meldet keine Funde.


Viele Grüße und nochmals vielen Dank,
Nils

Zitat:

Wie ist das mit den Sachen die Kaspersky gefunden hat.

Das war nicht das richtige Log von Kaspersky.

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

DirLook::
C:\WINDOWS\system32
D:\Download Daten
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt auf das Symbol von Combofix ziehen!

• Danach das Log von Combofix posten.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Hi Andreas,

gut, dann werde ich Kaspersky nochmal installieren und versuchen das richtige log-File zu posten, Ok?

Hier das Combofix-log:

http://www.materialordner.de/e4eZkfzglhbcGHtth5vaFSIA5dPcUiCZ.html


Viele Grüße!

Ich habe zwei Nachrichten für dich, eine gute und eine schlechte. Zuerst die gute: Die Datei msetup ist sauber.

Die schlechte: Du darfst neuaufsetzen. Die Daten wurden nicht abgefangen, sondern von deinem Rechner gestohlen. Deshalb kannst du dir den Scan mit Kaspersky schenken.

Wenn ich bestimmte Dinge in der Softwareliste sehe, dann werde ich automatisch argwöhnisch. Dazu gehören:

• Adobe Master Collection
• Cubase
• Vegas Movie Studio

Bei dir findet sich folgendes Programm:

Code: Alles auswählenAufklappen

ATTFilter

C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
         

Quelle: Ist meine cledx.exe das Original oder ein Trojaner?

Zitat:

Die Datei cledx.exe ist ein Software-Emulator, der einen Hardware Dongle im Speicher nachbildet. Ein Dongle ist eine Art USB-Stick, der Lizenzen für meist teure Software enthält. Die Software fragt den "Stick" ab und wenn die zurückgegebene Lizenz gültig ist, läßt sie sich starten. Das H2O Team ist aber keine Firma, wie hier angegeben, sondern eine Gruppe von Crackern. Allerdings kann den Emulator auch mit gültigen Lizenzen betrieben werden, die man vom Hersteller käuflich erworben hat. Über eine eventuelle Systemschädigung durch cledx.exe ist mir nichts weiter bekannt.

Aber da ist gar nicht das Problem, sondern hier:

Zitat:

04023711 Generic Malware Virus/Trojan No 0 Yes No D:\Download Daten\Musikbearbeitung\Voxengo Elephant\elephant\Keygen.exe

Das Programm kann man per Torrent beziehen (hab ich gemacht) oder sogar über eine Website:
hxxp://www.4shared.com/account/file/95218237/1f5c04a3/VOXENGO_ELEPHANT_VST_V1_4A.html

Wenn man dort jedoch auf die kaum erkennbare Zeile

Zitat:

Tested by Kaspersky Anti-Virus 2009-03-26 details

auf details klickt, erscheint:

Zitat:

This file contains the virus(es) listed below. However, you can still download it at your own risk.

Backdoor.Win32.Rbot.yhx

Lassen wir diesen Keygen dochmal bei VT überprüfen:
Virustotal. MD5: c557a5bb62af5630814335f4ec5ee700 Backdoor.Sdbot Worm.Rbot.19968.8 Backdoor.Win32.Rbot.yhx

Code: Alles auswählenAufklappen

ATTFilter

Datei keygen.exe empfangen 2009.06.13 13:32:57 (UTC)
Status:    Beendet 
Ergebnis: 30/39 (76.93%) 
 Filter 
Drucken der Ergebnisse  Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.5.0.18	2009.06.13	Trojan-Downloader.Win32.Delf.MM!IK
AhnLab-V3	5.0.0.2	2009.06.12	Win32/IRCBot.worm.variant
AntiVir	7.9.0.187	2009.06.12	Worm/Rbot.19968.8
Antiy-AVL	2.0.3.1	2009.06.12	-
Authentium	5.1.2.4	2009.06.12	W32/Heuristic-210!Eldorado
Avast	4.8.1335.0	2009.06.12	Win32:Trojan-gen {Other}
AVG	8.5.0.339	2009.06.13	IRC/BackDoor.SdBot4.ICO
BitDefender	7.2	2009.06.13	Packer.PESpin.A
CAT-QuickHeal	10.00	2009.06.13	Backdoor.Rbot.yhx
ClamAV	0.94.1	2009.06.13	-
Comodo	1325	2009.06.13	Backdoor.Win32.Rbot.yhx
DrWeb	5.0.0.12182	2009.06.13	-
eSafe	7.0.17.0	2009.06.11	Win32.Backdoor.Sdbot
eTrust-Vet	31.6.6556	2009.06.12	-
F-Prot	4.4.4.56	2009.06.12	W32/Heuristic-210!Eldorado
F-Secure	8.0.14470.0	2009.06.13	Backdoor.Win32.Rbot.yhx
Fortinet	3.117.0.0	2009.06.13	-
GData	19	2009.06.13	Packer.PESpin.A
Ikarus	T3.1.1.59.0	2009.06.13	Trojan-Downloader.Win32.Delf.MM
K7AntiVirus	7.10.762	2009.06.12	Backdoor.Win32.Rbot
Kaspersky	7.0.0.125	2009.06.13	Backdoor.Win32.Rbot.yhx
McAfee	5644	2009.06.12	W32/Sdbot.worm
McAfee+Artemis	5644	2009.06.12	W32/Sdbot.worm
McAfee-GW-Edition	6.7.6	2009.06.13	Worm.Rbot.19968.8
Microsoft	1.4701	2009.06.13	-
NOD32	4152	2009.06.13	probably a variant of Win32/Rbot
Norman	6.01.09	2009.06.12	W32/Packed_PeSpin.B
nProtect	2009.1.8.0	2009.06.13	Backdoor/W32.RBot.19968.M
Panda	10.0.0.14	2009.06.13	Generic Malware
PCTools	4.4.2.0	2009.06.12	-
Prevx	3.0	2009.06.13	-
Rising	21.33.52.00	2009.06.13	-
Sophos	4.42.0	2009.06.13	Mal/Packer
Sunbelt	3.2.1858.2	2009.06.13	Trojan.Win32.Packer.PESpinv0.ba (v)
Symantec	1.4.4.12	2009.06.13	Backdoor.Sdbot
TheHacker	6.3.4.3.345	2009.06.13	Backdoor/Rbot.yhx
TrendMicro	8.950.0.1092	2009.06.12	Cryp_PESpin
VBA32	3.12.10.7	2009.06.13	Backdoor.Win32.Rbot.yhx
ViRobot	2009.6.13.1785	2009.06.13	Backdoor.Win32.IRCBot.19968.AC
weitere Informationen
File size: 19968 bytes
MD5...: c557a5bb62af5630814335f4ec5ee700
SHA1..: 925dc49aae19c0ca55be58dc3045e821da9eb1e6
SHA256: 29810a0ff50601172700f48bf877e889b7c856eb975de1b2fc8ed4ef5d15b05d
ssdeep: -
PEiD..: PE Spin v0.b
TrID..: File type identification
Win32 Dynamic Link Library (generic) (65.4%)
Generic Win/DOS Executable (17.2%)
DOS Executable Generic (17.2%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x8081
timedatestamp.....: 0x0 (Thu Jan 01 00:00:00 1970)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.wkt0 0x1000 0x524 0x600 7.17 c201a4409877b41356a6f0506aff5319
.wkt0 0x2000 0x130 0x200 1.65 df5032b4b09f86f45e5bc12ee8169f68
.wkt0 0x3000 0x10a0 0x200 5.50 1e00f5b4ffad03b2b4da2c2cb2720d53
.rsrc 0x5000 0x2b38 0x2c00 6.96 e2234aa6ea2c267f9d1cba476d11687f
.wkt0 0x8000 0x13d8 0x1400 7.78 5db69fedbcb9e1416e94e108ecd95d17

( 2 imports ) 
> KERNEL32.DLL: LoadLibraryA
> USER32.DLL: MessageBoxA

( 0 exports ) 
PDFiD.: -
RDS...: NSRL Reference Data Set
-
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=c557a5bb62af5630814335f4ec5ee700' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=c557a5bb62af5630814335f4ec5ee700</a>
packers (Authentium): PESpin
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=c557a5bb62af5630814335f4ec5ee700' target='_blank'>http://www.threatexpert.com/report.aspx?md5=c557a5bb62af5630814335f4ec5ee700</a>
packers (F-Prot): PESpin
         

Ziemlich eindeutig.

Und hier ist die Quelle:

Zitat:

2009-01-28 18:14 . 2008-11-13 16:03 11524612 ----a-w- d:\download daten\Musikbearbeitung\Voxengo.Elephant.VST.v3.1.Incl.Keygen-AiR.rar

Jetzt sind wir wieder an der Stelle, an der wir begonnen haben:
http://www.trojaner-board.de/51262-a...sicherung.html

Du bist entlassen und ich bin raus,
andreas

Ja,

ist einzusehen und ich habe mir es auch schon gedacht, als ich die letzten Scan Ergebnisse sah. Ich danke Dir vielmals!!!

Beste Grüße!!

Hi Andreas,

eine kurze Frage erlaube mir noch! Kann ich Daten die keine .exe Dateien sind sichern, ohne Gefahr zu laufen, dass mir auf den neuen PC wieder irgendwas draufziehe was ich nicht haben möchte??

Auf Deinen Ratschlag zum Neuaufsetzen hin, denke ich dass dieser am Keygen hängende Virus sich bei Benutzung so tief ins System arbeitet, dass man ihn nicht wieder entfernen kann, oder??

Nachmals vielen Dank!!!

Weil du dich einsichtig gezeigt hast, mache ich eine Ausnahme.

Zitat:

Kann ich Daten die keine .exe Dateien sind sichern, ohne Gefahr zu laufen, dass mir auf den neuen PC wieder irgendwas draufziehe was ich nicht haben möchte?

Ja. Die sollten allerdings vor Zurückspielen mit mehreren aktuellen Scannern getestet werden. Klicke auf Anleitungen in meiner Signatur, dort findest du geeignete Scanner.

ciao, andreas

Hi Andreas,

ja natürlich zeige ich mich einsichtig!!! Jetzt will ich aber auch verhindern, dass ich mir beim Neuinstallieren alles wieder einfange was die Probleme verursacht hat.
Auf welche Programme in dem "Anleitungen" Link in Deiner Signatur spielst Du an? Ich denke Avira, Anti-Malware und SuperAntiSpyware ?? Ich würde also so vorgehen:

a) die Daten die ich behalten möchte kopiere ich auf eine leere externe Platte
b) ich formatiere die Festplatte mit der XP-Installation und installiere anschließend XP und die Treiber für den Rechner neu (von Original CDs die mitgeliefert wurden).
c) Ich richte neben dem Admin-Konto ein Nutzerkonto mit beschränkten Rechten ein, aktiviere die XP-Firewall, befolge die Schritte die Du in Neuaufsetzen+Absicherung des Systems vorschlägst.
d) Danach aktiviere ich die Internetverbindung, ziehe XP-Updates die nicht im SP3 enthalten waren und die oben genannten Scanner.
e) dann überprüfe ich die Daten auf der externen Platte mit den aktualisierten Scannern und spiele sie bei nicht-anschlagen der Scanner zurück in die vorgesehene D:\ Partition
f) Meinen USB-Stick scanne ich gleich wie die externe Platte mit den Scannern und verwende ihn wie gewohnt, wenn keine Funde stattfinden.

Ist das sinnvoll so wie ich es beschrieben habe???

Tausend Dank dann nochmal!!!!

DrWeb sehe ich da noch.

Dann haben wir noch Textbausteine für Onlinescanner, wie Kaspersky, Panda und Prevx.

Zitat:

Ist das sinnvoll so wie ich es beschrieben habe?

Ja, dann noch Autoplay von Windows abschalten und keine Keygens, Cracks und Patches mehr ausführen sowie Hände weg von Warezsites und P2P-Software.

Wenn du dann noch deine Programme und das Betriebssystem aktuell hältst, kann dir kaum etwas passieren.

ciao, andreas