Hallo Coverflow,

erstmal ganz lieben Dank für die nette Begrüßung und daß Du Dich schon so schnell meinem Problem angenommen hast. Die Zusatzinfos werde ich auf jeden Fall schauen, daß ich sie Dir noch besorge. Ich wollte aber gerade das mit den geschützten Dateien machen, da hatte der PC mir eine Warnung gesagt, daß er eventuelll nicht mehr richtig funktionieren würde, wenn man das macht. Soll ich es trotzdem machen?

Ich würde außerdem gerne Combo-Fix wieder runterschmeißen, bevor andere Sachen runtergeladen werden. Wie macht man das? Reicht das dann über Systemsteuerung oder muß da noch mehr gelöscht werden? Oder kann ich ihn noch drauf lassen?

Deine Anweisungen werde ich am WE mal in Ruhe abarbeiten. Dazu brauche ich Zeit und Musse. Jetzt habe ich noch eine kleine Frage am Rande: Ist das normal, daß man als Gast die Beiträge von oben nach unten sieht und als eingeloggter User ist es genau umgekekhrt und das Neueste steht dann oben?

Ganz lieben Dank schonmal!

Michael

Zitat:

Zitat von Micha Gundi

Ich wollte aber gerade das mit den geschützten Dateien machen, da hatte der PC mir eine Warnung gesagt, daß er eventuelll nicht mehr richtig funktionieren würde, wenn man das macht. Soll ich es trotzdem machen?

kannst Du machen, die sind Einstellungen damit wird nix gelöscht oder so. Am Ende wreden wir wieder rückgängig machen

Zitat:

Zitat von Micha Gundi

Ich würde außerdem gerne Combo-Fix wieder runterschmeißen, bevor andere Sachen runtergeladen werden. Wie macht man das? Reicht das dann über Systemsteuerung oder muß da noch mehr gelöscht werden? Oder kann ich ihn noch drauf lassen?

CombiFix entfernen:
Start --> Ausführen -->Kopiere rein Combofix /u --> OK
Entferne auf C:\ Qoobox (falls noch vorhanden) -->Papierkorb leeren
oder einfach nur entfernen, C:\ Qoobox (falls noch vorhanden) auch löschen-->Papierkorb leeren

Zitat:

Zitat von Micha Gundi

Ist das normal, daß man als Gast die Beiträge von oben nach unten sieht und als eingeloggter User ist es genau umgekekhrt und das Neueste steht dann oben?
l

ja...

Oki, dann werde ich das machen.

Du, ich habe jetzt versucht, den Combofix runterzuschmeißen, allerdings stand dann da: Kein Combofix vorhanden. Wie kann denn das sein? Obwohl ich ihn ja noch auf dem Desktop habe. Ich habe aber diese Quoobox gelöscht und den Papierkorb geleert. Troztdem ist Combofix noch da. Und kann es sein, daß er mir den ganzen Papierkorb beim Reinigungsvorgang gelöscht hat?

edit: AH jetzt hat es gekappt. Der Kaspersky hatte sich wieder gemeldet und dann wollte Combofix erst, daß man wieder alles deaktiviert. Ich hab auf zulassen geklickt und dann hat er es runtergeschmissen. Ok, müßte jetzt erledigt sein. Desktop-Symbol ist auch weg. Aber auf der Festplatte ist noch ein Ordner Combofix. Ist das richtig? Ich denke, er ist runter? Bin da etwas irritiert jetzt.

sollte weg sein...

Ja, ich habe den Ordner jetzt manuell noch gelöscht, jetzt ist er endgültig weg. Danke auf jeden Fall. Aber ist jetzt durch die Säuberung von Combo-Fix der Papierkorb komplett geleert worden? Ich habe doch ziemlich gestutzt, als er plötzlich leer war.

Und Deine Anweisungen werde ich am WE in Ruhe abarbeiten.

Im Prinzip hast Du ja recht, daß ein Virus einem Virenprogramm auch bekannt sein muß, ehe es ihn auch erkennen kann. Das ist klar, aber ich habe gesehen, daß dieser Virtumonde schon seit 2008 bekannt ist. Also wenn er Kaspersky DA immer noch nicht bekannt ist, dann weiß ich es auch nicht. Kann ja dann auch nicht so ein gutes Programm sein. Ich verlass mich jetzt daher mal nicht auf die Virenscanner, sondern laß lieber gleich von Euch die Logfiles auswerten. Da ist man dann auf der sicheren Seite.

Welche Datei identifiziert spybot SD denn als "vundo"? -> bitte mit genauer Pfadangabe, Lade die Datei zur Prüfung bei virustotal.com zur Prüfung hoch und poste hier die Ergebnisse des scans.

2 Hinweise:
- Wenn du Kaspersky nutzt, ist Spybot S&D überflüssig. Ich vermute stark einen Fehlalarm. Bevor du Dateien löschst, die als infiziert oder Schädling von deinem Virenprogramm ausgegeben werden, mache eine Gegenprobe bei virustotal.com. Bestätigt sich die Infektion, lösche die Datei dennoch nicht, sondern verschiebe sie in die Quarantäne. Das hilft, einen Überblick über das Schadpotential zu gewinnen.

- combofix ist kein tool, dass man mal eben so auf sein System loslassen sollte. Das Ding geht recht invasiv zur Sache; deshalb wirst du hier auch bei den Anleitungen/faqs nichts dazu finden.

Zitat:

Zitat von Micha Gundi

aber ich habe gesehen, daß dieser Virtumonde schon seit 2008 bekannt ist. Also wenn er Kaspersky DA immer noch nicht bekannt ist, dann weiß ich es auch nicht.

ja schon... "Trojan Vundo" ist schon längst bekannt als trojanisches Programm - genau gesagt "Adware", nur halt verwendet mehrere Dateien hintereinander und die Dateinamen ändern sich (Groß/Kleinschr) ständig
was ich gemeint habe, damit Du besser verstehen kannst Beispiel:

- Vundo erzeugt heute: ujmyoo.dll -> gleich aufnahme in der Datenbank -> morgen: geBqOFus.dll<- zwar die Struktur/Merkmale für Vundo typisch, aber die Datei "geBqOFus.dll" noch nicht bekannt. Wenn man Glück hat, der Virenscanner erkennt, wenn nicht dann...Pech gehabt.

Erstmal wieder vielen lieben Dank für Eure Antworten. Muß ich mir morgen nochmal in Ruhe zu Gemüte führen. Allerdings kann ich den Spybot 6.1.2. nicht nochmal drüberlaufen lassen, weil ich im Moment ein großes Problem habe: Ich habe ja wegen dem Combofix den Spybot deinstallieren wollen über Systemsteuerung. Allerdings waren da dann wohl noch Reste von übrig. Heute wollte ich ihn wieder draufmachen und bekam folgende Meldung:

Fehler: SDHelper.dll

Die vorhandene Datei ist schreibgeschützt. Klicken Sie auf Wiederholen, Ignorieren oder Abbrechen.

Was soll ich da klicken? Und woran kann das liegen? Daß schon ein Ordner vorhanden ist?

Und wo kann ich denn dann die genaue Pfadangabe sehen? Bisher sah ich da immer nur die Namen der Funde. Aber ohne genauere Angaben.

@Ordell: Es wäre wirklich super, wenn das nur ein Fehlalarm von Spybot wäre. Aber das will ich ja hier lieber mal von Euch abklären lassen.

Alles klar. So hier noch die Programme:Auch hier bitte Persönliches löschen, falls dort etwas Verfängliches sein sollte.

Code: Alles auswählenAufklappen

ATTFilter

7-Zip 4.62
Adobe Flash Player 10 Plugin
Adobe Photoshop Elements 7.0
Adobe Reader 8.1.6 - Deutsch
Apple Software Update
Canon iP4500 series
Canon iP4500 series Benutzerregistrierung
Canon My Printer
Canon Utilities Easy-PhotoPrint EX
Canon Utilities Solution Menu
CCleaner (remove only)
CD-LabelPrint
CDBurnerXP
CyberLink PowerDVD 8
Intel(R) PRO Network Connections 11.1.0.19
Kaspersky Internet Security 2010
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
Microsoft .NET Framework 3.5 SP1
Microsoft Office Home and Student 2007
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
Microsoft Visual C++ 2005 Redistributable
Mozilla Firefox (3.5.2)
MSXML 4.0 SP2 (KB954430)
Nero 8
NVIDIA Drivers
NVIDIA PhysX v8.09.04
Opera 9.63
PIXMA Extended Survey Program
QuickTime
Realtek High Definition Audio Driver
RF Backup and Convert (RFBaC) 1.01
Trillian
ViewSonic Monitor Drivers
VLC media player 0.9.8a
Windows Genuine Advantage Validation Tool (KB892130)
Windows Internet Explorer 8
         

hi

1.
Adobe Reader: bitte updaten!

2.

• lade Dir SUPERAntiSpyware FREE Edition herunter.
• installiere das Programm und update online.
• starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
• setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
• anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
• auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
• um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
• drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

*SuperAntiSpyware*<- Anleitung

Das klingt ja so, als wenn doch noch was auf meinem System ist. Soll ich meine HP auch schützen oder kollidiert das mit dem Kaspersky?

So, also soweit ich das feststellen konnte, als Laie, dürften das nur harmlose Cookies sein. Kein Virtumonde oder sonstige schlimme Schädlinge. Oder was meint der Fachmann dazu? Ich hoffe, ich habe nichts Verfängliches dringelassen.

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 09/10/2009 at 11:07 PM

Application Version : 4.28.1010

Core Rules Database Version : 4093
Trace Rules Database Version: 2033

Scan type       : Complete Scan
Total Scan Time : 01:14:49

Memory items scanned      : 396
Memory threats detected   : 0
Registry items scanned    : 5415
Registry threats detected : 0
File items scanned        : 137355
File threats detected     : 41

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\***\Cookies\***@traffictrack[2].txt
	C:\Dokumente und Einstellungen\*** \Cookies\***@media.ohost[1].txt
	C:\Dokumente und Einstellungen\***\ Cookies\***@content.yieldmanager[3].txt
	C:\Dokumente und Einstellungen\*** \Cookies\***@ad.trackbar[2].txt
	C:\Dokumente und Einstellungen\ ***\Cookies\***@im.banner.t-online[1].txt
	C:\Dokumente und Einstellungen\***\ Cookies\***@collective-media[1].txt
	C:\Dokumente und Einstellungen\ ***\Cookies\ ***@ads.quartermedia[2].txt
	C:\Dokumente und Einstellungen\ ***\Cookies\***@ad.beepworld[1].txt
	C:\Dokumente und Einstellungen\ ***\Cookies\ ***@ads.heias[2].txt
	C:\Dokumente und Einstellungen\ ***\Cookies\ ***@zanox[2].txt
	C:\Dokumente und Einstellungen\ ***\Cookies\ ***@webmasterplan[1].txt
	C:\Dokumente und Einstellungen\*** \Cookies\ ***@tracking.mindshare[1].txt
	C:\Dokumente und Einstellungen\ ***\Cookies\ ***@adserver.easyad[1].txt
	C:\Dokumente und Einstellungen\ ***\Cookies\ ***@ads.asp[1].txt
	C:\Dokumente und Einstellungen\*** \Cookies\ ***@tradedoubler[2].txt
	C:\Dokumente und Einstellungen\ ***\Cookies\ ***@www.zanox-affiliate[2].txt
	C:\Dokumente und Einstellungen\ ***\Cookies\ ***@2o7[2].txt
	C:\Dokumente und Einstellungen\ ***\Cookies\ ***@serving-sys[2].txt
	C:\Dokumente und Einstellungen\ ***\Cookies\ ***@iacas.adbureau[1].txt
	C:\Dokumente und Einstellungen\ ***\Cookies\ ***@ad.gesundheit[1].txt
	C:\Dokumente und Einstellungen\ ***\Cookies\*** @media.funpic[2].txt
	C:\Dokumente und Einstellungen\ ***\Cookies\ ***@kaspersky.122.2o7[1].txt
	C:\Dokumente und Einstellungen\ ***\Cookies\ ***@adfarm1.adition[1].txt
	C:\Dokumente und Einstellungen\***\Cookies\ ***@atwola[1].txt
	C:\Dokumente und Einstellungen\ ***\Cookies\ ***@ads.marktplatz-muensterland[1].txt
	C:\Dokumente und Einstellungen\ ***\Cookies\ ***@a6.adserver01[2].txt
	C:\Dokumente und Einstellungen\ ***\Cookies\ ***@euros4click[1].txt
	C:\Dokumente und Einstellungen\*** \Cookies\ ***@adserver.advertisingbox[1].txt
	C:\Dokumente und Einstellungen\ ***\Cookies\*** @bs.serving-sys[1].txt
	C:\Dokumente und Einstellungen\ ***\Cookies\ ***@zanox-affiliate[2].txt
	C:\Dokumente und Einstellungen\ ***\Cookies\ ***@tracking.quisma[1].txt
	C:\Dokumente und Einstellungen\ ***\Cookies\ ***@www.etracker[1].txt
	C:\Dokumente und Einstellungen\ ***\Cookies\ ***@tto2.traffictrack[2].txt
	C:\Dokumente und Einstellungen\ ***\Cookies\ ***@stats.redbit[2].txt
	C:\Dokumente und Einstellungen\ ***\Cookies\ ***@doubleclick[2].txt
	C:\Dokumente und Einstellungen\ ***\Cookies\ ***@tribalfusion[2].txt
	C:\Dokumente und Einstellungen\*** \Cookies\ ***@atdmt[1].txt
	C:\Dokumente und Einstellungen\*** \Cookies\ ***@ad.zanox[1].txt
	C:\Dokumente und Einstellungen\*** \Cookies\ ***@de.sitestat[1].txt
	C:\Dokumente und Einstellungen\ ***\Cookies\ ***@www.live-medias[1].txt
	C:\Dokumente und Einstellungen\ ***\Cookies\ ***@stats.united-domains[2].txt
         

Danke Ordell. Das mit dem Benutzerkonto habe ich nicht gewußt. OK, daß man mehrere einrichten kann, schon, aber ich habe das nie gemacht, da ich eh der einzige bin, der den PC nutzt. Was ist denn daran sicherer? Ich werde mir Deinen Thread mal durchlesen.

Wie Du gesagt hast, bin ich gleich zu Punkt 3 übergegangen und habe den CCleaner drüberlaufen lassen.


SO, nochmal eine Frage:

Er hat mit dem CCleaner jetzt alles soweit bereinigt. Aber jetzt kommt das mit der Registry. Kann ich da auch ohne Bedenken: Fehler beheben sagen? Weil ja damit die Registry geändert wird. Ich habe da ein wenig Angst. Kann da nichts passieren? Der will auch, daß ich das erstmal abspeichere. Das ist mir irgendwie nicht geheuer.

Änderungen in der Registry sichern: Ja?

Jetzt kommt das nicht mehr mit dem Speichern komisch. Aber vorhin war das. Jetzt ist das mit den Änderungen speichern?

Ich kenne keinen Fall, bei dem der reg-cleaner von CCleaner Mist gebaut hätte. (dir wird auch die Möglichkeit eines Registry-backups angeboten -> ob's was hilft, erfährt man, wenn der Laden nicht mehr läuft )

Ich kenne aber auch keinen Fall, bei dem eine Registry-Säuberung Vorteile gebracht hätte. -> Virenbeseitung mal außen vor gelassen

Schön und gut, aber jetzt weiß ich immer noch nicht, ob ich die Registry säubern lassen soll oder nicht. Laut Coverflow ja, aber ich weiß nicht. Wenn der Laden nicht mehr läuft? Na das bruhigt mich ja nicht sonderlich!

Er hat auf jeden Fall so Einiges gefunden zum säubern. Nur weiß ich halt nicht, ob ich ja klicken soll oder eher nicht.