sollte weg sein...

Ja, ich habe den Ordner jetzt manuell noch gelöscht, jetzt ist er endgültig weg. Danke auf jeden Fall. Aber ist jetzt durch die Säuberung von Combo-Fix der Papierkorb komplett geleert worden? Ich habe doch ziemlich gestutzt, als er plötzlich leer war.

Und Deine Anweisungen werde ich am WE in Ruhe abarbeiten.

Im Prinzip hast Du ja recht, daß ein Virus einem Virenprogramm auch bekannt sein muß, ehe es ihn auch erkennen kann. Das ist klar, aber ich habe gesehen, daß dieser Virtumonde schon seit 2008 bekannt ist. Also wenn er Kaspersky DA immer noch nicht bekannt ist, dann weiß ich es auch nicht. Kann ja dann auch nicht so ein gutes Programm sein. Ich verlass mich jetzt daher mal nicht auf die Virenscanner, sondern laß lieber gleich von Euch die Logfiles auswerten. Da ist man dann auf der sicheren Seite.

Welche Datei identifiziert spybot SD denn als "vundo"? -> bitte mit genauer Pfadangabe, Lade die Datei zur Prüfung bei virustotal.com zur Prüfung hoch und poste hier die Ergebnisse des scans.

2 Hinweise:
- Wenn du Kaspersky nutzt, ist Spybot S&D überflüssig. Ich vermute stark einen Fehlalarm. Bevor du Dateien löschst, die als infiziert oder Schädling von deinem Virenprogramm ausgegeben werden, mache eine Gegenprobe bei virustotal.com. Bestätigt sich die Infektion, lösche die Datei dennoch nicht, sondern verschiebe sie in die Quarantäne. Das hilft, einen Überblick über das Schadpotential zu gewinnen.

- combofix ist kein tool, dass man mal eben so auf sein System loslassen sollte. Das Ding geht recht invasiv zur Sache; deshalb wirst du hier auch bei den Anleitungen/faqs nichts dazu finden.

Zitat:

Zitat von Micha Gundi

aber ich habe gesehen, daß dieser Virtumonde schon seit 2008 bekannt ist. Also wenn er Kaspersky DA immer noch nicht bekannt ist, dann weiß ich es auch nicht.

ja schon... "Trojan Vundo" ist schon längst bekannt als trojanisches Programm - genau gesagt "Adware", nur halt verwendet mehrere Dateien hintereinander und die Dateinamen ändern sich (Groß/Kleinschr) ständig
was ich gemeint habe, damit Du besser verstehen kannst Beispiel:

- Vundo erzeugt heute: ujmyoo.dll -> gleich aufnahme in der Datenbank -> morgen: geBqOFus.dll<- zwar die Struktur/Merkmale für Vundo typisch, aber die Datei "geBqOFus.dll" noch nicht bekannt. Wenn man Glück hat, der Virenscanner erkennt, wenn nicht dann...Pech gehabt.

Erstmal wieder vielen lieben Dank für Eure Antworten. Muß ich mir morgen nochmal in Ruhe zu Gemüte führen. Allerdings kann ich den Spybot 6.1.2. nicht nochmal drüberlaufen lassen, weil ich im Moment ein großes Problem habe: Ich habe ja wegen dem Combofix den Spybot deinstallieren wollen über Systemsteuerung. Allerdings waren da dann wohl noch Reste von übrig. Heute wollte ich ihn wieder draufmachen und bekam folgende Meldung:

Fehler: SDHelper.dll

Die vorhandene Datei ist schreibgeschützt. Klicken Sie auf Wiederholen, Ignorieren oder Abbrechen.

Was soll ich da klicken? Und woran kann das liegen? Daß schon ein Ordner vorhanden ist?

Und wo kann ich denn dann die genaue Pfadangabe sehen? Bisher sah ich da immer nur die Namen der Funde. Aber ohne genauere Angaben.

@Ordell: Es wäre wirklich super, wenn das nur ein Fehlalarm von Spybot wäre. Aber das will ich ja hier lieber mal von Euch abklären lassen.

Die logs von spybot liegen unter

Code: Alles auswählenAufklappen

ATTFilter

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\spybot...\logs
         

Durchforste die logs nach dem Fund poste das Ergebnis.

Die sdhelper.dll liegt im Programmverzeichnis von Spybot SD c:\programme\spybot... versuche mal das Verzeichnis zu löschen. Funktioniert das nicht, führe zunächst die Schritte von Coverflow aus, das Problem beheben wir später.