Nun hat es mich wieder erwischt. Ich habe eine .exe - Datei aus dem Netz geladen, sie vorher mit Avira Antivir gescannt und nach dem Avira nichts gefunden hat, geöffnet. Ich weiss, letztendlich ist alles meine Schuld, zudem die Seite alles andere als seriös war, aber trotzdem erstmal eine generelle Anmerkung:

Ich hatte schonmal Malware auf meinem Rechner (durch eine ähnliche Aktion......) und habe mein System dank eines kompetenten Users hier auf den Seiten bereinigen können. Auch hier versagten vorher Virenwächter und Spywarewächter. Was ich aber nicht verstehe: Wozu gibt es Antivirensoftware und Spyware-Scanner, wenn sie zu 80 % aller Fälle versagen? Mein System is sicherheitstechnisch optimal eingestellt auch dank Anleitungen von diesen Seiten, aber wenn nicht mal das was bringt, wozu der ganze Aufwand? Da kann ich die Installation gleich sein lassen und mich von halbseriösen Seiten fernhalten. Das ist nicht schwer (wenn man es denn will).

Nun zu dem Virus: Ich krieg nach jedem Systemstart ne Fehlermeldung, dass "sshnas.dll" nicht auf den Speicher zugreifen kann (so in der Art) und es öffnen sich ständig IE-Fenster mit Werbung. Woanders im Netz habe ich gelesen, dass ich Bereinigung gleich vergessen könne bei dem Teil und sofort neu aufsetzen müsste (Toll! Also nochmal: Da kann ich mir Sicherheitssoftware komplett ersparen, wenn ich nach jeder Infektion eh neu aufsetzen muss.). Ich mache wirklich alles online, wie z. B. auch Banking und bin auf ein 100 % sicheres System angewiesen? Muss ich neu installieren und kann ich auch bereinigen und wenn ja, wie?

Sorry, aber wenn du bewusst von unseriösen Seiten Dateien lädst, brauchst du dich nicht beschweren. Und wenn du das Problem schon kennst (weil du sagtest, du hättest dich schonmal infiziert auf einer ähnlich unseriösen Seite) wundert es mich noch viel mehr, dass du den selben Fehler noch einmal begehst und dann klagst. Man darf den Virenscanner bzw. Virenwächter nicht als Art "Schutzschild" sehen, mit dem man ungeniert auf allen möglichen Seiten hantieren kann, weil man ihn ja hat.

Das Argument, du habest vorher mit einem Virenscanner gescannt, zieht ebenfalls nicht. Es ist unmöglich, dass ein Virenscanner jeden bekannten Typ von Malware identifiziert.

Oftmals wird einfach das komplette Formatieren der Festplatte empfohlen, unabhängig davon, ob evtl. eine Bereinigung möglich ist. Der Punkt ist nur der, dass man ebenfalls nie 100%ig sicher sein kann, dass man mit dem Bereinigungsprozess jedes Stück Malware entfernt hat. Und mit dieser Ungewissheit ist es oft schwer, Online Banking oder andere vertrauliche Dienste zu nutzen.

Im Übrigen ist es absolut möglich, dass du ohne Virenwächter unterwegs bist - wenn du im Gegenzug dein Surfverhalten anpasst und entsprechend vorsichtig mit Webinhalten umgehst.

Viele Grüße
jey

Auf die (belehrende) Antwort hätte ich wetten können. Danke Dir aber trotzdem. Aber nochmal: Ob ich auf nicht ganz koscheren Seiten verkehre, ist alleine meine Sache. Es geht bloss um die nüchterne Logik: Wenn ich mich von solchen Seiten fernhalten, brauche ich keinen Virenscanner und Spywarescanner. Ich hatte bisher 2 Infektionen, in keinem Fall hat mein optimal eingerichtetes System Alarm geschlagen. Ich hatte bisher nur eine Warnung von meiner Virensoftware (Confickerwurm von einer internationalen Chemikerkonferenz auf dem USB-Stick eingeschleppt), macht also für mich persönlich ne Ausfallquote von 66 %. Finde ich ganz schön happig.

Zitat:

Sorry, aber wenn du bewusst von unseriösen Seiten Dateien lädst, brauchst du dich nicht beschweren. Und wenn du das Problem schon kennst (weil du sagtest, du hättest dich schonmal infiziert auf einer ähnlich unseriösen Seite) wundert es mich noch viel mehr, dass du den selben Fehler noch einmal begehst und dann klagst. Man darf den Virenscanner bzw. Virenwächter nicht als Art "Schutzschild" sehen, mit dem man ungeniert auf allen möglichen Seiten hantieren kann, weil man ihn ja hat.

Das Argument, du habest vorher mit einem Virenscanner gescannt, zieht ebenfalls nicht. Es ist unmöglich, dass ein Virenscanner jeden bekannten Typ von Malware identifiziert.

Oftmals wird einfach das komplette Formatieren der Festplatte empfohlen, unabhängig davon, ob evtl. eine Bereinigung möglich ist. Der Punkt ist nur der, dass man ebenfalls nie 100%ig sicher sein kann, dass man mit dem Bereinigungsprozess jedes Stück Malware entfernt hat. Und mit dieser Ungewissheit ist es oft schwer, Online Banking oder andere vertrauliche Dienste zu nutzen.

Im Übrigen ist es absolut möglich, dass du ohne Virenwächter unterwegs bist - wenn du im Gegenzug dein Surfverhalten anpasst und entsprechend vorsichtig mit Webinhalten umgehst.

Viele Grüße
jey

Da kann ich nur zustimmen.
Es gibt keine 100%ige Bereinigung. Wenn du wirklich so viele vertrauliche Dinge mit deinem Rechner anstellst, dann versteh ich dein Surfverhalten nicht...

Nur mal so... was für eine Datei hast du denn geladen?

Es war ein keygen.........


Seht das ganze doch mal jenseits der Moral und stellt euch vor, ein Virensoftwaretester ist unterwegs und prüft in der Praxis. Da finde ich 66 % Ausfallquote etwas hoch.......

Hab gerade übrigens nach dem Trojaner gegoogelt. Soll seit dem 13. November im Umlauf sein. Naja....

Danke trotzdem für eure Antworten.

Ich habe jetzt mal bereinigt nach http://www.myantispyware.com/2009/12/02/how-to-remove-sshnas-dll-trojan-remove-trojan-fakealert/

Scheint soweit geklappt zu haben, aber ich denke natürlich trotzdem über ne Neuinstallation nach.

So sieht mein HijackThis Logifle aus:


Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 14:16:52, on 10.12.2009
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Lenovo\HOTKEY\TPOSDSVC.exe
C:\Program Files\Lenovo\HOTKEY\tpfnf6r.exe
C:\Program Files\Lenovo\HOTKEY\TPONSCR.exe
C:\Program Files\Lenovo\Zoom\TpScrex.exe
C:\Windows\System32\TpShocks.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\ThinkPad\Bluetooth Software\BTTray.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\TrendMicro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Lenovo ThinkVantage Toolbox - {86B9B5DD-FB75-4035-BD52-3C94F7849CAF} - C:\Program Files\PC-Doctor\ATLPcdToolbar544928.dll
O4 - HKLM\..\Run: [TPHOTKEY] C:\Program Files\Lenovo\HOTKEY\TPOSDSVC.exe
O4 - HKLM\..\Run: [LENOVO.TPFNF6R] C:\Program Files\Lenovo\HOTKEY\TPFNF6R.exe
O4 - HKLM\..\Run: [FingerPrintSoftware] "C:\Program Files\Lenovo Fingerprint Software\fpapp.exe" \s
O4 - HKLM\..\Run: [FingerPrintSoftwareSplashScreen] "C:\Program Files\Lenovo Fingerprint Software\SplashScreen.exe" \s
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PWMTRV] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWMTR32V.DLL,PwrMgrBkGndMonitor
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min /nosplash
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Bluetooth.lnk = ?
O4 - Global Startup: Digital Line Detect.lnk = C:\Program Files\Digital Line Detect\DLG.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Program Files\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Program Files\ThinkPad\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: @C:\Program Files\ThinkPad\Bluetooth Software\btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\ThinkPad\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @C:\Program Files\ThinkPad\Bluetooth Software\btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\ThinkPad\Bluetooth Software\btsendto_ie.htm
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: AD Monitor (ADMonitor) - Unknown owner - C:\Windows\system32\ADMonitor.exe
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AuthenTec Fingerprint Service (ATService) - AuthenTec, Inc. - C:\Windows\system32\AtService.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\ThinkPad\Bluetooth Software\btwdins.exe
O23 - Service: Data Transfer Service (dtsvc) - Unknown owner - C:\Windows\system32\DTS.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Lenovo - C:\Windows\system32\ibmpmsvc.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: Lenovo Microphone Mute (LENOVO.MICMUTE) - Lenovo Group Limited - C:\Program Files\LENOVO\HOTKEY\MICMUTE.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: Power Manager DBC Service - Lenovo - C:\Program Files\ThinkPad\Utilities\PWMDBSVC.EXE
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: System Update (SUService) - Lenovo Group Limited - C:\Program Files\Lenovo\System Update\SUService.exe
O23 - Service: ThinkPad HDD APS Logging Service (TPHDEXLGSVC) - Lenovo. - C:\Windows\System32\TPHDEXLG.exe
O23 - Service: Anzeige am Bildschirm (TPHKSVC) - Lenovo Group Limited - C:\Program Files\LENOVO\HOTKEY\TPHKSVC.exe

--
End of file - 8543 bytes

Ich denke trotzdem über ne Neuinstallation nach, obwohl das wirklich in Arbeit ausarten würde. Um diese eventuell doch noch zu vermeiden, würde ich mich über nen Kommentar zu dem logfile freuen. Ich habe ja die oben gelinkte Bereinigung gewählt und nachher nochmal manuell die Registry bzw. Festplatte durchsucht bzw. dann noch Spybot, Ad-Aware, Antimalware, usw. drüber laufen lassen. Scheint alles weg zu sein........scheint. Aber vielleicht kann nochmal einer von den Experten einen Blick auf den logfile werfen........

Danke