Ich fange den Post mal mit folgender Aussage an: Ich bin dumm.
Anders kann ich mir nicht erklären was ich eben fabriziert habe.
Ich habe eine Datei aus zweifelhafter Quelle gedownloadet und auf VirusTotal hochgeladen um zu gucken ob es ein Virus is. Bei einem Ergebnis von 3/40 habe ich mir gedacht "Die drei werden sich schon irren". Hab die Datei dann ausgeführt voraufhin die CPU auslastung kurz auf 100% war und die Datei verschwunden ist. Das war der Moment wo ich gemerkt habe, dass das grade ne blöde Aktion war.
Ich hab mich dann also auf die Suche nach verdächtigen Datein gemacht. Hab dann auch recht schnell drei Verdächtigen auf meinem recht frisch aufgelegten Windows 7 64bit gefunden. Im Ordner "Temp" befinden sich b.exe und c.exe . Beide auf VirusTotal hochgeladen und wieder nicht mehr als 3 Treffer. Währenddessen öffnet sich der InternetExplorer (den ich nie benutze) mit Werbung. Langsam bekam ich da schon ein ungutes Gefühl. Die c.exe hab ich dann jedenfalls gelöscht weil im Internet ausdrücklich stand, das sie nicht von Windows benötigt wird. Zur b.exe hab ich noch nicht wirklich viel gefunden. Eben grade ist mir auch noch die a.exe aufgefallen (5/40). Als Änderungsdatum war als Zeit exakt die Uhrzeit eingetragen in der ich die Datei ausgeführt habe. Auf die c.exe bin ich übrigens gekommen weil kurz nach dem ausführen eine Fehlermeldung kam das der Prozess c.exe beendet werden muss. Dann hat sich Antivir auf einmal gemeldet das die Datei *langeKetteVonBuchstabenUndZahlen* die signatur von *xyz* (ich hätts aufschreiben sollen ...) enthält. Ich klicke auf Zugriff verweigern. Ein paar sekunden später nochmal das gleiche. Danach öffnet sich der Acrobat Reader und gibt mir ne Fehlermeldung, dass das Dokument nicht geöffnet werden kann. Im Task Manager fiel mir dann die msa.exe auf, die im Ordner Windows steckt, im 32bit Modus ausgeführt wird (!) und als Erstellungsdatum die selbe Zeit wie c.exe und co hat (!!). Sehr verdächtig. Scannen bei VirusTotal ergab wieder nur 3 Treffer. Hab dann den Prozess erstmal beendet, woraufhin er sich von selbst wieder gestartet hat. Nach erneutem schliessen bleibt er jetzt alerdings auch zu.
Was meint ihr wie ich weiter vorgehen soll? Einfach die exen alle löschen?

Hallo und Herzlich Willkommen!

Zitat:

Zitat von Caoscrischen

Ich habe eine Datei aus zweifelhafter Quelle gedownloadet

Was und woher genau? Kein Link bitte, nur Beschreibung!

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:
- Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen

1.
- Lade dir RSIT - 2.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool CCleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]

gruß
Coverflow

Wünsch Dir einen *super-tollen* Rutsch ins neue Jahr 2010 !!

Also erstmal wünsche ich allen ein möglichst Viren- und Trojanerfreies neues Jahr!

Zu deiner Frage:
Ich habe das Programm Guitar Pro 5. Inzwischen gibt es zwei updates auf Version 5.2 . Diese werden normalerweise über die Programminterne Updatefunktion installiert. Diese Funktion funktioniert bei mir jedoch nicht, weshalb ich mich dann über Google auf die Suche nach einem Patch gemacht habe. Dort bin ich dann auf Downloadseiten gestossen die ich noch nicht kannte. Von welcher genau ich mir die Datei runtergeladen hab weiß ich nicht mehr. Der vermeintliche Patch (exe-datei) war 8Mb groß was für ein Patch ja durchaus normal ist. Der Rest der Geschichte ist bekannt ...
Keine der im ersten Post aufgeführten verdächtigen Dateien hat sich übrigens nach dem Systemstart ausgeführt.
Das mit den Programmen mache ich dann nach dem Skispringen, dann dürfte auch der Restalkohol verschwunden sein (was für eine Nacht ).
Hoffe mal die sind kompatibel mit Win7 64bit.

Hab das jetzt gemacht und die txt-Dateien angehängt. Diese rsit.exe musste ich im WinXP Kompatibilitätsmodus ausführen. Hoffe das führt nicht zu Problemen in der Auswertung.

hi

1.
Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org

• Installieren und per Doppelklick starten.
• Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
• "Komplett Scan durchführen" wählen (überall Haken setzen)
• wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
• alle Funde markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
• Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Malwarebytes Anti-Malware

2.
poste erneut:
Trend Micro HijackThis-Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]

Alles gemacht wie befohlen.