Hallo ihr Lieben,
ich habe heute schon viel gegoogelt, aber immer noch nicht arg viel schlauer geworden.
Ich habe zwar viele ähnliche Probleme gefunden, aber nun bin ich noch verwirrter als vorher, weil jeder etwas anderes sagt.
Deshalb dachte ich, ich poste hier mein konkretes Problem, dann kann ich sicher sein, dass ich nichts falsch mache. Ich muss dazu sagen, dass ich mich nicht besonders gut auskenne mit solchen Dingen. Also seid nicht böse, wenn ich was nicht auf Anhieb blicke. Also:

Heute morgen hat unser AntiVir 2 Trojaner gefunden und zwar TR/Horse.MG.
Meine Mum (die sich genauso wenig auskennt) hat dann einfach mal auf "In Quarantäne verschieben" geklickt. Soweit so gut.
Was mich wundert: Beide Dateien sind auf einer externen Festplatte (die immer angeschlossen ist), eine im Ordner eines Spiels und eine in einem Verzeichnis "System Volume Information", das es aber auf dieser Festplatte gar nicht gibt? (Auch nicht unsichtbar.) Oder liegt das daran, dass die Dateien nun in Quarantäne sind und deshalb dort auch nicht mehr zu sehen sind? Ich weiß es nicht...

Auf jeden Fall habe ich erstmal ein paar Dateien gesichert, falls irgendwas schlimmes passieren sollte. Allerdings will ich gern den Virus beseitigen, ohne zu formatieren (falls es möglich wäre).

Dann habe ich nach dem Problem gesucht und ähnliche Probleme gefunden. Die Lösungsansätze haben mich nicht wirklich weitergebracht.

Die einen meinten, in Quarantäne verschieben und dann löschen reicht.
Allerdings habe ich woanders gelesen, dass man das auf keinen Fall machen soll, sondern erstmal wieder aus der Quarantäne herausholen und bei VirusTotal hochladen soll. Weil es sein könnte, dass AntiVir sich irrt und man dann versehentlich eine sehr wichtige Datei löschen könnte.
Das habe ich diesem Post: http://forum.avira.de/wbb/index.php?page=Thread&postID=815088#post815088

Könnt ihr mir sagen, was ich in meinem Fall hier tun soll? Ich will auf keinen Fall was falsch machen.

Falls ihr noch irgendwelche Angaben braucht, gebt mir bitte Bescheid.

Ich hoffe hier kann mir jemand weiterhelfen. :/

Zitat:

Zitat von ani

Könnt ihr mir sagen, was ich in meinem Fall hier tun soll? Ich will auf keinen Fall was falsch machen.

Falls ihr noch irgendwelche Angaben braucht, gebt mir bitte Bescheid.

Ich hoffe hier kann mir jemand weiterhelfen. :/

Guten Tag,

bisher hast du alles richtig gemacht. Ich brauche folgende Information

> Gebe mal die Fundmeldungen von Avira hier an. Welche Dateien wurden als Trojaner gemeldet? Bitte die ganzen Pfade der infizierten Dateien angeben.

> Lade dir HijackThis runter und fertige ein Log an, das du dann hier in das Thread kopierst.

lg.

Ich hoffe mal ich hab alles richtig gemacht mit dem Ersetzen der persönlichen Informationen und so.

Zitat:

logfile of trend micro HijackThis v2.0.2
scan saved at 15:00:13, on 28.01.2010
platform: Windows xp sp2 (winnt 5.01.2600)
msie: Internet explorer v6.00 sp2 (6.00.2900.2180)
boot mode: Normal

running processes:
C:\windows\system32\smss.exe
c:\windows\system32\winlogon.exe
c:\windows\system32\services.exe
c:\windows\system32\lsass.exe
c:\windows\system32\svchost.exe
c:\windows\system32\svchost.exe
c:\windows\system32\spoolsv.exe
c:\programme\avira\antivir desktop\sched.exe
c:\programme\avira\antivir desktop\avguard.exe
c:\programme\gemeinsame dateien\apple\mobile device support\bin\applemobiledeviceservice.exe
c:\programme\bonjour\mdnsresponder.exe
c:\programme\icq6toolbar\icq service.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\svchost.exe
c:\programme\ipod\bin\ipodservice.exe
c:\windows\system32\winlogon.exe
c:\windows\explorer.exe
c:\programme\avmwlanstick\fritzwlanmini.exe
c:\programme\avira\antivir desktop\avgnt.exe
c:\programme\itunes\ituneshelper.exe
c:\windows\rthdcpl.exe
c:\programme\canon\myprinter\bjmyprt.exe
c:\windows\system32\ctfmon.exe
c:\programme\messenger\msmsgs.exe
c:\programme\openoffice.org 3\program\soffice.exe
c:\windows\alcfdrtm.exe
c:\programme\openoffice.org 3\program\soffice.bin
c:\programme\avira\antivir desktop\avcenter.exe
c:\programme\mozilla firefox\firefox.exe
c:\windows\system32\msiexec.exe
c:\windows\system32\msiexec.exe
c:\windows\system32\wuauclt.exe
c:\programme\avira\antivir desktop\avscan.exe
c:\dokumente und einstellungen\xxx\eigene dateien\downloads\hijackthis.exe

r0 - hkcu\software\microsoft\internet explorer\main,start page = h**p://start.icq.com/
r1 - hkcu\software\microsoft\windows\currentversion\internet settings,proxyoverride = *.local
r3 - urlsearchhook: (no name) - - (no file)
r3 - urlsearchhook: Icqtoolbar - {855f3b16-6d32-4fe6-8a56-bbb695989046} - c:\programme\icq6toolbar\icqtoolbar.dll
o3 - toolbar: Icqtoolbar - {855f3b16-6d32-4fe6-8a56-bbb695989046} - c:\programme\icq6toolbar\icqtoolbar.dll
o4 - hklm\..\run: [avmwlanclient] c:\programme\avmwlanstick\fritzwlanmini.exe
o4 - hklm\..\run: [avgnt] "c:\programme\avira\antivir desktop\avgnt.exe" /min
o4 - hklm\..\run: [quicktime task] "c:\programme\quicktime\qttask.exe" -atboottime
o4 - hklm\..\run: [ituneshelper] "c:\programme\itunes\ituneshelper.exe"
o4 - hklm\..\run: [rthdcpl] rthdcpl.exe
o4 - hklm\..\run: [skytel] skytel.exe
o4 - hklm\..\run: [alcmtr] alcmtr.exe
o4 - hklm\..\run: [nvcpldaemon] rundll32.exe c:\windows\system32\nvcpl.dll,nvstartup
o4 - hklm\..\run: [nwiz] nwiz.exe /install
o4 - hklm\..\run: [canonmyprinter] c:\programme\canon\myprinter\bjmyprt.exe /logon
o4 - hklm\..\run: [canonsolutionmenu] c:\programme\canon\solutionmenu\cnslmain.exe /logon
o4 - hkcu\..\run: [ctfmon.exe] c:\windows\system32\ctfmon.exe
o4 - hkcu\..\run: [msmsgs] "c:\programme\messenger\msmsgs.exe" /background
o4 - hkus\s-1-5-19\..\run: [ctfmon.exe] c:\windows\system32\ctfmon.exe (user 'lokaler dienst')
o4 - hkus\s-1-5-20\..\run: [ctfmon.exe] c:\windows\system32\ctfmon.exe (user 'netzwerkdienst')
o4 - hkus\s-1-5-21-515967899-2049760794-725345543-1005\..\run: [ctfmon.exe] c:\windows\system32\ctfmon.exe (user 'xxx')
o4 - hkus\s-1-5-18\..\run: [ctfmon.exe] c:\windows\system32\ctfmon.exe (user 'system')
o4 - hkus\.default\..\run: [ctfmon.exe] c:\windows\system32\ctfmon.exe (user 'default user')
o4 - s-1-5-21-515967899-2049760794-725345543-1005 startup: Openoffice.org 3.1.lnk = c:\programme\openoffice.org 3\program\quickstart.exe (user 'xxx')
o4 - startup: Openoffice.org 3.1.lnk = c:\programme\openoffice.org 3\program\quickstart.exe
o9 - extra button: Icq6 - {e59eb121-f339-4851-a3ba-fe49c35617c2} - c:\programme\icq6.5\icq.exe
o9 - extra 'tools' menuitem: Icq6 - {e59eb121-f339-4851-a3ba-fe49c35617c2} - c:\programme\icq6.5\icq.exe
o9 - extra button: Messenger - {fb5f1910-f110-11d2-bb9e-00c04f795683} - c:\programme\messenger\msmsgs.exe
o9 - extra 'tools' menuitem: Windows messenger - {fb5f1910-f110-11d2-bb9e-00c04f795683} - c:\programme\messenger\msmsgs.exe
o23 - service: Avira antivir planer (antivirschedulerservice) - avira gmbh - c:\programme\avira\antivir desktop\sched.exe
o23 - service: Avira antivir guard (antivirservice) - avira gmbh - c:\programme\avira\antivir desktop\avguard.exe
o23 - service: Apple mobile device - apple inc. - c:\programme\gemeinsame dateien\apple\mobile device support\bin\applemobiledeviceservice.exe
o23 - service: Bonjour-dienst (bonjour service) - apple inc. - c:\programme\bonjour\mdnsresponder.exe
o23 - service: Icq service - unknown owner - c:\programme\icq6toolbar\icq service.exe
o23 - service: Ipod-dienst (ipod service) - apple inc. - c:\programme\ipod\bin\ipodservice.exe
o23 - service: Nvidia display driver service (nvsvc) - nvidia corporation - c:\windows\system32\nvsvc32.exe

--
end of file - 4905 bytes

Die genauen Pfade sehen so aus:

E:\Spiele\Age an Halifax\mythxpak.exe
E:\System Volume Information\_restore{E53F11B2-4CAB-4DC5-97C7-B334077C89EE}\RP40\A0006431.exe

Zitat:

Zitat von ani

Ich hoffe mal ich hab alles richtig gemacht mit dem Ersetzen der persönlichen Informationen und so.

Ja, du hast wieder alles richtig gemacht

Bei den Fundmeldungen von Avira handelt es sich wahrscheinlich um Malware. Gehe wie folgt vor, damit wir Gewissheit erlangen können.

> Stelle diese Datei: E:\Spiele\Age an Halifax\mythxpak.exe
aus der Quarantäne wieder her und lade sie dann hier VirusTotal - Kostenloser online Viren- und Malwarescanner
hoch. Lasse sie überprüfen und poste das ganze Log dieser Prüfung dann hier in den Thread.

> Danach verschiebe die Datei wieder in die Quarantäne.

Die andere Datei: E:\System Volume Information\_restore{E53F11B2-4CAB-4DC5-97C7-B334077C89EE}\RP40\A0006431.exe
kannst du bedenkenlos löschen. Es handelt sich hier um ein "Abbild" eines Programmes, eine Datei, die von Windows Systemwiederherstellungsdienst erstellt wird.

Das Hijackthislog ist ok. Du solltest aber unbedingt dein System updaten. Es ist eine Frage der Sicherheit.
> Führe ein Windows Update durch und update auf Servicepack 3 und Internet Explorer 8.

lg.

Wow klasse. :P
Danke schon mal für die Hilfe bis jetzt.

Übrigens: Ich kann die andere Datei nicht löschen, weil der Ordner "System Volume Information" nicht existiert?

Zitat:

Die Datei wurde bereits analysiert:
MD5: 831b8cad53201fb1fc2771493c3d81a8
First received: 2006.10.19 06:53:12 UTC
Datum 2010.01.28 16:01:32 UTC [<1D]
Ergebnisse 9/41
Permalink: analisis/5cdbcf960930e3a4eb1d2688a1f769fff0e42d656789669eada4bd23c497d592-1264694492


Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.01.28 -
AhnLab-V3 5.0.0.2 2010.01.28 -
AntiVir 7.9.1.154 2010.01.28 TR/Horse.MG
Antiy-AVL 2.0.3.7 2010.01.28 -
Authentium 5.2.0.5 2010.01.28 -
Avast 4.8.1351.0 2010.01.28 -
AVG 9.0.0.730 2010.01.28 -
BitDefender 7.2 2010.01.28 -
CAT-QuickHeal 10.00 2010.01.28 Trojan.Agent.ATV
ClamAV 0.94.1 2010.01.28 -
Comodo 3740 2010.01.28 -
DrWeb 5.0.1.12222 2010.01.28 -
eSafe 7.0.17.0 2010.01.28 Win32.TrojanHorse
eTrust-Vet 35.2.7266 2010.01.28 -
F-Prot 4.5.1.85 2010.01.28 -
F-Secure 9.0.15370.0 2010.01.28 -
Fortinet 4.0.14.0 2010.01.28 -
GData 19 2010.01.28 -
Ikarus T3.1.1.80.0 2010.01.28 -
Jiangmin 13.0.900 2010.01.28 -
K7AntiVirus 7.10.957 2010.01.26 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2010.01.28 -
McAfee 5875 2010.01.28 -
McAfee+Artemis 5875 2010.01.28 -
McAfee-GW-Edition 6.8.5 2010.01.28 Trojan.Horse.MG
Microsoft 1.5406 2010.01.28 -
NOD32 4815 2010.01.28 -
Norman 6.04.03 2010.01.27 -
nProtect 2009.1.8.0 2010.01.28 Trojan/W32.Agent.20992.JB
Panda 10.0.2.2 2010.01.28 Suspicious file
PCTools 7.0.3.5 2010.01.28 Trojan.Generic
Prevx 3.0 2010.01.28 -
Rising 22.32.03.04 2010.01.28 -
Sophos 4.50.0 2010.01.28 -
Sunbelt 3.2.1858.2 2010.01.28 -
Symantec 20091.2.0.41 2010.01.28 Trojan Horse
TheHacker 6.5.0.9.167 2010.01.28 -
TrendMicro 9.120.0.1004 2010.01.28 -
VBA32 3.12.12.1 2010.01.28 -
ViRobot 2010.1.28.2160 2010.01.28 -
VirusBuster 5.0.21.0 2010.01.28 -
weitere Informationen
File size: 20992 bytes
MD5...: 831b8cad53201fb1fc2771493c3d81a8
SHA1..: 05541d4c6e4b0317439dcaca0682abe0712f8ca7
SHA256: 5cdbcf960930e3a4eb1d2688a1f769fff0e42d656789669eada4bd23c497d592
ssdeep: 384:cfawJ0xrdfw5HV95kpU9aIXqZAratwYhw5Sgm:Fo0xmHLmpK6ZRwF5b
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xf960
timedatestamp.....: 0x398de276 (Sun Aug 06 22:11:02 2000)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0xa000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0xb000 0x5000 0x4c00 7.85 ad99935160f1437282120df04cff8244
UPX2 0x10000 0x1000 0x200 1.86 bf7e06e756e0c6eb6e0a164a60b54fd2

( 3 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess
> MSACM32.dll: acmDriverAddA
> WINMM.dll: mmioRead

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
ThreatExpert info: <a href='h**p://www.threatexpert.com/report.aspx?md5=831b8cad53201fb1fc2771493c3d81a8' target='_blank'>h**p://www.threatexpert.com/report.aspx?md5=831b8cad53201fb1fc2771493c3d81a8</a>
packers (Kaspersky): UPX
packers (F-Prot): UPX
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

Zitat:

CAT-QuickHeal 10.00 2010.01.28 Trojan.Agent.ATV

Es ist Malware. Bitte lösche diese Datei E:\Spiele\Age an Halifax\mythxpak.exe, die sich ja jetzt wieder in der Avira Quarantäne befindet.

Ich nehme an, dass du ein Spiel runtergeladen hast, das leider Malware enthielt.
Du solltest dieses Programm/Spiel nun restlos deinstallieren/entfernen:
E:\Spiele\Age an Halifax

> Sei immer sehr vorsichtig bei dem Download von Software und lade dir nur Software von sicheren und vertrauenswürdigen Anbietern runter.

> Nach einer Malware Infektion ist es angebracht, das System mit mehreren Virenscannern zu überprüfen. Bitte überprüfe dein System mit Malwarebytes und poste das Log hier rein.

Zitat:

Übrigens: Ich kann die andere Datei nicht löschen, weil der Ordner "System Volume Information" nicht existiert?

Diese Datei befindet sich doch in der Quarantäne von Avira? Dort gibt es die Option "Löschen"
Anleitung: Avira AntiVir - Das sollten Sie tun, wenn ein Virus gefunden wird - COMPUTER BILD

lg.

Okay... Habe die Dateien gelöscht und alles gemacht wie beschrieben. Ist auch weg.

Allerdings findet das andere Programm (Malwarebytes) nun 24 Einträge, die AntiVir nicht gefunden hatte... :/
Oje oje. Wie geh ich weiter vor?

Hier der MWB-Log:

Zitat:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3652
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

28.01.2010 21:45:50
mbam-log-2010-01-28 (21-45-45).txt

Scan-Methode: Vollständiger Scan (E:\|)
Durchsuchte Objekte: 222345
Laufzeit: 15 minute(s), 56 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 24

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
E:\Sonstiges\Sibelius\Sibelius (Notationsprogramm)\BLESSiNG.exe (Trojan.Agent) -> No action taken.
C:\Programme\Hhrashlp.dll (Spyware.OnlineGames) -> No action taken.
C:\Programme\Hhwmprxy.dll (Spyware.OnlineGames) -> No action taken.
C:\Programme\Hhwmprxy7.dll (Spyware.OnlineGames) -> No action taken.
C:\Programme\Mdll32.dll (Spyware.OnlineGames) -> No action taken.
C:\Programme\Mumaipl.dll (Spyware.OnlineGames) -> No action taken.
C:\Programme\Mumaipla6.dll (Spyware.OnlineGames) -> No action taken.
C:\Programme\Mumaiplm6.dll (Spyware.OnlineGames) -> No action taken.
C:\Programme\Mumaiplp6.dll (Spyware.OnlineGames) -> No action taken.
C:\Programme\Mumaiplpx.dll (Spyware.OnlineGames) -> No action taken.
C:\Programme\Mumaiplw7.dll (Spyware.OnlineGames) -> No action taken.
C:\Programme\optgraph.dll (Spyware.OnlineGames) -> No action taken.
C:\Programme\Playripl.dll (Spyware.OnlineGames) -> No action taken.
C:\Programme\Playriplpx.dll (Spyware.OnlineGames) -> No action taken.
C:\Programme\Qtmlclient.dll (Spyware.OnlineGames) -> No action taken.
C:\Programme\Samsig.dll (Spyware.OnlineGames) -> No action taken.
C:\Programme\Samsiga6.dll (Spyware.OnlineGames) -> No action taken.
C:\Programme\Samsigm5.dll (Spyware.OnlineGames) -> No action taken.
C:\Programme\Samsigm6.dll (Spyware.OnlineGames) -> No action taken.
C:\Programme\Samsigp5.dll (Spyware.OnlineGames) -> No action taken.
C:\Programme\Samsigp6.dll (Spyware.OnlineGames) -> No action taken.
C:\Programme\Samsigpx.dll (Spyware.OnlineGames) -> No action taken.
C:\Programme\Samsigw7.dll (Spyware.OnlineGames) -> No action taken.
C:\Programme\Zipdll.dll (Spyware.OnlineGames) -> No action taken.

EDIT: Ich habe mal die erste Datei mit dem OnlineScanner gescannt:
Soll ich damit dasselbe machen wie mit der anderen Datei (Quarantäne + Löschen)?

Zitat:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.01.28 BehavesLike.Trojan.ShellHook!IK
AhnLab-V3 5.0.0.2 2010.01.28 -
AntiVir 7.9.1.154 2010.01.28 -
Antiy-AVL 2.0.3.7 2010.01.28 -
Authentium 5.2.0.5 2010.01.28 -
Avast 4.8.1351.0 2010.01.28 -
BitDefender 7.2 2010.01.28 -
CAT-QuickHeal 10.00 2010.01.28 Trojan.Agent.IRC
ClamAV 0.94.1 2010.01.28 -
Comodo 3742 2010.01.28 -
DrWeb 5.0.1.12222 2010.01.28 -
eSafe 7.0.17.0 2010.01.28 -
eTrust-Vet 35.2.7266 2010.01.28 -
F-Prot 4.5.1.85 2010.01.28 -
F-Secure 9.0.15370.0 2010.01.28 -
Fortinet 4.0.14.0 2010.01.28 -
GData 19 2010.01.28 -
Ikarus T3.1.1.80.0 2010.01.28 BehavesLike.Trojan.ShellHook
Jiangmin 13.0.900 2010.01.28 -
K7AntiVirus 7.10.959 2010.01.28 -
Kaspersky 7.0.0.125 2010.01.28 -
McAfee 5875 2010.01.28 -
McAfee+Artemis 5875 2010.01.28 -
McAfee-GW-Edition 6.8.5 2010.01.28 -
Microsoft 1.5406 2010.01.28 -
NOD32 4815 2010.01.28 -
Norman 6.04.03 2010.01.28 Suspicious_Gen.XNZ
nProtect 2009.1.8.0 2010.01.28 -
Panda 10.0.2.2 2010.01.28 Suspicious file
PCTools 7.0.3.5 2010.01.28 Trojan.Generic
Rising 22.32.03.04 2010.01.28 -
Sophos 4.50.0 2010.01.28 -
Sunbelt 3.2.1858.2 2010.01.28 -
Symantec 20091.2.0.41 2010.01.28 Trojan Horse
TheHacker 6.5.0.9.168 2010.01.28 -
TrendMicro 9.120.0.1004 2010.01.28 PAK_Generic.001
VBA32 3.12.12.1 2010.01.28 -
ViRobot 2010.1.28.2160 2010.01.28 -
VirusBuster 5.0.21.0 2010.01.28 -
weitere Informationen
File size: 31232 bytes
MD5...: c0236ca85726c628fa057741d9b4217d
SHA1..: e7333bcd3b923afe15172dfa64ffa74d6c115722
SHA256: b88f70d92f73a1d7453299e2afd73773c316882a8d0346b0a6689c77802f63fd
ssdeep: 384:ezRHMunfaIBxU+E/1Ha2JTN6Lk3WvMpFGbsvXsbTwc+IyrbTl+JHW6Ndogky
T9a/:eRnfayUxawh06GYSTB9yrqP6gkyJai
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x13d10
timedatestamp.....: 0x46a7deb8 (Wed Jul 25 23:37:28 2007)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0xc000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0xd000 0x7000 0x7000 7.87 fc297b5b0e7a11930250b8767b362ea9
.rsrc 0x14000 0x1000 0x600 2.32 0a2a8f9b909ba206d445975619bfcd6d

( 2 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, ExitProcess
> USER32.dll: EndDialog

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=c0236ca85726c628fa057741d9b4217d' target='_blank'>http://www.threatexpert.com/report.aspx?md5=c0236ca85726c628fa057741d9b4217d</a>
packers (Kaspersky): PE_Patch.UPX, UPX
packers (F-Prot): UPX
sigcheck:
publisher....: -
copyright....: -
product......: -
description..: -
original name: -
internal name: -
file version.: -
comments.....: -
signers......: -
signing date.: -
verified.....: -

Zitat:

Zitat von ani

Okay... Habe die Dateien gelöscht und alles gemacht wie beschrieben. Ist auch weg.

Soll ich damit dasselbe machen wie mit der anderen Datei (Quarantäne + Löschen)?

Ja, lösche die infizierten Dateien in der Quarantäne von Malwarebytes. Bitte immer alle Wechselmedien (USB Sticks usw.) anschliessen, wenn gescannt wird.

> Deaktivere die Windows Systemwiederherstellung, reboote deinen Computer und aktiviere sie wieder.
Windows XP - Die Systemwiederherstellung komplett abschalten

> Scanne dein PC online mit Panda online Scan:
FREE ANTIVIRUS online: ActiveScan 2.0 - PANDA SECURITY
Poste das Log!

lg.

Zitat:

Ja, lösche die infizierten Dateien in der Quarantäne von Malwarebytes. Bitte immer alle Wechselmedien (USB Sticks usw.) anschliessen, wenn gescannt wird.

Dazu hab ich noch ein paar Fragen.

1) Soll ich wirklich alle 24 Dateien in Quarantäne verschieben + löschen? Ich frage, weil die OnlineScanner ja nur die eine Datei (Trojan.Agent) als Malware gemeldet haben.

2) Wie verschiebe ich bei MWB denn Dateien in die Quarantäne? Seh da nirgends 'ne Funktion.
Habe sonst schon daran gedacht, die Dateien einzeln und manuell in die Quarantäne von AntiVir zu verschieben und darüber zu löschen wie den anderen Trojaner.

Zitat:

Zitat von ani

Dazu hab ich noch ein paar Fragen.

1) Soll ich wirklich alle 24 Dateien in Quarantäne verschieben + löschen? Ich frage, weil die OnlineScanner ja nur die eine Datei (Trojan.Agent) als Malware gemeldet haben.

2) Wie verschiebe ich bei MWB denn Dateien in die Quarantäne? Seh da nirgends 'ne Funktion.
Habe sonst schon daran gedacht, die Dateien einzeln und manuell in die Quarantäne von AntiVir zu verschieben und darüber zu löschen wie den anderen Trojaner.

Ja, das sind infizierte download files.

Anleitung hier:
http://www.trojaner-board.de/51187-a...i-malware.html

Sofort mit Malwarebytes löschen, brauchst nicht den Umweg über die Quarantäne gehen.

Zitat:

> Deaktivere die Windows Systemwiederherstellung, reboote deinen Computer und aktiviere sie wieder.
Windows XP - Die Systemwiederherstellung komplett abschalten

> Scanne dein PC online mit Panda online Scan:
FREE ANTIVIRUS online: ActiveScan 2.0 - PANDA SECURITY
Poste das Log!

Soweit okay. Aber: Panda läuft seit heute Mittag um 14 Uhr und ist bei 44%...
Bisher 12 infizierte Dateien gefunden... Und ich glaube, die sind alle auf C:\ in Programme. O_____O

Zitat:

Zitat von ani

Soweit okay. Aber: Panda läuft seit heute Mittag um 14 Uhr und ist bei 44%...
Bisher 12 infizierte Dateien gefunden... Und ich glaube, die sind alle auf C:\ in Programme. O_____O

Bist du online?

Beende den Panda scan.

Poste das Log.

lg.

Okay, die letzten 50% gingen dann irgendwie doch ratzfatz.

Hier der Log:

Zitat:

;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2010-01-29 20:04:09
PROTECTIONS: 1
MALWARE: 10
SUSPECTS: 0
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
AntiVir Desktop 9.0.1.32 Yes Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No c:\dokumente und einstellungen\xxx\cookies\xxx@doubleclick[2].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No c:\dokumente und einstellungen\xxx\cookies\xxx@atdmt[1].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No c:\dokumente und einstellungen\xxx\cookies\xxx@atdmt[1].txt
00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No c:\dokumente und einstellungen\xxx\cookies\xxx@tradedoubler[1].txt
00167642 Cookie/Com.com TrackingCookie No 0 Yes No c:\dokumente und einstellungen\xxx\cookies\xxx@com[1].txt
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\dokumente und einstellungen\xxx\cookies\xxx@ad.yieldmanager[1].txt
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No c:\dokumente und einstellungen\xxx\cookies\xxx@serving-sys[2].txt
00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No c:\dokumente und einstellungen\xxx\cookies\xxx@bs.serving-sys[1].txt
00169190 Cookie/Advertising TrackingCookie No 0 Yes No c:\dokumente und einstellungen\xxx\cookies\xxx@advertising[1].txt
00169190 Cookie/Advertising TrackingCookie No 0 Yes No c:\dokumente und einstellungen\xxx\cookies\xxx@advertising[2].txt
00262020 Cookie/Atwola TrackingCookie No 0 Yes No c:\dokumente und einstellungen\xxx\cookies\xxx@atwola[2].txt
00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No c:\dokumente und einstellungen\xxx\cookies\xxx@smartadserver[2].txt
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description
;===================================================================================================================================================== ==============================
191613 HIGH MS08-020
187733 HIGH MS08-008
182046 HIGH MS07-067
179553 HIGH MS07-061
170911 HIGH MS07-050
170904 HIGH MS07-043
157260 HIGH MS07-020
157259 HIGH MS07-019
156477 HIGH MS07-017
150249 HIGH MS07-013
150248 HIGH MS07-012
150247 HIGH MS07-011
150243 HIGH MS07-008
150242 HIGH MS07-007
150241 MEDIUM MS07-006
141033 MEDIUM MS06-075
137571 HIGH MS06-070
133379 HIGH MS06-057
131654 HIGH MS06-055
129977 MEDIUM MS06-053
129976 MEDIUM MS06-052
126092 MEDIUM MS06-050
126087 HIGH MS06-046
126086 MEDIUM MS06-045
126082 HIGH MS06-041
123421 HIGH MS06-036
120815 HIGH MS06-022
117384 MEDIUM MS06-018
114666 HIGH MS06-015
108744 MEDIUM MS06-008
108742 MEDIUM MS06-006
96574 HIGH MS05-053
93395 HIGH MS05-051
93454 MEDIUM MS05-049
;===================================================================================================================================================== ==============================

Schaut aus als wären das nur (?) Cookies.
Was kann ich da tun? Kann ich die einfach aus diesem Ordner löschen? (Oder aufessen? )

Was können wir tun, um unseren PC in Zukunft sicherer zu machen?
Lohnt es sich, ein gescheites Virenprogramm zu kaufen (bisher habe ich ausschließlich AntiVir benutzt) und welches ist empfehlenswert?

Zitat:

Zitat von ani

Okay, die letzten 50% gingen dann irgendwie doch ratzfatz.

Schaut aus als wären das nur (?) Cookies.
Was kann ich da tun? Kann ich die einfach aus diesem Ordner löschen? (Oder aufessen? )

Was können wir tun, um unseren PC in Zukunft sicherer zu machen?
Lohnt es sich, ein gescheites Virenprogramm zu kaufen (bisher habe ich ausschließlich AntiVir benutzt) und welches ist empfehlenswert?

Die Fünde von Panda sind Adware Cookies, aber nicht gefährlich. Du kannst sie löschen. Panda zeigt aber auch an, dass du wichtige Sicherheits Updates nicht getätigt hast.

> Bitte sofort mit "Windows Update" alle wichtigen Updates durchführen.

> Hier findest du wichtige Information, wie du dein PC in Zukunft sauber hälst:http://www.trojaner-board.de/74052-s...-internet.html

> Nur 100 % sichere Downloads runterladen, ich vermute, dass die nun beseitigten Infektionen durch verseuchte Downloads entstanden sind.

> Avira ist ok, zusammen mit Malwarebytes schützt es einen PC sinnvoll.
Scanne regelmässig mit beiden Programmen.

Das wars.

Vielen vielen Dank! Ich bin echt super froh jetzt. Werde das in Zukunft alles befolgen (bzw. weiterleiten, ist der PC von meinem Bruder) und dann hoff ich doch mal, dass wir dann auch verschont bleiben.

Mit Mac hat man solche Probleme nicht.

Danke.