Hallo.

Ersteinmal vorweg: Ich war sehr froh und begeistert, dass es ein Forum mit so engagierten und hilfsbereiten Leuten gibt, danke schonmal dafür!

Das ist mein erster Post und ich hoffe, dass ich alle Hinweise und Regeln beachtet hab.

Vor ein paar Tagen hat Antivir folgende zwei Probleme erkannt:

Zitat:

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Users\loepen\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\26GTHHWE\Setup_379s3[1].exe
[FUND] Ist das Trojanische Pferd TR/FraudPa.PSI.2063
C:\Users\loepen\AppData\Local\Temp\plugtmp-9\plugin-newplayer.pdf
[0] Archivtyp: PDF Stream
[FUND] Enthält Erkennungsmuster des Exploits EXP/Pdfka.bmq
--> Object
[FUND] Enthält Erkennungsmuster des Exploits EXP/Pdfka.bmq

Beginne mit der Desinfektion:
C:\Users\loepen\AppData\Local\Temp\plugtmp-9\plugin-newplayer.pdf
[FUND] Enthält Erkennungsmuster des Exploits EXP/Pdfka.bmq
[HINWEIS] Die Datei wurde gelöscht.
C:\Users\loepen\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\26GTHHWE\Setup_379s3[1].exe
[FUND] Ist das Trojanische Pferd TR/FraudPa.PSI.2063
[HINWEIS] Die Datei wurde gelöscht.


Ende des Suchlaufs: Monday, May 17, 2010 19:06
Benötigte Zeit: 55:18 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

15828 Verzeichnisse wurden überprüft
305226 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
2 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
305224 Dateien ohne Befall
2477 Archive wurden durchsucht
0 Warnungen
2 Hinweise
512530 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Habe dann Informationen über den Trojaner "TR/FraudPa.PSI.2063" gefunden, dass er als "csrss.exe" auftaucht. Ist auch als laufender Prozess vorhanden. Weiter hab ich gelesen, dass "csrss.exe" in "Windows\System32\" ordnungsgemäß vorhanden sein darf.

Allerdings taucht es bei mir auch in "Windows\winsxs\" auf.
Ich vermute, dass das bei Windows 7 in Ordnung ist?

Zitat:

C:\Windows\winsxs\x86_microsoft-windows-csrss.resources_31bf3856ad364e35_6.1.7600.16385_en-us_da67613a42c43476.manifest

C:\Windows\winsxs\x86_microsoft-windows-csrss_31bf3856ad364e35_6.1.7600.16385_none_58ba39fb456943bd\csrss.exe

C:\Windows\winsxs\x86_microsoft-windows-csrss.resources_31bf3856ad364e35_6.1.7600.16385_en-us_da67613a42c43476\csrss.exe.mui

C:\Windows\winsxs\Backup\x86_microsoft-windows-csrss_31bf3856ad364e35_6.1.7600.16385_none_58ba39fb456943bd.manifest

C:\Windows\winsxs\Backup\x86_microsoft-windows-csrss_31bf3856ad364e35_6.1.7600.16385_none_58ba39fb456943bd_csrss.exe_06529458

C:\Windows\winsxs\Manifests\x86_microsoft-windows-csrss_31bf3856ad364e35_6.1.7600.16385_none_58ba39fb456943bd.manifest

C:\Windows\System32\csrss.exe

C:\Windows\System32\en-US\csrss.exe.mui

Jetzt möchte ich wissen, ob es gereicht hat, die zwei Probleme mit Antivir zu löschen. Nachdem ich mit Hilfe der Einsteigeranleitung den CCleaner benutzt habe, hier im Anhang die Logs von

Antivir (nachdem die Problleme behoben waren)

mbam (ebenfalls ohne Fund)

OTL

und Hijackthis.


Möchte jetzt nur wissen, ob wieder alles in Ordnung ist,
danke schonmal für die Hilfe.

Hallo,

aktualisiere Malwarebytes und mach danach mal einen Vollscan. Dann sehen wir weiter.

Erledigt. Ohne Befund:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4143

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

5/25/2010 10:02:19 PM
mbam-log-2010-05-25 (22-02-19).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 227912
Laufzeit: 1 Stunde(n), 41 Minute(n), 26 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Joa..sieht gut aus?

Sieht unauffällig aus. Hast Du zufällig eine veraltete AdobeReader Version aufm Rechner? Reich mal die Extras.txt von OTL nach, da kann ich das sehen.

Gabs in der Zwischenzeit eigentlich weitere Funde?

Adobe Reader 9.3.2 - Deutsch ist installiert.

Extras.txt als Anhang, vllt siehst du da ja noch irgendetwas.


Bisher gabs keine weiteren Funde, die Datum und Zeiteinstellung hing auf 2050 fest, aber ein Tag später kam das passende Windows7 Update. Hatte wohl nix mit schädlischer Software zu tun.

Ok, sollte aktuell sein. Adobe ist aber in den letzten Monaten ziemlich negativ aufgefallen, was deren Updatepolitik betrifft, da wurde rel. lange kein Update für eine schwere Lücke herausgebracht! Auch weil der AdobeReader viel zu fett und träge ist, rate ich eher zur Nutzung von sowas wie FoxitReader oder SumatraPDF. Wer auf Adobe nicht verzichten kann, man kann auch alle drei PDF Reader gleichzeitig installiert haben

Wenn ich Dich richtig verstanden habe läuft der Rechner soweit auch wieder normal, deswegen lassen wir das weitere Erstellen von Logfiles mal sein

Alles klar ich werd mal die Alternativen testen.

Danke dir!