Hallo, nachdem ich Gestern aus dem Urlaub gekommen bin, und mein Haustierversorger wohl meinen PC benutzen musste, stellte ich fest das mein AntiVir ein paar Viren gefunden hatte (siehe Titel).

Ich habe dan mal Malwarebytes laufen lassen und er hatte mir auch ein Paar einträge angezeigt.
Das ganze habe ich via Google bearbeitet und jetzt wollte ich doch mal den Expertenrat hören ob mein Rechner wieder sauber ist.

Die Listen hefte ich mal als Zip Anhang dran.

Darin sind:

mbam-log (alt u. neu)
OTL
Extras

Wäre sehr nett wenn jemand mal drüber schauen kann.

Vielen Dank!

öffne avira, reporte, poste den scan report mit den funden#

Das ist mir jetzt etwas peinlich, aber die habe ich nicht mehr.

Ich habe alles was im Zusammenhang mit den Viren war gelöscht, aus Angst vor neuer Verbreiterung.
In diesem wahn muss ich auch alle Berichte gelöscht haben.

Den einzigen den ich noch habe ist der mit dem Update von heute morgen.

ok kein problem. hier erst mal ein paar hinweise.
o&o defrag ist unter windows 7 unnötig, die defragmentierung wird von windows automatisch erledigt und ist auch viel besser seit xp. man braucht also keine extra tools.
genauso ein blödsinn ist tuneup
TuneUp: Wundermittel oder Placebo Reloaded | DerFisch.de
bitte lesen, und die nutzung solcher "wundermittel" überdenken.

avira
http://www.trojaner-board.de/54192-a...tellungen.html
avira 10 so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm.
klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten.

Hallo,
so O&O Defrag ist runter ebenfalls TuneUP. Danke nochmal für den Hinweis.

Avira 10 Free ist so wie beschrieben konfiguriert worden und hier ist der neue Log.

Code: Alles auswählenAufklappen

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 20. September 2010  11:32

Es wird nach 2854240 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 
Plattform      : Windows 7 x64
Windowsversion : 
Boot Modus     : Normal gebootet
Benutzername   : ***
Computername   : ***-PC

Versionsinformationen:
BUILD.DAT      : 10.0.0.567           Bytes  19.04.2010 15:50:00
AVSCAN.EXE     : 10.0.3.0      433832 Bytes  01.04.2010 11:37:35
AVSCAN.DLL     : 10.0.3.0       56168 Bytes  30.03.2010 10:42:16
LUKE.DLL       : 10.0.2.3      104296 Bytes  07.03.2010 17:32:59
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 10:59:47
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 08:05:36
VBASE001.VDF   : 7.10.1.0     1372672 Bytes  19.11.2009 18:27:49
VBASE002.VDF   : 7.10.3.1     3143680 Bytes  20.01.2010 16:37:42
VBASE003.VDF   : 7.10.3.75     996864 Bytes  26.01.2010 15:37:42
VBASE004.VDF   : 7.10.4.203   1579008 Bytes  05.03.2010 10:29:03
VBASE005.VDF   : 7.10.6.82    2494464 Bytes  15.04.2010 09:19:37
VBASE006.VDF   : 7.10.7.218   2294784 Bytes  02.06.2010 09:19:42
VBASE007.VDF   : 7.10.9.165   4840960 Bytes  23.07.2010 09:19:54
VBASE008.VDF   : 7.10.11.133  3454464 Bytes  13.09.2010 09:20:03
VBASE009.VDF   : 7.10.11.134     2048 Bytes  13.09.2010 09:20:03
VBASE010.VDF   : 7.10.11.135     2048 Bytes  13.09.2010 09:20:03
VBASE011.VDF   : 7.10.11.136     2048 Bytes  13.09.2010 09:20:03
VBASE012.VDF   : 7.10.11.137     2048 Bytes  13.09.2010 09:20:04
VBASE013.VDF   : 7.10.11.165   172032 Bytes  15.09.2010 09:20:04
VBASE014.VDF   : 7.10.11.202   144384 Bytes  18.09.2010 09:20:04
VBASE015.VDF   : 7.10.11.203     2048 Bytes  18.09.2010 09:20:04
VBASE016.VDF   : 7.10.11.204     2048 Bytes  18.09.2010 09:20:04
VBASE017.VDF   : 7.10.11.205     2048 Bytes  18.09.2010 09:20:05
VBASE018.VDF   : 7.10.11.206     2048 Bytes  18.09.2010 09:20:05
VBASE019.VDF   : 7.10.11.207     2048 Bytes  18.09.2010 09:20:05
VBASE020.VDF   : 7.10.11.208     2048 Bytes  18.09.2010 09:20:05
VBASE021.VDF   : 7.10.11.209     2048 Bytes  18.09.2010 09:20:05
VBASE022.VDF   : 7.10.11.210     2048 Bytes  18.09.2010 09:20:05
VBASE023.VDF   : 7.10.11.211     2048 Bytes  18.09.2010 09:20:05
VBASE024.VDF   : 7.10.11.212     2048 Bytes  18.09.2010 09:20:05
VBASE025.VDF   : 7.10.11.213     2048 Bytes  18.09.2010 09:20:05
VBASE026.VDF   : 7.10.11.214     2048 Bytes  18.09.2010 09:20:05
VBASE027.VDF   : 7.10.11.215     2048 Bytes  18.09.2010 09:20:05
VBASE028.VDF   : 7.10.11.216     2048 Bytes  18.09.2010 09:20:05
VBASE029.VDF   : 7.10.11.217     2048 Bytes  18.09.2010 09:20:05
VBASE030.VDF   : 7.10.11.218     2048 Bytes  18.09.2010 09:20:05
VBASE031.VDF   : 7.10.11.222    10752 Bytes  20.09.2010 09:20:05
Engineversion  : 8.2.4.58  
AEVDF.DLL      : 8.1.2.1       106868 Bytes  20.09.2010 09:20:14
AESCRIPT.DLL   : 8.1.3.45     1368443 Bytes  20.09.2010 09:20:14
AESCN.DLL      : 8.1.6.1       127347 Bytes  20.09.2010 09:20:13
AESBX.DLL      : 8.1.3.1       254324 Bytes  20.09.2010 09:20:15
AERDL.DLL      : 8.1.9.0       631156 Bytes  20.09.2010 09:20:13
AEPACK.DLL     : 8.2.3.7       471413 Bytes  20.09.2010 09:20:11
AEOFFICE.DLL   : 8.1.1.8       201081 Bytes  20.09.2010 09:20:11
AEHEUR.DLL     : 8.1.2.26     2916727 Bytes  20.09.2010 09:20:10
AEHELP.DLL     : 8.1.13.3      242038 Bytes  20.09.2010 09:20:07
AEGEN.DLL      : 8.1.3.22      401780 Bytes  20.09.2010 09:20:07
AEEMU.DLL      : 8.1.2.0       393588 Bytes  20.09.2010 09:20:06
AECORE.DLL     : 8.1.16.2      192887 Bytes  20.09.2010 09:20:06
AEBB.DLL       : 8.1.1.0        53618 Bytes  20.09.2010 09:20:06
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  14.01.2010 10:59:10
AVPREF.DLL     : 10.0.0.0       44904 Bytes  14.01.2010 10:59:07
AVREP.DLL      : 10.0.0.8       62209 Bytes  18.02.2010 15:47:40
AVREG.DLL      : 10.0.3.0       53096 Bytes  01.04.2010 11:35:44
AVSCPLR.DLL    : 10.0.3.0       83816 Bytes  01.04.2010 11:39:49
AVARKT.DLL     : 10.0.0.14     227176 Bytes  01.04.2010 11:22:11
AVEVTLOG.DLL   : 10.0.0.8      203112 Bytes  26.01.2010 08:53:25
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 11:57:53
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  16.03.2010 14:38:54
NETNT.DLL      : 10.0.0.0       11624 Bytes  19.02.2010 13:40:55
RCIMAGE.DLL    : 10.0.0.26    2550120 Bytes  28.01.2010 12:10:08
RCTEXT.DLL     : 10.0.53.0      98152 Bytes  09.04.2010 13:14:28

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: C:\Program Files (x86)\Avira\AntiVir Desktop\alldrives.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, H:, A:, G:, E:, F:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Optimierter Suchlauf..................: ein
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 10
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +PCK,+PFS,+SPR,

Beginn des Suchlaufs: Montag, 20. September 2010  11:32

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmplayer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LCDMedia.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'C2DtoG15.exe' - '1' Modul(e) wurden durchsucht

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
    [INFO]      Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
    [INFO]      Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
    [INFO]      Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
    [INFO]      Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Bootsektor 'H:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'A:\'
    [INFO]      Im  Laufwerk 'A:\' ist kein Datenträger eingelegt!
Bootsektor 'G:\'
    [INFO]      Im  Laufwerk 'G:\' ist kein Datenträger eingelegt!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '993' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
Beginne mit der Suche in 'D:\'
Beginne mit der Suche in 'H:\' <TREKSTOR>
Beginne mit der Suche in 'A:\'
Der zu durchsuchende Pfad A:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'G:\'
Der zu durchsuchende Pfad G:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'E:\'
Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'F:\'
Der zu durchsuchende Pfad F:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.


Ende des Suchlaufs: Montag, 20. September 2010  12:05
Benötigte Zeit: 33:40 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

  37164 Verzeichnisse wurden überprüft
 534812 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 534812 Dateien ohne Befall
   6073 Archive wurden durchsucht
      0 Warnungen
      0 Hinweise
  17778 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
         

nutze den ccleaner, dateien + registry bereinigen
http://www.trojaner-board.de/51464-a...-ccleaner.html
nutze eset online scan
Free ESET Online Antivirus Scanner
und zeig das ergebniss

Hier das Ergebnis.

Sieht nicht so toll aus.

Vor allem habe ich kein Nero auf der Platte

D:\_OTM\MovedFiles\09192010_190614\C_Users\Daniel\AppData\Local\Temp\sshnas21.dll Win32/TrojanDownloader.FakeAlert.ARF trojan cleaned by deleting - quarantined
H:\Nero\Nero 9\unit_app_75\Toolbar.exe Win32/Toolbar.AskSBar application cleaned by deleting - quarantined
H:\Nero\Nero BackItUp 4\unit_app_75\Toolbar.exe Win32/Toolbar.AskSBar application cleaned by deleting - quarantined
H:\Nero\Nero MediaHome 4 Trial\unit_app_75\Toolbar.exe Win32/Toolbar.AskSBar application cleaned by deleting - quarantined
H:\Vista Save\sumo.exe multiple threats deleted - quarantined

das sieht nicht schlecht aus, nur funde in setups. gibts noch probleme? wenn nein, können wir zum pc absichern kommen

Oh, das ging fix. Ich Denke andere Probleme würde ich eh nicht finden, aber mein Avira findet nix mehr.

PC absichern?

1. solltest du nur noch als eingeschrenkter nutzer arbeiten , das admin konto ist nur für instalationen gedacht.
klicke start, tippe unter suchen (ausführen) systemsteuerung. wähle dort Benutzerkonten hinzufügen/entfernen.
wähle "neues konto erstellen"
Wähle standard benutzer.

die konten sollten mit einem passwort geschützt werden.
dazu auf konto endern klicken und passwörter vergeben.

die uac sollte auf maximum stehen.
klicke auf start, ausführen (suchen) tippe
uac
enter
nachfrage bestätigen, regler auf höchste stufe.
so ist es schwiriger heimlich etwas auf dem pc zu instalieren.
Die folgenden konfigurationen als admin ausführen:
2.
dep aktivieren:
dep für alle prozesse:
Datenausführungsverhinderung (DEP)
• "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:".
wenn es zu problemen kommen sollte, kann man die betroffenen prozesse aus der Überwachung entfernen.

3. sehop aktivieren:
SEHOP aktivieren:
Aktivieren von SEHOP (Structured Exception Handling Overwrite Protection) in Windows-Betriebssystemen
klicke auf "Feature automatisch aktivieren"
und folge den anweisungen
dieser tipp, gilt auch für windows 7
4.
als browser den firefox nutzen:
Webbrowser Firefox | Schneller, sicherer & anpassbar | Mozilla Europe
5.
als adon noscript, es werden dadurch einige scripts (java) zb blockiert, du kannst diese dann frei geben, in dem du auf der seite, die freigegeben werden
soll, nen rechtsklick machst, noscript wählst, und temporär alle berectigungen aufheben wählst, somit werden sie für den besuch aufgehoben, oder alle beschrenkungen
aufheben, somit wird die seite freigegeben. das kann man natürlich wieder rückgängig machen.
http://filepony.de/download-adblock_firefox//
hier gibt es noch filterlisten:
Bekannte Filterlisten für Adblock Plus
hier würde ich 2 oder 3 deutsche filter auswählen.
unter sonstiges die malware blocklist.

7.
um das surfen sicherer zu machen, würde ich Sandboxie empfehlen.
Download:
drop.io
(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar.
den direkten datei zugriff bitte auf firefox beschrenken, hier kannst du auch noscript und andere plugins eintragen.
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\prefs.js
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\bookmarks.html
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\sessionstore.js
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\adblockplus\patterns.ini
plugin-container.exe
bei
Internetzugriff:
firefox.exe und
plugin-container.exe
eintragen

wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.
ab sofort also nur noch in der sandbox surfen bitte.
8. autorun für usb deaktivieren:
über diesen weg werden sehr häufig schaddateien verbreitet, schalte die funktion also ab.
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de
usb sticks, festplatten etc, sollte man mit panda vaccine impfen:
ANTIMALWARE: Panda USB Vaccine - Download FREE - PANDA SECURITY
so holt man sich keine infektionen ins haus, wenn man mal die festplatte etc verleit.
hake an:
hake an:
run panda usb vaccine automatically when computer boots
automatically vaccine any new insert usb key
enable ntfs file suport
9.
updates:
Updates sind für dein system genauso wichtig, wie ein antivirenscanner. Sehr häufig gelangen schädlinge nur aufs system, weil der user veraltete software nutzt.
instaliere die folgenden update checker.
Secunia:
http://www.trojaner-board.de/83959-s...ector-psi.html
und file hippo update checker:
FileHippo.com Update Checker - FileHippo.com
das file Hippo Symbol wird im infobereich neben der uhr auftauchen, mache bitte nen rechtsklick darauf, wähle settings, results, setze einen haken bei "hide beta updates" klicke ok.
10.
regelmäßige Backups des systems sind sehr wichtig, du weist nie, ob deine festplatte mal kaputt geht.
Acronis True Image 2011 - Festplatten-Backup-Software, Datei-Backup und Disk Imaging, Wiederherstellung von Anwendungseinstellungen, Backup von Musik, Videos, Fotos und Outlook-Mails
außerdem kannst du, bei neuerlichem malware befall das system zurücksetzen.
Das Backup sollte möglichst auf eine externe festplatte etc emacht werden, nicht auf die selbe, wo sich die zu sichernden daten befinden.
Von sehr wichtigen Daten könnte man noch eine zusätzliche Sicherung auf dvds/cds erstellen, dazu könnte man auch wiederbeschreibbare verwenden (rws) falls die sammlung mal erneuert werden soll.
so ab jetzt nur noch im standard nutzerkonto arbeiten und dort nur noch in der sandbox surfen.
klicke dazu auf "sandboxed web browser".