Aber müsste der nicht sichtbar werden, wenn man versteckte und Systemordner einblendet? Auch über die Suchfunktion find ich das nicht.

Sicher kein Rootkit?

Sorry, ich kenn mich nicht wirklich aus damit... würde man Rootkits denn in normalen Scans wie Malwarebytes sehen? Ich dachte gerade nicht.

content.ie5 ist ein legitimer Ordner, da sind die temp. Dateien vom IE!

Warum kann ich die Dateien dann nicht sichtbar machen? Warum haben sie solche Namen?

Gmer bleibt leider hängen.

Mal eine grundsätzliche Frage:

Kann ein Hacker auch ohne Malware auf den Rechner kommen (z.B. durch bekannte IP-Adresse) oder muss vorher Malware heruntergeladen worden sein? Und kann man Hacker irgendwie nachweisen oder ausschließen?

Zitat:

Warum kann ich die Dateien dann nicht sichtbar machen? Warum haben sie solche Namen?

Nimm einen anderen Dateimanager zB Totalcommander und lass dir versteckte und Systemdateien anzeigen.
Warum der Ordner so heißt kannst du Herrn Microsoft mal fragen

Zitat:

Kann ein Hacker auch ohne Malware auf den Rechner kommen (z.B. durch bekannte IP-Adresse) oder muss vorher Malware heruntergeladen worden sein? Und kann man Hacker irgendwie nachweisen oder ausschließen?

Grundsätzlich kommt man auf die Kiste dann, wenn diese gewisse Dienste gestartet hat (zB einen Webserver der Port 80 öffnet) und diese auch nach außen hin offen sind. Malware muss also nicht im Spiel sein, kommt auch darauf an, wie dieser Dienst konfiguriert ist und/oder ob er verwundbar ist.
Wenn du einen Router mit Firewall hast kommt man nicht ohne weiteres auf den Rechner.

Zitat:

Und kann man Hacker irgendwie nachweisen oder ausschließen?

Wie soll der Nachweis aussehen? Dazu müsstest du schon eine Firewall davor haben, die sämtliches Protokolliert. Damit meine ich aber nicht so ein Spielzeug wie ZoneAlarm, sondern einen eigenen Rechner mit spezieller Software wie IPCop oder m0n0wall die auch sämtlichen Ereignisse protokollieren.
Mit gewisser Absicherung lässt sich vieles ausschließen aber 100%ige Sicherheit wird es nie geben!

O.K. - erstmal Danke - dann muss ich mal schaun...

Nach der langen Posterei schreit es ja förmlich nach Kontrollscans
Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Mal 'ne ganz blöde Frage:

Müsste ich Malwarebytes & Co vom Admin-Konto aus ausführen?

Ich habe gerade versucht, GMER im abgesicherten Modus zu starten (auch hängen geblieben) und dabei festgestellt, dass es da ja noch ein Benutzerkonto bei mir gibt, das das Admin-Konto zu sein scheint . Hab ich gar nicht gewusst.

EDIT: Jetzt wollte ich da mal hinwechseln aber im normalen Modus gibt es das gar nicht . Da stand aber beim normalen Benutzerkonto "1 Programm wird ausgeführt".

Also unter Systemsteuerung - Benutzerkonten bin auch ich der Admin - im abgesicherten Modus gabs mich oder Admin. Seltsam.

Hier mal Malwarebytes, SuperAntiSpyware hab ich noch nicht geschafft.

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5105

Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

13.11.2010 20:00:50
mbam-log-2010-11-13 (20-00-50).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 702230
Laufzeit: 4 Stunde(n), 48 Minute(n), 51 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Aber das "verdächtigste" find ich immer noch (im Nachhinein) das:

Zitat:

Zitat:
Außerdem ist mir eingefallen, dass ich vor Monaten manchmal beim Herunterfahren die Meldung hatte, dass ein Programm mit einem mir nicht bekannten Namen, bestehend aus sehr vielen Buchstaben durcheinander beendet werden muss.

Ich hab einen Zettel gefunden, wo ich den Anfang dieses ominösen Prozesses aufgeschrieben habe: "DcRsJVZ(IqCD)...". Das in Klammern bin ich mir nicht ganz sicher, ob das in Klammern war oder ob ich mir nicht sicher war - bei den Pünktchen ging es noch viele Buchstaben/Zeichen weiter, aber die Meldung war dann weg - hatte ich ein paar Mal vor ein paar Monaten.

Was ist das?

Hast Du da wirklich keine Idee?

mfg

Selbstverständlich muss man Malwarebytes als Admin ausführen!
Was das für ein Programm sein könnte, kann man nur vermuten wenn die Namen aus zufälligen Zeichen bestehen. GMER macht das und zB auch der RootkitRevealer aus dem MS-Technet.

Heißt das, das es vielleicht doch ein Rootkit sein könnte?

Hab mal RootkitRevealer durchgeführt, aber was heißt das Ergbnis?

Code: Alles auswählenAufklappen

ATTFilter

HKU\S-1-5-21-3433162778-473866232-3689853989-1005\Console	26.09.2010 00:39	0 bytes	Security mismatch.
HKLM\SECURITY\Policy\Secrets\SAC*	31.12.2000 20:19	0 bytes	Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI*	31.12.2000 20:19	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\webcal\URL Protocol	03.04.2004 19:34	13 bytes	Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Swearware\backup\winsock2	25.09.2010 23:51	0 bytes	Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters	25.09.2010 23:51	0 bytes	Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\NameSpace_Catalog5	25.09.2010 23:51	0 bytes	Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries	25.09.2010 23:51	0 bytes	Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001	25.09.2010 23:51	0 bytes	Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002	25.09.2010 23:51	0 bytes	Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003	25.09.2010 23:51	0 bytes	Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000004	25.09.2010 23:51	0 bytes	Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000005	25.09.2010 23:51	0 bytes	Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9	25.09.2010 23:51	0 bytes	Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries	25.09.2010 23:51	0 bytes	Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001	25.09.2010 23:51	0 bytes	Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000002	25.09.2010 23:51	0 bytes	Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000003	25.09.2010 23:51	0 bytes	Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000004	25.09.2010 23:51	0 bytes	Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000005	25.09.2010 23:51	0 bytes	Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000006	25.09.2010 23:51	0 bytes	Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000007	25.09.2010 23:51	0 bytes	Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000008	25.09.2010 23:51	0 bytes	Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000009	25.09.2010 23:51	0 bytes	Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000010	25.09.2010 23:51	0 bytes	Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000011	25.09.2010 23:51	0 bytes	Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000012	25.09.2010 23:51	0 bytes	Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000013	25.09.2010 23:51	0 bytes	Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000014	25.09.2010 23:51	0 bytes	Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000015	25.09.2010 23:51	0 bytes	Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000016	25.09.2010 23:51	0 bytes	Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000017	25.09.2010 23:51	0 bytes	Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000018	25.09.2010 23:51	0 bytes	Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000019	25.09.2010 23:51	0 bytes	Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000020	25.09.2010 23:51	0 bytes	Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000021	25.09.2010 23:51	0 bytes	Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000022	25.09.2010 23:51	0 bytes	Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000023	25.09.2010 23:51	0 bytes	Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000024	25.09.2010 23:51	0 bytes	Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000025	25.09.2010 23:51	0 bytes	Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000026	25.09.2010 23:51	0 bytes	Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000027	25.09.2010 23:51	0 bytes	Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000028	25.09.2010 23:51	0 bytes	Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000029	25.09.2010 23:51	0 bytes	Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000030	25.09.2010 23:51	0 bytes	Security mismatch.
         

So, nun SuperAntiSpyware:

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 11/15/2010 at 07:22 PM

Application Version : 4.45.1000

Core Rules Database Version : 5860
Trace Rules Database Version: 3672

Scan type       : Complete Scan
Total Scan Time : 07:26:34

Memory items scanned      : 388
Memory threats detected   : 0
Registry items scanned    : 5694
Registry threats detected : 0
File items scanned        : 561201
File threats detected     : 68

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\***\Cookies\***@adviva[2].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@adfarm1.adition[1].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@ad.zanox[2].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@de.sitestat[4].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@invitemedia[1].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@mediaplex[1].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@zanox-affiliate[1].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@tracking.mindshare[1].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@unitymedia[2].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@doubleclick[1].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@ad3.adfarm1.adition[1].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@tracking.quisma[1].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@ww251.smartadserver[2].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@content.yieldmanager[1].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@kaspersky.122.2o7[1].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@usenext[2].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@tradedoubler[1].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@ad.adnet[2].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@ad.ad-srv[2].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@adx.chip[2].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@chipxonioonlinegmbh.112.2o7[1].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@imrworldwide[2].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@www.zanox-affiliate[2].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@specificclick[1].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@avgtechnologies.112.2o7[1].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@collective-media[1].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@de.sitestat[2].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@serving-sys[1].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@webmasterplan[2].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@smartadserver[2].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@msnportal.112.2o7[2].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@de.sitestat[1].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@ad.yieldmanager[1].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@fastclick[2].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@adserver.clipscale[1].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@traffictrack[1].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@apmebf[2].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@microsoftsto.112.2o7[1].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@vinvest.122.2o7[1].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@ad2.adfarm1.adition[1].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@atdmt[2].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@de.sitestat[3].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@guj.122.2o7[1].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@shop.zanox[2].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@zanox[2].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@content.yieldmanager[3].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@bs.serving-sys[2].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@www.usenext[2].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@ad.chip[2].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@tracking.mlsat02[1].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@track.adform[2].txt
	acvs.mediaonenetwork.net [ C:\Dokumente und Einstellungen\***\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\35Y2SZAR ]
	adserver.new-directions.de [ C:\Dokumente und Einstellungen\***\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\35Y2SZAR ]
	aka-cdn-ns.adtech.de [ C:\Dokumente und Einstellungen\***\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\35Y2SZAR ]
	atdmt.com [ C:\Dokumente und Einstellungen\***\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\35Y2SZAR ]
	cdn1.eyewonder.com [ C:\Dokumente und Einstellungen\***\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\35Y2SZAR ]
	googleads.g.doubleclick.net [ C:\Dokumente und Einstellungen\***\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\35Y2SZAR ]
	host-a.oddcast.com [ C:\Dokumente und Einstellungen\***\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\35Y2SZAR ]
	m.de.2mdn.net [ C:\Dokumente und Einstellungen\***\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\35Y2SZAR ]
	macromedia.com [ C:\Dokumente und Einstellungen\***\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\35Y2SZAR ]
	media.jambocast.com [ C:\Dokumente und Einstellungen\***\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\35Y2SZAR ]
	media.mtvnservices.com [ C:\Dokumente und Einstellungen\***\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\35Y2SZAR ]
	media.tattomedia.com [ C:\Dokumente und Einstellungen\***\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\35Y2SZAR ]
	msntest.serving-sys.com [ C:\Dokumente und Einstellungen\***\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\35Y2SZAR ]
	spe.atdmt.com [ C:\Dokumente und Einstellungen\***\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\35Y2SZAR ]
	webstats.adcina.de [ C:\Dokumente und Einstellungen\***\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\35Y2SZAR ]
	webstats.cina.de [ C:\Dokumente und Einstellungen\***\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\35Y2SZAR ]

NotAThreat.EICAR[TestFile]
	C:\DOKUMENTE UND EINSTELLUNGEN\***\EIGENE DATEIEN\EICAR.TXT
         

Sieht ok aus, da wurden nur Cookies gefunden. Rootkits seh ich da keine.
Noch Probleme oder weitere Funde in der Zwischenzeit?

Also die Funde von RootkitRevealer findest Du nicht auffällig? Sollte ich da noch andere Scans machen (wegen dem Prozess und so, ich mein da war auch schon mal vorher so'n komischer Prozess) oder hat das keinen Zweck?

Ansonsten läuft er einigermaßen, ja.

Danke und mfg

Dann wären wir durch!

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Zitat:

nach der beseitigten Infektion

Mmh, ich dachte, wir hätten bislang gar keine gefunden?

Das hab ich eben bei Antivir gefunden (alte Meldung von zwei Tagen letztes Jahr) - wusste ich gar nicht mehr - könnte aber mit diesem Prozess evtl. zeitlich passen:

Code: Alles auswählenAufklappen

ATTFilter

07.11.2009,17:37:01 [WARNUNG]  Verdächtige Datei: Enthält verdächtigen Code: HEUR/HTML.Malware!
  C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\QDJGT87E\localnews;oms=localnews;nielsen=5;tile=3;sz=300x250;ord=365653532563[2]
      [INFO] Bei diesem Fund handelt es sich aller Wahrscheinlichkeit nach um eine Fehlmeldung. Bitte senden Sie uns diese Datei zur weiteren Analyse umgehend zu.
      [USER] NT-AUTORITÄT\SYSTEM
      [INFO]  Der Zugriff auf die Datei wurde verweigert!
07.11.2009,17:37:18 [WARNUNG]  Verdächtige Datei: Enthält verdächtigen Code: HEUR/HTML.Malware!
  C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\QDJGT87E\localnews;oms=localnews;nielsen=5;tile=3;sz=300x250;ord=365653532563[2]
      [INFO] Bei diesem Fund handelt es sich aller Wahrscheinlichkeit nach um eine Fehlmeldung. Bitte senden Sie uns diese Datei zur weiteren Analyse umgehend zu.
      [USER] NT-AUTORITÄT\SYSTEM
      [INFO]  Der Zugriff auf die Datei wurde verweigert!
07.11.2009,17:37:30 [WARNUNG]  Verdächtige Datei: Enthält verdächtigen Code: HEUR/HTML.Malware!
  C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\QDJGT87E\localnews;oms=localnews;nielsen=5;tile=3;sz=300x250;ord=365653532563[2]
      [INFO] Bei diesem Fund handelt es sich aller Wahrscheinlichkeit nach um eine Fehlmeldung. Bitte senden Sie uns diese Datei zur weiteren Analyse umgehend zu.
      [USER] NT-AUTORITÄT\SYSTEM
      [INFO]  Der Zugriff auf die Datei wurde verweigert!
08.11.2009,06:56:22 [WARNUNG]  Verdächtige Datei: Enthält verdächtigen Code: HEUR/HTML.Malware!
  C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\QDJGT87E\localnews;oms=localnews;nielsen=5;tile=3;sz=300x250;ord=365653532563[2]
      [INFO] Bei diesem Fund handelt es sich aller Wahrscheinlichkeit nach um eine Fehlmeldung. Bitte senden Sie uns diese Datei zur weiteren Analyse umgehend zu.
      [USER] NT-AUTORITÄT\SYSTEM
      [INFO]  Der Zugriff auf die Datei wurde verweigert!