Hallo zusammen,

der Computer scheint fehlerfrei zu laufen. Der Avira Guard hat aber folgendes gefunden:

In der Datei 'C:\Windows\Temp\SBS_LIBNSIS_TEMP_20101017002819.204_ 13'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen3' [trojan] gefunden.
Ausgeführte Aktion: Zugriff erlauben

Habe daraufhin die Datei in der Quarantäne gelöscht. Der Systemscan mit Avira brachte keine weiteren Befunde. Außerdem habe ich mit Ad-Aware, Spy-bot uns Suparantispyware gescannt und einige kleine Sachen gefunden. Mittlerweile zeigt der guard auch nichts mehr an.



Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5137

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

17.11.2010 17:17:04
mbam-log-2010-11-17 (17-17-04).txt

Art des Suchlaufs: Vollständiger Suchlauf (A:\|C:\|D:\|E:\|)
Durchsuchte Objekte: 297721
Laufzeit: 23 Minute(n), 21 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\soccer\William -> Quarantined and deleted successfully.
C:\Users\+++\Downloads\x264vfw_22_1538bm_22856.exe (Rogue.Installer) -> Quarantined and deleted successfully.


Dies fand Superantispy neben diversen cookies:
Trojan.Agent/Gen-Dropper
C:\USERS\+++\APPDATA\LOCAL\MICROSOFT\WINDOWS\TE MPORARY INTERNET FILES\LOW\CONTENT.IE5\FROLOU99\FIREFOX_SETUP_3.6.8[1].EXE

Hallo,

weiß nicht, ob ich gestern in meiner Unsicherheit und Hektik alles richtig gemacht habe. Sorry. Hier noch mal die Scans von heute, OTL ist im Anhang:

Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 5144

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

18.11.2010 15:38:37
mbam-log-2010-11-18 (15-38-37).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 189261
Laufzeit: 2 Minute(n), 44 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Hallo und

Zitat:

C:\Users\+++\Downloads\x264vfw_22_1538bm_22856.exe

Was hast du denn da manuell heruntergeladen? Manuell muss es deswegen sein, weil es im Downloadordner ist. Da landen üblicherweise nur die selbst heruntergeladenen Dateien.

Hi Arne,

bin mir nicht sicher. Hab mir vor längerer Zeit mal nen codec für camstudio runtergeladen. Glaube , dass es dieser ist.

Zitat:

C:\ProgramData\demlcosg.ecd

Bitte diese Datei bei Virustotal auswerten lassen und den Ergebnislink posten. Falls Du die Datei nicht siehst, musst Du sie evtl. vorher sichtbar machen.
Wenn die Datei schon ausgewertet sein sollte, bitte eine weitere Auswertung starten.

hxxp://www.virustotal.com/file-scan/report.html?id=71fcad7fd4cb0a00da57e946b2f5389e08e83f23a182371e711c9f511af0c602-1290110943

Das mit dem link scheint nicht zu klappen. Es wird immer ein anderer dargestellt, als der, welchen ich kopiere.

Keine Funde. Das OTL-Log ist ansonsten unauffällig.
Noch Probleme oder andere Funde?

Nee, eigentlich läuft alles. Eine Datei in dem selben Ordner, wie die zuvor gescannte mit Virustotal, ist blau geschrieben anstatt schwarz. Soll eine Ad-aware sein. Ist das normal?

Einzig der Windows Media Player lief nicht. Deshalb habe ich ihn vor ein paar Monaten gelöscht.

Kann ich von einem Fehlalarm bzw. einem sauberen System ausgehen? Sollte ich das eine oder andere Tool löschen oder hinzufügen?

Vielen Dank für Deine Hilfe.

Zitat:

Eine Datei in dem selben Ordner, wie die zuvor gescannte mit Virustotal, ist blau geschrieben anstatt schwarz. Soll eine Ad-aware sein. Ist das normal?

Blau markierte Ordner oder Dateien auf NTFS-Partitionen sind komprimiert oder verschlüsselt (auf Dateisystemebene)

Komisch war, dass eben nach Neustart die Anordnung meiner Monitore plötzlich verändert war. Muss ich mir da Gedanken machen?

Hier noch mal die Scans von eben:

Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 5147

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

18.11.2010 23:14:35
mbam-log-2010-11-18 (23-14-35).txt

Art des Suchlaufs: Vollständiger Suchlauf (A:\|C:\|D:\|E:\|)
Durchsuchte Objekte: 297392
Laufzeit: 27 Minute(n), 39 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Superantyspyware hat nur Adware tracking cookies gefunden.
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 11/18/2010 at 11:42 PM

Application Version : 4.45.1000

Core Rules Database Version : 5882
Trace Rules Database Version: 3694

Scan type : Complete Scan
Total Scan Time : 00:25:49

Memory items scanned : 701
Memory threats detected : 0
Registry items scanned : 11951
Registry threats detected : 0
File items scanned : 27877
File threats detected : 16

Adware.Tracking Cookie
C:\Users\+++\AppData\Roaming\Microsoft\Windows\Cookies\+++@specificclick[2].txt
C:\Users\+++\AppData\Roaming\Microsoft\Windows\Cookies\+++@ads.clubportal[2].txt
C:\Users\+++\AppData\Roaming\Microsoft\Windows\Cookies\+++@tracking.mlsat02[1].txt
C:\Users\+++\AppData\Roaming\Microsoft\Windows\Cookies\+++@zanox[1].txt
C:\Users\+++\AppData\Roaming\Microsoft\Windows\Cookies\+++@webmasterplan[2].txt
C:\Users\+++\AppData\Roaming\Microsoft\Windows\Cookies\+++@ad.yieldmanager[1].txt
C:\Users\+++\AppData\Roaming\Microsoft\Windows\Cookies\+++@content.yieldmanager[1].txt
C:\Users\+++\AppData\Roaming\Microsoft\Windows\Cookies\+++@tracking.hannoversche[1].txt
C:\Users\+++\AppData\Roaming\Microsoft\Windows\Cookies\+++@ads.immobilienscout24[1].txt
C:\Users\+++\AppData\Roaming\Microsoft\Windows\Cookies\+++@www.active-tracking[1].txt
C:\Users\+++\AppData\Roaming\Microsoft\Windows\Cookies\+++@imrworldwide[2].txt
C:\Users\+++\AppData\Roaming\Microsoft\Windows\Cookies\+++@ad.boreus[2].txt
C:\Users\+++\AppData\Roaming\Microsoft\Windows\Cookies\+++@adfarm1.adition[3].txt
C:\Users\+++\AppData\Roaming\Microsoft\Windows\Cookies\+++@ad.zanox[2].txt
C:\Users\+++\AppData\Roaming\Microsoft\Windows\Cookies\+++@de.sitestat[1].txt
C:\Users\+++\AppData\Roaming\Microsoft\Windows\Cookies\+++zanox-affiliate[2].txt


Danke nochmal...

Sieht ok aus, da wurden nur Cookies gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?