sorry, hier das richtige.

Sieht ok aus keine Funde.
Rechner wieder ok? Oder noch andere Probleme?

echt? super, danke!
Hab sonst eigentlich keine Probleme...
Heißt das nun, dass "PC Tools Internet Security" und "Panda Scan" die Viren wirklich vorgetäuscht haben? Oder war doch was drauf?

Was heißt vorgetäuscht? Wir haben einige Sachen fixen müssen!!

Aber wir wären soweit durch!

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

vielen, vielen Dank!
Werde gleich mal alle Updates durchführen.
Mich irritiert es nur, dass alle anderen Virenprogramme nichts gefunden haben...

Wünsche dir noch einen schönen Abend

Viele Grüße,
Alina

Hallo Arne,

es tut mir Leid dich wieder belästigen zu müssen, aber ich glaub der Rechner ist doch noch nicht ganz sauber...
Habe gestern zur Sicherheit wieder ActivePandaScan durchlaufer lassen und dieser hat wieder einen Trojaner entdeckt (der gleiche wie das letzte Mal nur an einem anderen Ort). Log ist anbei.

Was kann ich jetzt tun?!?

Viele Grüße,
Alina

Das sind nur Überreste in der SWH.

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

ok, danke! Hab mir schon wieder Sorgen gemacht...

Eine letzte kleine Frage habe ich noch. In "C" befindet sich ein Ordner "Qoobox" der sich nicht löschen lässt. Folgende Meldung kommt immer:

Code: Alles auswählenAufklappen

ATTFilter

BackEnv kann nicht gelöscht werden: Der Zugriff wurde verweigert.
Stellen Sie sicher, dass der Datenträger weder voll noch schreibgeschützt ist und die Datei gerade nicht verwendet wird.
         

In diesem Ordner befinden sich Combofix-Logs der Ordner Quarantine und eben der Ordner BackEnv.

Kannst du mir sagen, wie ich diesen entfernen kann?

Viele Grüße,
alina

Der Qoobox muss nicht entfernt werden. Stört er dich?

naja, ich brauch es ja auch nicht. Und mir ist lieber wenn alles weg ist was ich nicht mehr brauche.

Ich habe vorhin wieder einen Scan mit PC Tools Internet Security gemacht und dieser hatt wieder 2 Trojaner entdeckt.
Der eine ist der gleiche wie am Anfang:
Trojan.BHO.KMY
in C:/WINDOWS/System32/ctfmon(2).exe
und der andere ist Trojan.Downloader.Murlo, der sich gleich in 22 Dateien eingenistet hat! In Registry-Wert und Registry-Schlüssel
Beispielpfad: HKEY_LOCAL_MACHINE/System/CurrentControlSet/Enum/Root/LEGACY_CATCHME/0000/LogConf
Ich glaube ich habe ihn gestern eingefangen, als ich "SumatraPDF" runterladen wollte.

Denkst du das Problem ist schnell behoben, oder soll ich den Rechner vielleicht doch formatieren?

Viele Grüße,
alina

Zitat:

Ich habe vorhin wieder einen Scan mit PC Tools Internet Security gemacht und dieser hatt wieder 2 Trojaner entdeckt.

Halte ich etwas für Paranoia. Und alles was InternetSecurity oder SecuritySuite im namen trägt solltest du nicht anfassen, das sind oftmals Müll-Produkte. Besser ist man mit Windows-Firewall und ggf. einem DSL-Roter dran plus einem reinen Virenscnaner (auch der ist optional)

Zitat:

C:/WINDOWS/System32/ctfmon(2).exe

Halte ich eher für einen Fehlalarm - bitte zur Kontrolle diese Datei bei Virustotal auswerten lassen und den Ergebnislink posten. Falls Du die Datei nicht siehst, musst Du sie evtl. vorher sichtbar machen.
Wenn die Datei schon ausgewertet sein sollte, bitte eine weitere Auswertung starten.

anbei die Auswertung von VirusTotal. "eSafe" hat anscheinend was entdeckt.

Sieht stark nach einem Fehlalarm aus. Da die Datei "ctfmon(2).exe" aber eigentlich überflüssig ist, kannst du sie löschen.

hm, ok hab die Datei nun gelöscht.
Jetzt hab ich noch einen Scan mit Avira Antivir gestartet und dieser hat mir folgende Warnung angezeigt:

Code: Alles auswählenAufklappen

ATTFilter

Beginne mit der Suche in 'C:\' <BOOT>
C:\hiberfil.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
         

Muss ich mir dabei Sorgen machen?

Und wie siehts denn mit dem Ordner "Qoobox" aus? Ist es möglich ihn zu löschen?

Viele Grüße,
alina

Steht doch da, dass es Windows-Systemdateien sind

hiberfil.sys = Hibernation File => Datei für den Ruhezustand
pagefile.sys => Auslgerungsdatei (virtueller Speicher)

Zitat:

Und wie siehts denn mit dem Ordner "Qoobox" aus? Ist es möglich ihn zu löschen?

Dass der dich so stört kann ich nicht nachvollziehen. Aber es gibt mehrere Wege den zu löschen zB abgesicherter Modus oder mit dem Avenger oder über ein Live-System wie Knoppix oder Ubuntu (achte auf meine Signatur)