Hallo und erstmal danke für die angebotene Hilfe.

Zitat:

Zitat von Coverflow

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:

Zitat kann ich nicht mitzitieren - ich bestätige aber hiermit die Ausführungen zu "Fernbehandlungen/Fernhilfe" gelesen und verstanden zu haben. Halte ich eh für selbstverständlich was darin stand.

Zitat:

Zitat von Coverflow

► Falls es Meldung/Bericht/Scanergebnisse von deinem Antivirenprogramm oder andere Schutzprogramme gibt, bitte posten! Was gefunden und vor allem wo...

Protokoll lässt sich bei Comodo nur als html-Datei exportieren - per copy+paste aus dieser html-Datei:

Code: Alles auswählenAufklappen

ATTFilter

COMODO Internet Security Premium - Protokollanzeige Einträge 
 	 	Tabelle	:	Antivirus
 	 	Erstellungsdatum	:	2011-01-16 14:52:57
 	 	Anzahl der Einträge	:	8
Datum	Ort	Name der Malware	Aktion	Status
2010-12-24 15:16:45  	\Device\HarddiskVolume8\****' files\Bilder\outfits\systempack107_2121.exe  	TrojWare.Win32.Trojan.Agent.Gen@146264662  	Erkennen  	Erfolgreich  
2011-01-16 00:24:24  	I:\****' files\Bilder\outfits\systempack107_2121.exe  	TrojWare.Win32.Trojan.Agent.Gen@146264662  	Erkennen  	Erfolgreich  
2011-01-16 00:29:20  	I:\****' files\Bilder\outfits\systempack107_2121.exe  	TrojWare.Win32.Trojan.Agent.Gen@146264662  	Erkennen  	Erfolgreich  
2011-01-16 00:29:20  	I:\****' files\Bilder\outfits\systempack107_2121.exe  	TrojWare.Win32.Trojan.Agent.Gen@146264662  	Fragen  	Erfolgreich  
2011-01-16 00:29:20  	I:\****' files\Bilder\outfits\systempack107_2121.exe  	TrojWare.Win32.Trojan.Agent.Gen@146264662  	Erkennen  	Erfolgreich  
2011-01-16 00:29:57  	I:\****' files\Bilder\outfits\systempack107_2121.exe  	TrojWare.Win32.Trojan.Agent.Gen@146264662  	Quarantäne  	Erfolgreich  
2011-01-16 00:29:58  	I:\****' files\Bilder\outfits\systempack107_2121.exe  	TrojWare.Win32.Trojan.Agent.Gen@146264662  	Quarantäne  	Erfolgreich  
2011-01-16 00:30:09  	I:\****' files\Bilder\outfits\systempack107_2121.exe  	TrojWare.Win32.Trojan.Agent.Gen@146264662  	Quarantäne  	Erfolgreich  
Ende des Berichts
         

Zitat:

Zitat von Coverflow

► Beschreibe genau, welche Versuche du unternommen hast, um das Problem zu lösen (also die schon vorhandenen Ergebnisse auch posten)

Nur die aus obigem Bericht hervorgehenden Quarantäne-Aufforderungen - 2x, da ich bei Erhalt der Meldung das angegebene Verzeichnis öffnete und dort ein zweites Mal die Virenwarnung erhielt. Hab dann bei beiden Virenwarnungen den Vorschlag Quarantäne als Problemlösung meiner COMODO Internet Security jeweils mit OK bestätigt. Warum COMODO eine dritte Quarantäne registriert hat weiß ich nicht - vermute aber, dass bei nur einer Sekunde Zeitdifferenz bei den ersten beiden Einträgen das nur eine von mir registrierte Aktion war und der wenige Sekunden spätere dann meine zweite Quarantäne-Aufforderung war.
Das Programm "Load.exe" hier aus dem Forum (h**p://w*w.trojaner-board.de/89918-load-exe-larusso.html) hab ich installiert, aber noch nicht benutzt wegen der in meinem ersten Posting geschriebenen Gründe (Fehlen der erwarteten Anleitung, die bei Installation hätte erstellt werden müssen). Das war's. Mehr ist noch nicht passiert.

Zitat:

Zitat von Coverflow

► Danach versuche folgendes:
Seit wann hast du dieses Problem denn? Wenn du glaubst zu kennen die Zeitpunkt wo dein System noch einwandfrei funktioniert hat, die Systemwiederherstellung ist einen Versuch Wert!:

Infektion was mit absoluter Sicherheit am 24.12.2010.
Fragen dazu:
1.) Heißt das wenn ich eine System wiederherstellung von dem 23.12. oder davor durchführe verliere ich zwar die Daten zwischen diesem Tag und dem jetzigen Zeitpunkt, brauche aber keinerlei Bereinigung mehr durchführen?
2.) Kann ich Sicherheitskopien meiner bis heute vorhandenen eMail-Korrespondenz erstellen und nach der SWH wiederherstellen? Die Infektion fand im Browser statt (Firefox oder Opera), nicht im eMail-Programm (Ich nutze Thunderbird).

Zitat:

Zitat von Coverflow

► Da die SWH nur ein Notlösung ist und/oder die Systemwiederherstellung ist nicht durchführbar, arbeite die aufgeführten Schritte bitte vollständig ab:

Sprich wenn ich die SWH erfolgreich durchführe ist alles andere darunter nicht mehr nötig, richtig?

Dank & Gruß,
Edd

Zitat:

Zitat von Edd

Sprich wenn ich die SWH erfolgreich durchführe ist alles andere darunter nicht mehr nötig, richtig?

Nein, eben weil die SWH nur eine Notlösung ist und kann man sich nicht sicher sein , ob das Problem damit beseitigt wurde. Gilt es besonders bei Backdoor, Rootkit und Master Boot Record - Befall), einen Systemscheck ist unvermeidbar bzw empfohlen

Systemreinigung und Prüfung:
1.
Funde aus der Quarantäne von Comodo bitte löschen!

2.
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked" klicken→ PC neu aufstarten):
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen

Code: Alles auswählenAufklappen

ATTFilter

O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
         

3.
Windows und die installierten Programme auf den neuesten Stand zu halten,sind Garanten für eine erhöhte Sicherheit!
Java aktualisieren `Start→ Systemsteuereung→ Java→ Aktualisierung...(Update 23 schon fällig!)

4.
den Java-Cache leeren - wie unter Punkt 7. u. 8. beschrieben *klick
über Systemsteuerung -> Java...

5.
Adobe Reader aktualisieren :
Adobe Reader
Oder: Adobe starten-> gehe auf "Hilfe"-> "Nach Update suchen..."

6.

Zitat:

**Vor dem Löschen temporärer Dateien sollte man unbedingt alle Anwendungen beenden!
**lösche nur den Inhalt der Ordner, nicht die Ordner selbst!
**Der Temp Ordner,ist für temporäre Dateien,also der Inhalt kann man ohne weiteres löschen.- Dateien, die noch in Benutzung sind,nicht löschbar.

Temp Ordner leeren:
C:\Users\xxxxx\AppData\Local\Temp--> lösche nur den Inhalt der Ordner, nicht die Ordner selbst
oder klicke auf Start-> Suche-> %temp% reinschreiben...

7.
Öffne CCleaner

• "Cleaner"-->"Analysieren"-->Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"--> "Fehler beheben"-->"Alle beheben"
• Starte dein System neu auf

8.

• lade Dir SUPERAntiSpyware FREE Edition herunter.
• installiere das Programm und update online.
• starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
• setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
• anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
• auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
• um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
• drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

9.
Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware ("Worm.Win32.Autorun") verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen.
→ Also alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird.
Außerdem kann man die Autostarteigenschaft auch ausschalten:
→ Windows-Sicherheit: Datenträger-Autorun deaktivieren- bebilderte Anleitung v.Leonidas/3dcenter.org
→ Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten/wintotal.de
→ Diese Silly -Beschreibung stützt die Annahme, dass er über einen USB-Stick kam. Die Ursache ist durch formatieren des Sticks aus der Welt geschafft, Du solltest darauf achten, dass dort keine Datei autorun.inf wieder auftaucht und etwas wählerisch sein, wo Du deinen Stick reinsteckst.
Achtung!:
>>Du sollst das Programm nicht installieren, sondern dein System nur online scannen<<
→ Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner/klicke hier
→ um mit dem Vorgang fortzufahren klicke auf "Accept"
→ dann wähle "My computer" aus - Es dauert einige Zeit, bis ein Komplett-Scan durch gelaufen ist, also bitte um Geduld!
Es kann einige Zeit dauern, bis der Scan abgeschlossen ist - je nach Größe der Festplatte eine oder mehrere Stunden - also Geduld...
→ Report angezeigt, klicke auf "Save as" - den bitte kopieren und in deinem Thread hier einfügen
Vor dem Scan Einstellungen im Internet Explorer:
→ "Extras→ Internetoptionen→ Sicherheit":
→ alles auf Standardstufe stellen
→ Active X erlauben - damit die neue Virendefinitionen installiert werden können

10.
poste erneut - nach der vorgenommenen Reinigungsaktion:
TrendMicro™ HijackThis™ -Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!

** Wie ist den aktuellen Zustand des Rechners? probleme, Auffälligkeiten, Meldung v. AV-Scanner oder Firewall?

Zitat:

Zitat von Coverflow

Nein, eben weil die SWH nur eine Notlösung ist und kann man sich nicht sicher sein , ob das Problem damit beseitigt wurde. Gilt es besonders bei Backdoor, Rootkit und Master Boot Record - Befall), einen Systemscheck ist unvermeidbar bzw empfohlen

Hatte ich vermutet. Aber danke für die Antwort.

Zitat:

Zitat von Coverflow

Systemreinigung und Prüfung:
1.
Funde aus der Quarantäne von Comodo bitte löschen!

Code: Alles auswählenAufklappen

ATTFilter

Infizierte Dateien:
c:\program files\comodo\comodo internet security\quarantine\systempack107_2121.exe (Trojan.FakeAlert) -> No action taken.
c:\program files\comodo\comodo internet security\quarantine\tmp0002d6be (Adware.TimeSink) -> No action taken.
c:\program files\comodo\comodo internet security\quarantine\tmp0002da0b (Adware.TimeSink) -> No action taken.
         

Habe die drei Dateien gelöscht - und noch weitere Objekte, die Comodo seit Monaten in Quarantäne hatte: gefährlich oder nicht, so lange wie sie in Quarantäne waren ist es offensichtlich, dass sie nicht benötigt wurden, und es waren eh alles tmp*-Dateien (fingen alle im Dateinamen mit "tmp" an und "Adware.TimeSink" stand bei Commodo hinter jeder einzelnen dahinter). Hab die Comodo Quarantäne in Comodo geleert (alle Dateien darin gelöscht) - vorher die drei besagten einzeln rausgesucht und gelöscht, um sicher zu sein, dass sie weg sind.

Werde jetzt die Liste Schritt für Schritt durcharbeiten. Danke für deine Hilfe, Coverflow!

Ich benötige den Rechner am morgigen Dienstagabend ab 17:30 Uhr für einen gewerblichen Termin (bin nebenberuflich Kleinunternehmer) - meinst du bis dahin ist mein Computer wieder voll einsatzfähig? Werde meine Kreditkarte online in Anspruch nehmen müssen morgen Abend.

So oder so, ich find's toll, dass du mir so hilfst! Weiß ich zu schätzen! Danke dir!

Gruß,
Edd

Zitat:

Zitat von Coverflow

2.
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked" klicken→ PC neu aufstarten):
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen

Code: Alles auswählenAufklappen

ATTFilter

O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
         

Ist geschehen.

Gruß,
Edd

Zitat:

Zitat von Coverflow

3.
Windows und die installierten Programme auf den neuesten Stand zu halten,sind Garanten für eine erhöhte Sicherheit!
Java aktualisieren `Start→ Systemsteuereung→ Java→ Aktualisierung...(Update 23 schon fällig!)

Java ist nun aktualisiert. Bekam die Aufforderung Java zu installieren als ich deinen Anweisungen folgte - hatte gedacht Java sei vorinstalliert gewesen...? Oder installiert das System immer gleich Java komplett neu wenn es "updatet"? Bin der Anweisung jedenfalls gefolgt und bei erneutem Suchen nach Aktualisierungen kam die Meldung, Java sei auf dem aktuellsten Stand.

Eine Frage hätte ich aber:
Ich hab dann "Automatisch nach Aktualisierungen suchen" vom Programmstandard 1x pro Monat auf jeden Tag ändern wollen, aber jedes Mal wenn ich in das entsprechende Menü des Java Control Panels gehe zeigt er mir wieder den Programm-Standard 1x pro Monat am Monatszweiten an. Warum kann ich das nicht ändern? Manuell nach Updates suchen vergesse ich zu leicht... Hast du da nen Tipp für mich? Mache ich irgendwas falsch?

Zitat:

Zitat von Coverflow

4.
den Java-Cache leeren - wie unter Punkt 7. u. 8. beschrieben *klick
über Systemsteuerung -> Java...

Mache ich bei Opera, meinem Hauptbrowser, nach jeder Verwendung des Programms bevor ich es schließe.
Wie dem auch sei:
Java: Cache gelehrt.
Firefox und Internet Explorer: Cache gelehrt.
Opera: mache ich nach diesem Posting - nicht vorher, weil mir sonst das Tab geschlossen wird.
Andere Browser sind nicht installiert.

Gruß,
Edd

Zitat:

Zitat von Coverflow

5.
Adobe Reader aktualisieren :
Adobe Reader
Oder: Adobe starten-> gehe auf "Hilfe"-> "Nach Update suchen..."

Hab ich gemacht - aber er war bereits auf dem aktuellen Stand.

Zitat:

Zitat von Coverflow

6.
Temp Ordner leeren:
C:\Users\xxxxx\AppData\Local\Temp--> lösche nur den Inhalt der Ordner, nicht die Ordner selbst
oder klicke auf Start-> Suche-> %temp% reinschreiben...

Hab ich gemacht:
Bis auf eine Datei, die vom Explorer verwendet wurde (FXSAPIDebugLogFile.txt), sind mit Ausnahme der System-Dateien (desktop.ini und index.dat) in allen Unterordnern des Ordners "Temp" sowie im Ordner "Temp" selbst alle Dateien gelöscht. Die Unterordner in "Temp" hab ich gemäß deiner Anweisung alle bestehen gelassen.

Gruß,
Edd

Zitat:

Zitat von Coverflow

7.
Öffne CCleaner

• "Cleaner"-->"Analysieren"-->Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"--> "Fehler beheben"-->"Alle beheben"
• Starte dein System neu auf

Erledigt. Meine Güte, was hat der Cleaner viele Fehler in der Registry gefunden! Krass!

...anschließend nach Neustart nun im User-Account eingeloggt und auch dort für Java und alle Browser umgesetzt (hatte ich beim ersten Mal nur im Administrator-Account gemacht):

Zitat:

Zitat von Coverflow

4.
den Java-Cache leeren - wie unter Punkt 7. u. 8. beschrieben *klick
über Systemsteuerung -> Java...

Jetzt gehe ich wieder in den Administrator-Account und mache mit Punkt 8 der Liste weiter.

Dank & Gruß,
Edd

Zitat:

Zitat von Coverflow

8.

• lade Dir SUPERAntiSpyware FREE Edition herunter.
• installiere das Programm und update online.
• starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
• setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
• anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
• auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
• um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
• drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 01/17/2011 at 07:36 PM

Application Version : 4.48.1000

Core Rules Database Version : 6217
Trace Rules Database Version: 4029

Scan type       : Complete Scan
Total Scan Time : 00:18:43

Memory items scanned      : 791
Memory threats detected   : 0
Registry items scanned    : 9533
Registry threats detected : 0
File items scanned        : 24567
File threats detected     : 19

Adware.Tracking Cookie
	cdn.insights.gravity.com [ C:\Users\edDy\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\DXP86CTU ]
	cdn4.specificclick.net [ C:\Users\edDy\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\DXP86CTU ]
	content.video.imedia.ro [ C:\Users\edDy\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\DXP86CTU ]
	de.mediaplanet.streamingbolaget.se [ C:\Users\edDy\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\DXP86CTU ]
	ia.media-imdb.com [ C:\Users\edDy\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\DXP86CTU ]
	imagesrv.adition.com [ C:\Users\edDy\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\DXP86CTU ]
	media.king5.com [ C:\Users\edDy\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\DXP86CTU ]
	media.movieweb.com [ C:\Users\edDy\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\DXP86CTU ]
	media.mtvnservices.com [ C:\Users\edDy\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\DXP86CTU ]
	media.onsugar.com [ C:\Users\edDy\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\DXP86CTU ]
	media.scanscout.com [ C:\Users\edDy\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\DXP86CTU ]
	media.socialvibe.com [ C:\Users\edDy\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\DXP86CTU ]
	media1.break.com [ C:\Users\edDy\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\DXP86CTU ]
	msnbcmedia.msn.com [ C:\Users\edDy\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\DXP86CTU ]
	obamacountdownwidget.com [ C:\Users\edDy\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\DXP86CTU ]
	s0.2mdn.net [ C:\Users\edDy\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\DXP86CTU ]
	secure-us.imrworldwide.com [ C:\Users\edDy\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\DXP86CTU ]
	www.f*ckingmachines.com [ C:\Users\edDy\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\DXP86CTU ]

Trojan.Agent/Gen-BanLoad
	I:\ALL U NEED\NOT BACKUPED\EMAIL PROGRAMS\MOZILLA THUNDERBIRD 3.1\THUNDERBIRD SETUP 3.1.1.EXE
         

Den letzten Tracking Cookie hab ich mit einem * zensiert - ohnehin offensichtlich, aber wo das * ist steht in der log-Datei ein u.

Ob löschen oder in Quarantäne stellen hat das Programm nicht zur Wahl gestellt, sondern mich nur informiert, dass die schädlichen Objekte in Quarantäne gestellt werden.

Aber sollten Cookies nicht gelöscht werden, wenn im Browser nach einer Internetsitzung "delete private data" mit Häkchen bei "delete all cookies" durchgeführt wird? Mache ich nach jeder Sitzung - verstehe daher nicht so ganz, dass überhaupt Cookies im System verbleiben - und dann gleich 18 (!) schädliche...

Auch seltsam: Meine Thunderbird-Installationsdatei wurde als schädliches Objekt gelistet und steht nun in Quarantäne... Wie kommt das? Suchen sich Schädlinge normale bereits vorhandene (vielleicht nicht so oft genutzte) Dateien aus dem System raus und "infizieren" die?

Na wie dem auch sei. Weiter im Programm...

Dank & Gruß,
Edd

Zitat:

Zitat von Coverflow

Außerdem kann man die Autostarteigenschaft auch ausschalten:
→ Windows-Sicherheit: Datenträger-Autorun deaktivieren- bebilderte Anleitung v.Leonidas/3dcenter.org
→ Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten/wintotal.de

Unter Systemsteuerung\Alle Systemsteuerungselemente\Automatische Wiedergabe das Häkchen für "Automatische Wiedergabe für alle Medien und Geräte verwenden" entfernt und anschließend alle einzelnen Medien (Geräte sind keine gelistet) auf "Keine Aktion durchführen" gestellt.

Hingegen nicht finden konnte ich:

Zitat:

Zitat von h**p://w*w.wintotal.de/tipparchiv/index.php?id=548
(Kategorie) = Systemsteuerung - "Hardware und Sound" - "CDs und andere Medien automatisch wiedergeben".

Nicht gefunden, wo das in der Systemsteuerung sein soll - sollte laut verlinktem Text Windows 7 betreffen, aber die Kategorie "Hardware und Sound" gibt es nicht, "Hardware" auch nicht, "Sound" schließlich beinhaltet die Optionen nicht. Reicht obiges Abschalten? Von der Formulierung unter Windows her klingt es als sei das ausreichend...

Also dann suche ich mal nach meinen USB-Sticks und gehe Punkt 9 der Liste an...

Gruß,
Edd

Zitat:

Zitat von Coverflow

Achtung!:
>>Du sollst das Programm nicht installieren, sondern dein System nur online scannen<<
→ Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner/klicke hier
→ um mit dem Vorgang fortzufahren klicke auf "Accept"
→ dann wähle "My computer" aus - Es dauert einige Zeit, bis ein Komplett-Scan durch gelaufen ist, also bitte um Geduld!
Es kann einige Zeit dauern, bis der Scan abgeschlossen ist - je nach Größe der Festplatte eine oder mehrere Stunden - also Geduld...
→ Report angezeigt, klicke auf "Save as" - den bitte kopieren und in deinem Thread hier einfügen
Vor dem Scan Einstellungen im Internet Explorer:
→ "Extras→ Internetoptionen→ Sicherheit":
→ alles auf Standardstufe stellen
→ Active X erlauben - damit die neue Virendefinitionen installiert werden können

Klappt nicht!! Fehlermeldung von Kasperski:
"Kaspersky Online Scanner 7.0 download and operation require Java framework version 1.6 or later."
Dabei ist Java installiert und aktualisiert! Bin dennoch dem von Kaspersky vorgeschlagenen Link zu Java gefolgt, aber da ist schlicht die bereits installierte Java-Version zu finden! Ein Versuch die Datei zu installieren gab mir wie erwartet die Information, das Programm sei bereits installiert, ob ich neu installieren wolle. Hab verneint, denn was bringt's am selben Tag das selbe Programm erneut zu installieren? Was jetzt?? Kaspersky Online Scanner lässt sich nicht starten! "Accept" ist nicht anklickbar, nur "Exit" kann ich anklicken! Was mache ich jetzt??

An Standard-Stufe der Internet-Optionen und Active.X lag es auch nicht - hatte beides vorher eingestellt. Hab sogar bei einem zweiten Versuch in der Standard-Stufe weitere Active.X-Optionen aktiviert trotz Hinweis des Systems dies sei riskant - gleiche Meldung wieder. Hab hinterher wieder auf Standard-Stufe geändert, aber damit ist Active.X ja immer noch aktiviert! Warum findet Kaspersky mein Java nicht? Virenscanner war auch ausgeschaltet und der Rest der Comodo Internet Security hat keine Reaktion gezeigt. Was soll ich tun?

Gruß,
Edd

Das kann natürlich Kaspersky Online nicht ersetzen, aber ich hab, da ich schon alles angeschlossen hatte, die Gelegenheit ergriffen und hab mal Comodo Internet Security alles prüfen lassen. Gefunden hat Comodo nur auf der bislang nicht angeschlossenen zweiten externen Festplatte etwas: 7 Dateien, die ich alle schon seit fast 10 Jahren auf Festplatte habe, und außer LeechGet auch alle schon genutzt habe. Sie wurden auch bei früheren Virenscans (vor mehreren Jahren) zum Teil schonmal angezeigt, aber da ich die Programm-Dateien kannte und fast alle in Benutzung hatte hab ich die damals immer als Fehlmeldung zu den vertrauenswürdigen Dateien hinzugefügt... Eigentlich brauche ich die Dateien aber nicht mehr, waren nur noch ungenutzt bei den Sicherheitskopien belassen - von daher sind sie jetzt erstmal in Quarantäne. Ich kann sie auch ganz löschen, wollte aber nicht eigenmächtig handeln.

Wie dem auch sei, hier ist der Inhalt der Log-Datei (war nicht mehr als ne Auflistung der gefundenen vermeidlichen Schädlinge):

Code: Alles auswählenAufklappen

ATTFilter

UnclassifiedMalware@16861865 M:\\von K\all u need\backuped\Internet\Downloadmanager\GetRight 4.3\Setup.exe
UnclassifiedMalware@9577244 M:\\von K\all u need\backuped\security-tools\Trojanerkiller\TFAK5.zip|tfak.exe
Packed.Win32.MUPX.Gen@129019204 M:\\von K\all u need\not backuped\download managers\LeechGet 2004\LeechGet.exe|{app}\LeechGet.exe
Packed.Win32.MUPX.Gen@129019204 M:\\von K\all u need\not backuped\download managers\LeechGet 2004\LeechGet.exe|{app}\Evolution.exe
Packed.Win32.MUPX.Gen@129019204 M:\\von K\all u need\not backuped\download managers\LeechGet 2004\LeechGet.exe|{app}\LGOptions.exe
Heur.Suspicious@21637555 M:\\von K\all u need\not backuped\fixes von 'MS-Service-CD' - Computer Bild 8-2004\Internet Explorer 6 Service Pack 1\Ie_6_sp1\ie6setup.exe|Unsfx|ie6wzd.exe
Heur.Suspicious@21637555 M:\\von K\CDTEMP\Windows neu aufsetzen & konfigurieren\fixes von 'MS-Service-CD' - Computer Bild 8-2004\Internet Explorer 6 Service Pack 1\Ie_6_sp1\ie6setup.exe|Unsfx|ie6wzd.exe
         

Werde jetzt nochmal HijackThis durchlaufen lassen und posten - schaden kann es ja nicht. Auch wenn ich es am Ende noch ein weiteres Mal durchlaufen lassen muss. Ich möchte einfach den aktuellen Zwischenstand dokumentieren, denn morgen bin ich ab ca. 14:30 Uhr zu Hause und benötige meinen Rechner im Kreditkarten-nutzbaren Zustand ab 17:30 Uhr. Hab Sorge, dass das nicht mehr hinhauen wird. Aber was ich machen kann mache ich - ist ja nicht tragisch wenn es sich als umsonst rausstellt.

Dank & Gruß,
Edd

So, hier das Ergebnis des soeben durchgeführten HijackThis-Scans (die Log-Datei des vorangegangenen Scans hatte ich natürlich vorher umbenannt, damit sie nicht überschrieben werden konnte):

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 23:14:38, on 17.01.2011
Platform: Windows 7  (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16700)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskhost.exe
C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe
C:\Program Files\CyberLink\Shared files\brs.exe
C:\Program Files\COMODO\COMODO Internet Security\cfp.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Sony\Reader\Data\bin\launcher\Reader Library Launcher.exe
C:\Program Files\Microsoft Xbox 360 Accessories\XBoxStat.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\edMin\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.medion.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Windows Live ID-Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MIF5BA~1\Office14\URLREDIR.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [IAStorIcon] C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [CLMLServer] "C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe"
O4 - HKLM\..\Run: [BDRegion] C:\Program Files\Cyberlink\Shared files\brs.exe
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\Run: [AdobeAAMUpdater-1.0] "C:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe"
O4 - HKLM\..\Run: [SwitchBoard] C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O4 - HKLM\..\Run: [AdobeCS5ServiceManager] "C:\Program Files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Reader Library Launcher] C:\Program Files\Sony\Reader\Data\bin\launcher\Reader Library Launcher.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [XboxStat] "C:\Program Files\Microsoft Xbox 360 Accessories\XboxStat.exe" silentrun
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - Startup: Logitech . Produktregistrierung.lnk = C:\Program Files\Common Files\Logishrd\eReg\SetPoint\eReg.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: An OneNote s&enden - res://C:\PROGRA~1\MIF5BA~1\Office14\ONBttnIE.dll/105
O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - res://C:\PROGRA~1\MIF5BA~1\Office14\EXCEL.EXE/3000
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-31/4 (file missing)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-31/4 (file missing)
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-31/4 (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-31/4 (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{11323C9E-D4B8-4A8C-93B4-BB9672CEBF4C}: NameServer = 213.191.74.18 62.109.123.196
O17 - HKLM\System\CS1\Services\Tcpip\..\{11323C9E-D4B8-4A8C-93B4-BB9672CEBF4C}: NameServer = 213.191.74.18 62.109.123.196
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O20 - AppInit_DLLs: C:\Windows\system32\guard32.dll
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: Intel(R) Rapid Storage Technology (IAStorDataMgrSvc) - Intel Corporation - C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: Sony SCSI Helper Service - Sony Corporation - C:\Program Files\Common Files\Sony Shared\Fsk\SonySCSIHelperService.exe
O23 - Service: SwitchBoard - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe

--
End of file - 8993 bytes
         

Mehr kann ich jetzt so weit ich das sehe nicht mehr machen ehe ich ne Antwort habe. Kaspersky-Scan funktionierte ja leider nicht.

Danke für die Hilfe!

Gruß,
Edd

Hab nun doch noch einen Versuch mit Kaspersky gestartet, einfach mit nem anderen Browser (warum auch immer ich nicht gleich auf diesen Gedanken gekommen bin, muss die Müdigkeit sein ) - immerhin konnte ich nun mit "Accept" den Download-Vorgang starten, aber dann war auch wieder Schluss. Ich bekam folgende Fehlermeldung:

Code: Alles auswählenAufklappen

ATTFilter

Update has failed The program could not be started. 
Please close the window of Kaspersky Online Scanner 7.0 and 
start the program again from the web site of Kaspersky Lab.

Successful updating of Kaspersky Online Scanner 7.0 and scanning 
of your computer requires uninterrupted Internet connection. Please 
make sure that the Internet connection is established. 
[ERROR: License has expired]
         

Na toll, was für eine Lizenz denn überhaupt?? Internetverbindung war nicht unterbrochen (und überhaupt: wie gewährleiste ich sowas über mehrere Stunden ohne am Rechner zu sitzen?). Mich durch die Kaspersky-Webseite durchklicken und da dann auf diesem Wege das Programm anders als per Direktlink starten soll ich? Verstehe ich das richtig? Bin mir nicht sicher, dass ich da dann überhaupt das richtige Programm an der richtigen Stelle starte... Verstehe auch nicht, in wie weit das nen Unterschied machen soll zum direkt verlinkten Programm...

Das auf der Seite geführte Protokoll gab folgende Information her:

Code: Alles auswählenAufklappen

ATTFilter

The program is starting. Please wait...
Updates source is selected: hxxp://www.kaspersky.com
File download: packages/kos-extras.jar
The program is started.

Updating the anti-virus database. Please wait...

Update has failed The program could not be started. 
Please close the window of Kaspersky Online Scanner 7.0 
and start the program again from the web site of Kaspersky 
Lab. Successful updating of Kaspersky Online Scanner 7.0 
and scanning of your computer requires uninterrupted 
Internet connection. Please make sure that the Internet 
connection is established. [ERROR: License has expired]
         

Der erste Versuch war mit Firefox. Hab's dann nochmal mit Internet Explorer versucht, den ich sonst meide, aber ich erhielt die gleiche Fehlermeldung - diese hab ich dann (wie auch das obige Protokoll) kopiert und hier eingefügt, beim Firefox-Versuch hab ich da nicht drann gedacht bzw. bei der Fehlermeldung wohl CTRL+C nicht richtig betätigt, war jedenfalls nichts in der Zwischenablage...

Ich bin mit meinem Latein am Ende - komme hier nicht weiter. Was soll ich tun?

Danke für die Hilfe,
Edd

So, bin schon was eher daheim als gedacht...

Für etwaige Ausweichmöglichkeit falls mein Rechner bis 17:30 noch nicht fit ist, womit ich inzwischen rechne dank meiner Probleme mit Kaspersky, ist gesorgt.

Jetzt werd ich hier regelmäßig nachschauen, ob ich neue Hinweise oder Anweisungen bekommen habe.

Dank & Gruß,
Edd

Zitat:

Zitat von Coverflow

berichte in welchem Zustand dein System sich befindet? Ob noch Probleme auftreten? - wenn ja, welche?

Nach einem Tipp eines Kollegen von mir hab ich unter *Rechtsklick auf Festplatte* > Eigenschaften > Tools > Fehlerüberprüfung > *Klick* "Jetzt prüfen..." alle Festplatten überprüft und jeweils vorab beide Häkchen für die Korrekturen gesetzt. Ergebnis war erwartungsgemäß: Die Probleme bereitende externe Festplatte wies Fehler auf, die auf Grund der gesetzten Häkchen direkt korrigiert werden sollten, was erfolgreich geschah. Die beiden Partitionen der internen Festplatte wie auch die zweite externe Datenplatte waren allesamt erwartungsgemäß fehlerfrei.
Seit der Fehlerüberprüfung mit Korrektur laufen alle Festplatten wieder problemlos: Sie werden direkt geladen, verursachen keine Programm- oder Systemabstürze mehr und beeinträchtigen auch sonst die Systemleistung nicht. Problem gelöst.

Weitere Probleme sind nicht mehr aufgetreten. Aber die Kontrolle, ob das System noch irgendwelche Malware hat oder nicht, hatten wir ja noch nicht abgeschlossen:

Zitat:

Zitat von Coverflow

9.
Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware ("Worm.Win32.Autorun") verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen.
→ Also alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird.
Außerdem kann man die Autostarteigenschaft auch ausschalten:
→ Windows-Sicherheit: Datenträger-Autorun deaktivieren- bebilderte Anleitung v.Leonidas/3dcenter.org
→ Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten/wintotal.de
→ Diese Silly -Beschreibung stützt die Annahme, dass er über einen USB-Stick kam. Die Ursache ist durch formatieren des Sticks aus der Welt geschafft, Du solltest darauf achten, dass dort keine Datei autorun.inf wieder auftaucht und etwas wählerisch sein, wo Du deinen Stick reinsteckst.
Achtung!:
>>Du sollst das Programm nicht installieren, sondern dein System nur online scannen<<
→ Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner/klicke hier
→ um mit dem Vorgang fortzufahren klicke auf "Accept"
→ dann wähle "My computer" aus - Es dauert einige Zeit, bis ein Komplett-Scan durch gelaufen ist, also bitte um Geduld!
Es kann einige Zeit dauern, bis der Scan abgeschlossen ist - je nach Größe der Festplatte eine oder mehrere Stunden - also Geduld...
→ Report angezeigt, klicke auf "Save as" - den bitte kopieren und in deinem Thread hier einfügen
Vor dem Scan Einstellungen im Internet Explorer:
→ "Extras→ Internetoptionen→ Sicherheit":
→ alles auf Standardstufe stellen
→ Active X erlauben - damit die neue Virendefinitionen installiert werden können

Dies hab ich ja letzte Woche nicht durchführen können. Nochmal versuchen? Externe Festplatten funktionieren ja beide wieder, aber das letzte Woche aufgetretene Problem "Lizenz abgelaufen" ("[ERROR: License has expired]") hing damit denke ich nicht zusammen... Oder sehe ich das falsch? Kann ich den Online-Scanner überhaupt nutzen ohne Kasperski Antivirus zuvor gekauft zu haben?

Zitat:

Zitat von Coverflow

poste erneut - nach der vorgenommenen Reinigungsaktion:
TrendMicro™ HijackThis™ -Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!

Ebenfalls noch nicht geschehen...

Zitat:

Zitat von Edd

Also nicht die Protokollierung der einzelnen Verzeichnisse, sondern hier nur die Vorweg angegebenen Daten und die Funde am Ende:

Code: Alles auswählenAufklappen

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 22. Januar 2011  17:06

Es wird nach 2413583 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7
Windowsversion : (plain)  [6.1.7600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : EVIL-ED

Versionsinformationen:
BUILD.DAT      : 10.0.0.609     31824 Bytes  13.12.2010 09:29:00
AVSCAN.EXE     : 10.0.3.5      435368 Bytes  13.12.2010 07:39:22
AVSCAN.DLL     : 10.0.3.0       56168 Bytes  13.12.2010 07:39:38
LUKE.DLL       : 10.0.3.2      104296 Bytes  13.12.2010 07:39:28
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 10:59:48
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 08:05:36
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 14:52:49
VBASE002.VDF   : 7.11.0.1        2048 Bytes  14.12.2010 14:52:49
VBASE003.VDF   : 7.11.0.2        2048 Bytes  14.12.2010 14:52:49
VBASE004.VDF   : 7.11.0.3        2048 Bytes  14.12.2010 14:52:49
VBASE005.VDF   : 7.11.0.4        2048 Bytes  14.12.2010 14:52:49
VBASE006.VDF   : 7.11.0.5        2048 Bytes  14.12.2010 14:52:49
VBASE007.VDF   : 7.11.0.6        2048 Bytes  14.12.2010 14:52:50
VBASE008.VDF   : 7.11.0.7        2048 Bytes  14.12.2010 14:52:50
VBASE009.VDF   : 7.11.0.8        2048 Bytes  14.12.2010 14:52:50
VBASE010.VDF   : 7.11.0.9        2048 Bytes  14.12.2010 14:52:50
VBASE011.VDF   : 7.11.0.10       2048 Bytes  14.12.2010 14:52:50
VBASE012.VDF   : 7.11.0.11       2048 Bytes  14.12.2010 14:52:50
VBASE013.VDF   : 7.11.0.52     128000 Bytes  16.12.2010 14:52:50
VBASE014.VDF   : 7.11.0.91     226816 Bytes  20.12.2010 14:52:50
VBASE015.VDF   : 7.11.0.122    136192 Bytes  21.12.2010 14:52:51
VBASE016.VDF   : 7.11.0.156    122880 Bytes  24.12.2010 14:52:51
VBASE017.VDF   : 7.11.0.185    146944 Bytes  27.12.2010 14:52:51
VBASE018.VDF   : 7.11.0.228    132608 Bytes  30.12.2010 14:52:51
VBASE019.VDF   : 7.11.1.5      148480 Bytes  03.01.2011 14:52:51
VBASE020.VDF   : 7.11.1.37     156672 Bytes  07.01.2011 14:52:52
VBASE021.VDF   : 7.11.1.65     140800 Bytes  10.01.2011 14:52:52
VBASE022.VDF   : 7.11.1.87     225280 Bytes  11.01.2011 14:52:52
VBASE023.VDF   : 7.11.1.124    125440 Bytes  14.01.2011 14:52:52
VBASE024.VDF   : 7.11.1.155    132096 Bytes  17.01.2011 14:52:53
VBASE025.VDF   : 7.11.1.189    451072 Bytes  20.01.2011 14:52:53
VBASE026.VDF   : 7.11.1.190      2048 Bytes  20.01.2011 14:52:53
VBASE027.VDF   : 7.11.1.191      2048 Bytes  20.01.2011 14:52:53
VBASE028.VDF   : 7.11.1.192      2048 Bytes  20.01.2011 14:52:53
VBASE029.VDF   : 7.11.1.193      2048 Bytes  20.01.2011 14:52:53
VBASE030.VDF   : 7.11.1.194      2048 Bytes  20.01.2011 14:52:53
VBASE031.VDF   : 7.11.1.216     59392 Bytes  21.01.2011 14:52:53
Engineversion  : 8.2.4.150 
AEVDF.DLL      : 8.1.2.1       106868 Bytes  13.12.2010 07:39:18
AESCRIPT.DLL   : 8.1.3.52     1282426 Bytes  22.01.2011 14:52:56
AESCN.DLL      : 8.1.7.2       127349 Bytes  13.12.2010 07:39:18
AESBX.DLL      : 8.1.3.2       254324 Bytes  13.12.2010 07:39:18
AERDL.DLL      : 8.1.9.2       635252 Bytes  13.12.2010 07:39:18
AEPACK.DLL     : 8.2.4.8       512374 Bytes  22.01.2011 14:52:56
AEOFFICE.DLL   : 8.1.1.15      205178 Bytes  22.01.2011 14:52:56
AEHEUR.DLL     : 8.1.2.68     3178870 Bytes  22.01.2011 14:52:55
AEHELP.DLL     : 8.1.16.0      246136 Bytes  13.12.2010 07:39:12
AEGEN.DLL      : 8.1.5.2       397683 Bytes  22.01.2011 14:52:54
AEEMU.DLL      : 8.1.3.0       393589 Bytes  13.12.2010 07:39:12
AECORE.DLL     : 8.1.19.2      196983 Bytes  22.01.2011 14:52:54
AEBB.DLL       : 8.1.1.0        53618 Bytes  13.12.2010 07:39:12
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  13.12.2010 07:39:22
AVPREF.DLL     : 10.0.0.0       44904 Bytes  13.12.2010 07:39:20
AVREP.DLL      : 10.0.0.8       62209 Bytes  17.06.2010 13:26:54
AVREG.DLL      : 10.0.3.2       53096 Bytes  13.12.2010 07:39:20
AVSCPLR.DLL    : 10.0.3.2       84328 Bytes  13.12.2010 07:39:22
AVARKT.DLL     : 10.0.22.6     231784 Bytes  13.12.2010 07:39:18
AVEVTLOG.DLL   : 10.0.0.8      203112 Bytes  13.12.2010 07:39:20
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  17.06.2010 13:27:04
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  13.12.2010 07:39:22
NETNT.DLL      : 10.0.0.0       11624 Bytes  17.06.2010 13:27:02
RCIMAGE.DLL    : 10.0.0.26    2550120 Bytes  28.01.2010 12:10:10
RCTEXT.DLL     : 10.0.58.0      98152 Bytes  13.12.2010 07:39:40

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: mittel
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, L:, M:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Samstag, 22. Januar 2011  17:06

(...)

(...)

(...)

Beginne mit der Desinfektion:
M:\von K\stuff\games\Spackspiele\
M:\von K\stuff\games\Spackspiele\Stress Reducers.exe
    [FUND]      Enthält Erkennungsmuster des Scherzprogrammes JOKE/Stressreducer
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4920f226.qua' verschoben!
M:\von K\all u need\not backuped\codecs & filters\¡ ältere Versionen !\DivX 5.2 (für Win 2000 & XP)\
M:\von K\all u need\not backuped\codecs & filters\¡ ältere Versionen !\DivX 5.2 (für Win 2000 & XP)\DivX52XP2K.exe
    [FUND]      Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/Asprotect). Bitte verifizieren Sie den Ursprung dieser Datei.
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '51abdd8e.qua' verschoben!
M:\von K\all u need\backuped\Internet\FTP\
M:\von K\all u need\backuped\Internet\FTP\susetup.exe
    [FUND]      Enthält Erkennungsmuster der Anwendung APPL/Serv-U.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '03eb876a.qua' verschoben!
L:\Evil-Ed\Backup Set 2010-10-11 031208\Backup Files 2010-10-11 031208\
L:\Evil-Ed\Backup Set 2010-10-11 031208\Backup Files 2010-10-11 031208\Backup files 2.zip
    [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/ClassLoader.BO
    [WARNUNG]   Die Datei wurde ignoriert.
D:\Spiele-Emulatoren\gepackte Sicherheitskopien\
D:\Spiele-Emulatoren\gepackte Sicherheitskopien\Gens32_Surreal_v1_86_HD.rar
    [FUND]      Enthält Erkennungsmuster des SPR/Patcher.BS-Programmes
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '65dbc858.qua' verschoben!
D:\Spiele-Emulatoren\Gens32_Surreal_v1_86_HD\Tools\AT32 Hack\MoonWalker\
D:\Spiele-Emulatoren\Gens32_Surreal_v1_86_HD\Tools\AT32 Hack\MoonWalker\AT32_MoonWalker.zip
    [FUND]      Enthält Erkennungsmuster des SPR/Patcher.BS-Programmes
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '2098e575.qua' verschoben!


Ende des Suchlaufs: Samstag, 22. Januar 2011  23:11
Benötigte Zeit:  5:30:36 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

 288615 Verzeichnisse wurden überprüft
 4392685 Dateien wurden geprüft
     32 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      5 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
    100 Dateien konnten nicht durchsucht werden
 4392553 Dateien ohne Befall
  33633 Archive wurden durchsucht
   2011 Warnungen
   1168 Hinweise
 458341 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
         

Zu den Virenfunden:
(0) 32 Stück ist Quatsch in so fern, dass die selbe Datei im selben Archiv mit selbem Pfad ettliche Male gezählt wurde - warum auch immer. Finde ich irreführend, denn ich war reichlich irritiert 32 Virenfunde als Ziffer zu sehen und dann nur bei 6 Funden gefragt zu werden, was damit passieren soll. Nun, es waren nur die 6 - ich bin das vollständige Protokoll durchgegangen und habe die Funde abgeglichen.
(1) Stress Reducers.exe ist in der Tat ein Spaßprogramm, bzw. genauer ein Spaßspiel, birgt aber kein Risiko meiner Ansicht nach - ich hab es ich glaub bereits seit Ende der 90er Jahre, damals auch ein paar Mal gespielt. Letztlich aber auch unnötig, von daher kann es wegen mir weg.
(2) Die DivX-Datei, naja installationsdatei unter Windows 2000, meinem früheren Betriebssystem, halt... "mit einem ungewöhnlichen Laufzeitpacker komprimiert" - ok... Risiko? Die Datei hat mir noch nie ein Virenscanner aufgezeigt und ich hab sie schon lange. Sei's drum. Brauchen tue ich sie nicht mehr, von daher...
(3) susetup.exe - FTP-Programm, früher unter Windows 2000 genutzt, brauche ich eh nicht mehr, kann weg. Aber Risiko? Fraglich...
(4) Java-Virus JAVA/ClassLoader.BO - ohne zu wissen auf welche Datei innerhalb des Systemabbilds es sich bezieht kann ich das schwer beurteilen, aber September 2010?? Und danach nicht mehr?? Zudem war als Begründung im Anschluss an den Scan bei der Rückfrage, wie ich mit den gefundenen Objekten verfahren möchte, die vorgeschlagene Handlung die Datei zu ignorieren, angegeben, es handle sich um ein eMail-Postfach und um die eMails nicht zu beeinträchtigen sei der Virus zu ignorieren. Nicht etwa um eine anhängende Datei, sondern um ein Postfach. Seltsame Sache.
Hier der Protokoll-Auszug:

Code: Alles auswählenAufklappen

ATTFilter

L:\Evil-Ed\Backup Set 2010-10-11 031208\Backup Files 2010-10-11 031208\Backup files 2.zip
[0] Archivtyp: ZIP
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.BH
  --> C/Users/edDy/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/63/3c290e7f-2c23f1fb
    [1] Archivtyp: ZIP
--> dev/s/AdgredY.class
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.BH
  [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
--> dev/s/DyesyasZ.class
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.GS
  [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
--> dev/s/LoaderX.class
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/ClassLoader.BO
  [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
    [WARNUNG]   Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht.
         

(5) Gens32_Surreal_v1_86_HD.rar: funktionsfähiger Spiele-Emulator. Vor kurzem (Januar 2011) von nem Kumpel von mir gemailt bekommen, der sagte, es sei aus vertrauenswürdiger Quelle. Auch bereits genutzt und lief problemlos. Die rar-Datei beinhaltet allerdings die sechste gefundene Bedrohung und wurde wohl wegen dieser mitaufgezählt:
(6) AT32_MoonWalker.zip: ReadMe.txt zu der zip-Datei besagt, sie sei ein Patch - wohl für den Emulator, macht aber inhaltlich nicht ar zu viel Sinn, denn es ist von Michael Jackson Songs die Rede, die durch das Patch eingebunden werden sollen - wozu auch immer, seine Musik hat mit den Spielen nichts zu tun. Klingt in der Tat nicht vertrauenswürdig, ich hab das Patch aber bislang weder im Verzeichnis bemerkt noch ausgeführt. Vom Emulator scheint es auch nicht ausgeführt zu werden, oder jedenfalls nicht benötigt, denn er funktoiniert auch nachdem ihm die Datei geraubt wurde noch, hab's eben kurz getestet. Also keine Ahnung was es mit dem Patch auf sich hat, aber es ist inhaltlich fragwürdig und somit gewiss nicht vertrauenswürdig...

Alle Funde mit Ausnahme des ignorierten WHS-Inhaltes sind zur Zeit in Quarantäne. Soll ich sie löschen?

Auch noch offen: Hab noch nichts gelöscht, da ich nicht eigenmächtig handeln wollte, sondern erst nach deiner Bestätigung löschen wollte... Soll ich die in Avira Antivir-Quarantäne befindlichen Funde löschen?


...wie soll ich nun vorgehen? Keine aktuell bemerkten Probleme mehr bedeutet ja noch nicht, dass das System nun Malware-frei und vertrauenswürdig ist...

Danke für deine Hilfe.

Gruß,
Edd