Zitat:

Zitat von Edd

Sprich wenn ich die SWH erfolgreich durchführe ist alles andere darunter nicht mehr nötig, richtig?

Nein, eben weil die SWH nur eine Notlösung ist und kann man sich nicht sicher sein , ob das Problem damit beseitigt wurde. Gilt es besonders bei Backdoor, Rootkit und Master Boot Record - Befall), einen Systemscheck ist unvermeidbar bzw empfohlen

Systemreinigung und Prüfung:
1.
Funde aus der Quarantäne von Comodo bitte löschen!

2.
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked" klicken→ PC neu aufstarten):
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen

Code: Alles auswählenAufklappen

ATTFilter

O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
         

3.
Windows und die installierten Programme auf den neuesten Stand zu halten,sind Garanten für eine erhöhte Sicherheit!
Java aktualisieren `Start→ Systemsteuereung→ Java→ Aktualisierung...(Update 23 schon fällig!)

4.
den Java-Cache leeren - wie unter Punkt 7. u. 8. beschrieben *klick
über Systemsteuerung -> Java...

5.
Adobe Reader aktualisieren :
Adobe Reader
Oder: Adobe starten-> gehe auf "Hilfe"-> "Nach Update suchen..."

6.

Zitat:

**Vor dem Löschen temporärer Dateien sollte man unbedingt alle Anwendungen beenden!
**lösche nur den Inhalt der Ordner, nicht die Ordner selbst!
**Der Temp Ordner,ist für temporäre Dateien,also der Inhalt kann man ohne weiteres löschen.- Dateien, die noch in Benutzung sind,nicht löschbar.

Temp Ordner leeren:
C:\Users\xxxxx\AppData\Local\Temp--> lösche nur den Inhalt der Ordner, nicht die Ordner selbst
oder klicke auf Start-> Suche-> %temp% reinschreiben...

7.
Öffne CCleaner

• "Cleaner"-->"Analysieren"-->Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"--> "Fehler beheben"-->"Alle beheben"
• Starte dein System neu auf

8.

• lade Dir SUPERAntiSpyware FREE Edition herunter.
• installiere das Programm und update online.
• starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
• setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
• anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
• auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
• um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
• drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

9.
Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware ("Worm.Win32.Autorun") verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen.
→ Also alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird.
Außerdem kann man die Autostarteigenschaft auch ausschalten:
→ Windows-Sicherheit: Datenträger-Autorun deaktivieren- bebilderte Anleitung v.Leonidas/3dcenter.org
→ Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten/wintotal.de
→ Diese Silly -Beschreibung stützt die Annahme, dass er über einen USB-Stick kam. Die Ursache ist durch formatieren des Sticks aus der Welt geschafft, Du solltest darauf achten, dass dort keine Datei autorun.inf wieder auftaucht und etwas wählerisch sein, wo Du deinen Stick reinsteckst.
Achtung!:
>>Du sollst das Programm nicht installieren, sondern dein System nur online scannen<<
→ Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner/klicke hier
→ um mit dem Vorgang fortzufahren klicke auf "Accept"
→ dann wähle "My computer" aus - Es dauert einige Zeit, bis ein Komplett-Scan durch gelaufen ist, also bitte um Geduld!
Es kann einige Zeit dauern, bis der Scan abgeschlossen ist - je nach Größe der Festplatte eine oder mehrere Stunden - also Geduld...
→ Report angezeigt, klicke auf "Save as" - den bitte kopieren und in deinem Thread hier einfügen
Vor dem Scan Einstellungen im Internet Explorer:
→ "Extras→ Internetoptionen→ Sicherheit":
→ alles auf Standardstufe stellen
→ Active X erlauben - damit die neue Virendefinitionen installiert werden können

10.
poste erneut - nach der vorgenommenen Reinigungsaktion:
TrendMicro™ HijackThis™ -Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!

** Wie ist den aktuellen Zustand des Rechners? probleme, Auffälligkeiten, Meldung v. AV-Scanner oder Firewall?

Zitat:

Zitat von Coverflow

Nein, eben weil die SWH nur eine Notlösung ist und kann man sich nicht sicher sein , ob das Problem damit beseitigt wurde. Gilt es besonders bei Backdoor, Rootkit und Master Boot Record - Befall), einen Systemscheck ist unvermeidbar bzw empfohlen

Hatte ich vermutet. Aber danke für die Antwort.

Zitat:

Zitat von Coverflow

Systemreinigung und Prüfung:
1.
Funde aus der Quarantäne von Comodo bitte löschen!

Code: Alles auswählenAufklappen

ATTFilter

Infizierte Dateien:
c:\program files\comodo\comodo internet security\quarantine\systempack107_2121.exe (Trojan.FakeAlert) -> No action taken.
c:\program files\comodo\comodo internet security\quarantine\tmp0002d6be (Adware.TimeSink) -> No action taken.
c:\program files\comodo\comodo internet security\quarantine\tmp0002da0b (Adware.TimeSink) -> No action taken.
         

Habe die drei Dateien gelöscht - und noch weitere Objekte, die Comodo seit Monaten in Quarantäne hatte: gefährlich oder nicht, so lange wie sie in Quarantäne waren ist es offensichtlich, dass sie nicht benötigt wurden, und es waren eh alles tmp*-Dateien (fingen alle im Dateinamen mit "tmp" an und "Adware.TimeSink" stand bei Commodo hinter jeder einzelnen dahinter). Hab die Comodo Quarantäne in Comodo geleert (alle Dateien darin gelöscht) - vorher die drei besagten einzeln rausgesucht und gelöscht, um sicher zu sein, dass sie weg sind.

Werde jetzt die Liste Schritt für Schritt durcharbeiten. Danke für deine Hilfe, Coverflow!

Ich benötige den Rechner am morgigen Dienstagabend ab 17:30 Uhr für einen gewerblichen Termin (bin nebenberuflich Kleinunternehmer) - meinst du bis dahin ist mein Computer wieder voll einsatzfähig? Werde meine Kreditkarte online in Anspruch nehmen müssen morgen Abend.

So oder so, ich find's toll, dass du mir so hilfst! Weiß ich zu schätzen! Danke dir!

Gruß,
Edd

Zitat:

Zitat von Coverflow

2.
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked" klicken→ PC neu aufstarten):
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen

Code: Alles auswählenAufklappen

ATTFilter

O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
         

Ist geschehen.

Gruß,
Edd

Zitat:

Zitat von Coverflow

3.
Windows und die installierten Programme auf den neuesten Stand zu halten,sind Garanten für eine erhöhte Sicherheit!
Java aktualisieren `Start→ Systemsteuereung→ Java→ Aktualisierung...(Update 23 schon fällig!)

Java ist nun aktualisiert. Bekam die Aufforderung Java zu installieren als ich deinen Anweisungen folgte - hatte gedacht Java sei vorinstalliert gewesen...? Oder installiert das System immer gleich Java komplett neu wenn es "updatet"? Bin der Anweisung jedenfalls gefolgt und bei erneutem Suchen nach Aktualisierungen kam die Meldung, Java sei auf dem aktuellsten Stand.

Eine Frage hätte ich aber:
Ich hab dann "Automatisch nach Aktualisierungen suchen" vom Programmstandard 1x pro Monat auf jeden Tag ändern wollen, aber jedes Mal wenn ich in das entsprechende Menü des Java Control Panels gehe zeigt er mir wieder den Programm-Standard 1x pro Monat am Monatszweiten an. Warum kann ich das nicht ändern? Manuell nach Updates suchen vergesse ich zu leicht... Hast du da nen Tipp für mich? Mache ich irgendwas falsch?

Zitat:

Zitat von Coverflow

4.
den Java-Cache leeren - wie unter Punkt 7. u. 8. beschrieben *klick
über Systemsteuerung -> Java...

Mache ich bei Opera, meinem Hauptbrowser, nach jeder Verwendung des Programms bevor ich es schließe.
Wie dem auch sei:
Java: Cache gelehrt.
Firefox und Internet Explorer: Cache gelehrt.
Opera: mache ich nach diesem Posting - nicht vorher, weil mir sonst das Tab geschlossen wird.
Andere Browser sind nicht installiert.

Gruß,
Edd

Zitat:

Zitat von Coverflow

5.
Adobe Reader aktualisieren :
Adobe Reader
Oder: Adobe starten-> gehe auf "Hilfe"-> "Nach Update suchen..."

Hab ich gemacht - aber er war bereits auf dem aktuellen Stand.

Zitat:

Zitat von Coverflow

6.
Temp Ordner leeren:
C:\Users\xxxxx\AppData\Local\Temp--> lösche nur den Inhalt der Ordner, nicht die Ordner selbst
oder klicke auf Start-> Suche-> %temp% reinschreiben...

Hab ich gemacht:
Bis auf eine Datei, die vom Explorer verwendet wurde (FXSAPIDebugLogFile.txt), sind mit Ausnahme der System-Dateien (desktop.ini und index.dat) in allen Unterordnern des Ordners "Temp" sowie im Ordner "Temp" selbst alle Dateien gelöscht. Die Unterordner in "Temp" hab ich gemäß deiner Anweisung alle bestehen gelassen.

Gruß,
Edd

Zitat:

Zitat von Coverflow

7.
Öffne CCleaner

• "Cleaner"-->"Analysieren"-->Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"--> "Fehler beheben"-->"Alle beheben"
• Starte dein System neu auf

Erledigt. Meine Güte, was hat der Cleaner viele Fehler in der Registry gefunden! Krass!

...anschließend nach Neustart nun im User-Account eingeloggt und auch dort für Java und alle Browser umgesetzt (hatte ich beim ersten Mal nur im Administrator-Account gemacht):

Zitat:

Zitat von Coverflow

4.
den Java-Cache leeren - wie unter Punkt 7. u. 8. beschrieben *klick
über Systemsteuerung -> Java...

Jetzt gehe ich wieder in den Administrator-Account und mache mit Punkt 8 der Liste weiter.

Dank & Gruß,
Edd

Zitat:

Zitat von Coverflow

8.

• lade Dir SUPERAntiSpyware FREE Edition herunter.
• installiere das Programm und update online.
• starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
• setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
• anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
• auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
• um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
• drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 01/17/2011 at 07:36 PM

Application Version : 4.48.1000

Core Rules Database Version : 6217
Trace Rules Database Version: 4029

Scan type       : Complete Scan
Total Scan Time : 00:18:43

Memory items scanned      : 791
Memory threats detected   : 0
Registry items scanned    : 9533
Registry threats detected : 0
File items scanned        : 24567
File threats detected     : 19

Adware.Tracking Cookie
	cdn.insights.gravity.com [ C:\Users\edDy\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\DXP86CTU ]
	cdn4.specificclick.net [ C:\Users\edDy\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\DXP86CTU ]
	content.video.imedia.ro [ C:\Users\edDy\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\DXP86CTU ]
	de.mediaplanet.streamingbolaget.se [ C:\Users\edDy\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\DXP86CTU ]
	ia.media-imdb.com [ C:\Users\edDy\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\DXP86CTU ]
	imagesrv.adition.com [ C:\Users\edDy\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\DXP86CTU ]
	media.king5.com [ C:\Users\edDy\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\DXP86CTU ]
	media.movieweb.com [ C:\Users\edDy\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\DXP86CTU ]
	media.mtvnservices.com [ C:\Users\edDy\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\DXP86CTU ]
	media.onsugar.com [ C:\Users\edDy\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\DXP86CTU ]
	media.scanscout.com [ C:\Users\edDy\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\DXP86CTU ]
	media.socialvibe.com [ C:\Users\edDy\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\DXP86CTU ]
	media1.break.com [ C:\Users\edDy\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\DXP86CTU ]
	msnbcmedia.msn.com [ C:\Users\edDy\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\DXP86CTU ]
	obamacountdownwidget.com [ C:\Users\edDy\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\DXP86CTU ]
	s0.2mdn.net [ C:\Users\edDy\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\DXP86CTU ]
	secure-us.imrworldwide.com [ C:\Users\edDy\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\DXP86CTU ]
	www.f*ckingmachines.com [ C:\Users\edDy\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\DXP86CTU ]

Trojan.Agent/Gen-BanLoad
	I:\ALL U NEED\NOT BACKUPED\EMAIL PROGRAMS\MOZILLA THUNDERBIRD 3.1\THUNDERBIRD SETUP 3.1.1.EXE
         

Den letzten Tracking Cookie hab ich mit einem * zensiert - ohnehin offensichtlich, aber wo das * ist steht in der log-Datei ein u.

Ob löschen oder in Quarantäne stellen hat das Programm nicht zur Wahl gestellt, sondern mich nur informiert, dass die schädlichen Objekte in Quarantäne gestellt werden.

Aber sollten Cookies nicht gelöscht werden, wenn im Browser nach einer Internetsitzung "delete private data" mit Häkchen bei "delete all cookies" durchgeführt wird? Mache ich nach jeder Sitzung - verstehe daher nicht so ganz, dass überhaupt Cookies im System verbleiben - und dann gleich 18 (!) schädliche...

Auch seltsam: Meine Thunderbird-Installationsdatei wurde als schädliches Objekt gelistet und steht nun in Quarantäne... Wie kommt das? Suchen sich Schädlinge normale bereits vorhandene (vielleicht nicht so oft genutzte) Dateien aus dem System raus und "infizieren" die?

Na wie dem auch sei. Weiter im Programm...

Dank & Gruß,
Edd

Zitat:

Zitat von Coverflow

Außerdem kann man die Autostarteigenschaft auch ausschalten:
→ Windows-Sicherheit: Datenträger-Autorun deaktivieren- bebilderte Anleitung v.Leonidas/3dcenter.org
→ Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten/wintotal.de

Unter Systemsteuerung\Alle Systemsteuerungselemente\Automatische Wiedergabe das Häkchen für "Automatische Wiedergabe für alle Medien und Geräte verwenden" entfernt und anschließend alle einzelnen Medien (Geräte sind keine gelistet) auf "Keine Aktion durchführen" gestellt.

Hingegen nicht finden konnte ich:

Zitat:

Zitat von h**p://w*w.wintotal.de/tipparchiv/index.php?id=548
(Kategorie) = Systemsteuerung - "Hardware und Sound" - "CDs und andere Medien automatisch wiedergeben".

Nicht gefunden, wo das in der Systemsteuerung sein soll - sollte laut verlinktem Text Windows 7 betreffen, aber die Kategorie "Hardware und Sound" gibt es nicht, "Hardware" auch nicht, "Sound" schließlich beinhaltet die Optionen nicht. Reicht obiges Abschalten? Von der Formulierung unter Windows her klingt es als sei das ausreichend...

Also dann suche ich mal nach meinen USB-Sticks und gehe Punkt 9 der Liste an...

Gruß,
Edd

Zitat:

Zitat von Coverflow

Achtung!:
>>Du sollst das Programm nicht installieren, sondern dein System nur online scannen<<
→ Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner/klicke hier
→ um mit dem Vorgang fortzufahren klicke auf "Accept"
→ dann wähle "My computer" aus - Es dauert einige Zeit, bis ein Komplett-Scan durch gelaufen ist, also bitte um Geduld!
Es kann einige Zeit dauern, bis der Scan abgeschlossen ist - je nach Größe der Festplatte eine oder mehrere Stunden - also Geduld...
→ Report angezeigt, klicke auf "Save as" - den bitte kopieren und in deinem Thread hier einfügen
Vor dem Scan Einstellungen im Internet Explorer:
→ "Extras→ Internetoptionen→ Sicherheit":
→ alles auf Standardstufe stellen
→ Active X erlauben - damit die neue Virendefinitionen installiert werden können

Klappt nicht!! Fehlermeldung von Kasperski:
"Kaspersky Online Scanner 7.0 download and operation require Java framework version 1.6 or later."
Dabei ist Java installiert und aktualisiert! Bin dennoch dem von Kaspersky vorgeschlagenen Link zu Java gefolgt, aber da ist schlicht die bereits installierte Java-Version zu finden! Ein Versuch die Datei zu installieren gab mir wie erwartet die Information, das Programm sei bereits installiert, ob ich neu installieren wolle. Hab verneint, denn was bringt's am selben Tag das selbe Programm erneut zu installieren? Was jetzt?? Kaspersky Online Scanner lässt sich nicht starten! "Accept" ist nicht anklickbar, nur "Exit" kann ich anklicken! Was mache ich jetzt??

An Standard-Stufe der Internet-Optionen und Active.X lag es auch nicht - hatte beides vorher eingestellt. Hab sogar bei einem zweiten Versuch in der Standard-Stufe weitere Active.X-Optionen aktiviert trotz Hinweis des Systems dies sei riskant - gleiche Meldung wieder. Hab hinterher wieder auf Standard-Stufe geändert, aber damit ist Active.X ja immer noch aktiviert! Warum findet Kaspersky mein Java nicht? Virenscanner war auch ausgeschaltet und der Rest der Comodo Internet Security hat keine Reaktion gezeigt. Was soll ich tun?

Gruß,
Edd

Das kann natürlich Kaspersky Online nicht ersetzen, aber ich hab, da ich schon alles angeschlossen hatte, die Gelegenheit ergriffen und hab mal Comodo Internet Security alles prüfen lassen. Gefunden hat Comodo nur auf der bislang nicht angeschlossenen zweiten externen Festplatte etwas: 7 Dateien, die ich alle schon seit fast 10 Jahren auf Festplatte habe, und außer LeechGet auch alle schon genutzt habe. Sie wurden auch bei früheren Virenscans (vor mehreren Jahren) zum Teil schonmal angezeigt, aber da ich die Programm-Dateien kannte und fast alle in Benutzung hatte hab ich die damals immer als Fehlmeldung zu den vertrauenswürdigen Dateien hinzugefügt... Eigentlich brauche ich die Dateien aber nicht mehr, waren nur noch ungenutzt bei den Sicherheitskopien belassen - von daher sind sie jetzt erstmal in Quarantäne. Ich kann sie auch ganz löschen, wollte aber nicht eigenmächtig handeln.

Wie dem auch sei, hier ist der Inhalt der Log-Datei (war nicht mehr als ne Auflistung der gefundenen vermeidlichen Schädlinge):

Code: Alles auswählenAufklappen

ATTFilter

UnclassifiedMalware@16861865 M:\\von K\all u need\backuped\Internet\Downloadmanager\GetRight 4.3\Setup.exe
UnclassifiedMalware@9577244 M:\\von K\all u need\backuped\security-tools\Trojanerkiller\TFAK5.zip|tfak.exe
Packed.Win32.MUPX.Gen@129019204 M:\\von K\all u need\not backuped\download managers\LeechGet 2004\LeechGet.exe|{app}\LeechGet.exe
Packed.Win32.MUPX.Gen@129019204 M:\\von K\all u need\not backuped\download managers\LeechGet 2004\LeechGet.exe|{app}\Evolution.exe
Packed.Win32.MUPX.Gen@129019204 M:\\von K\all u need\not backuped\download managers\LeechGet 2004\LeechGet.exe|{app}\LGOptions.exe
Heur.Suspicious@21637555 M:\\von K\all u need\not backuped\fixes von 'MS-Service-CD' - Computer Bild 8-2004\Internet Explorer 6 Service Pack 1\Ie_6_sp1\ie6setup.exe|Unsfx|ie6wzd.exe
Heur.Suspicious@21637555 M:\\von K\CDTEMP\Windows neu aufsetzen & konfigurieren\fixes von 'MS-Service-CD' - Computer Bild 8-2004\Internet Explorer 6 Service Pack 1\Ie_6_sp1\ie6setup.exe|Unsfx|ie6wzd.exe
         

Werde jetzt nochmal HijackThis durchlaufen lassen und posten - schaden kann es ja nicht. Auch wenn ich es am Ende noch ein weiteres Mal durchlaufen lassen muss. Ich möchte einfach den aktuellen Zwischenstand dokumentieren, denn morgen bin ich ab ca. 14:30 Uhr zu Hause und benötige meinen Rechner im Kreditkarten-nutzbaren Zustand ab 17:30 Uhr. Hab Sorge, dass das nicht mehr hinhauen wird. Aber was ich machen kann mache ich - ist ja nicht tragisch wenn es sich als umsonst rausstellt.

Dank & Gruß,
Edd

So, hier das Ergebnis des soeben durchgeführten HijackThis-Scans (die Log-Datei des vorangegangenen Scans hatte ich natürlich vorher umbenannt, damit sie nicht überschrieben werden konnte):

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 23:14:38, on 17.01.2011
Platform: Windows 7  (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16700)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskhost.exe
C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe
C:\Program Files\CyberLink\Shared files\brs.exe
C:\Program Files\COMODO\COMODO Internet Security\cfp.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Sony\Reader\Data\bin\launcher\Reader Library Launcher.exe
C:\Program Files\Microsoft Xbox 360 Accessories\XBoxStat.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\edMin\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.medion.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Windows Live ID-Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MIF5BA~1\Office14\URLREDIR.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [IAStorIcon] C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [CLMLServer] "C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe"
O4 - HKLM\..\Run: [BDRegion] C:\Program Files\Cyberlink\Shared files\brs.exe
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\Run: [AdobeAAMUpdater-1.0] "C:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe"
O4 - HKLM\..\Run: [SwitchBoard] C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O4 - HKLM\..\Run: [AdobeCS5ServiceManager] "C:\Program Files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Reader Library Launcher] C:\Program Files\Sony\Reader\Data\bin\launcher\Reader Library Launcher.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [XboxStat] "C:\Program Files\Microsoft Xbox 360 Accessories\XboxStat.exe" silentrun
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - Startup: Logitech . Produktregistrierung.lnk = C:\Program Files\Common Files\Logishrd\eReg\SetPoint\eReg.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: An OneNote s&enden - res://C:\PROGRA~1\MIF5BA~1\Office14\ONBttnIE.dll/105
O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - res://C:\PROGRA~1\MIF5BA~1\Office14\EXCEL.EXE/3000
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-31/4 (file missing)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-31/4 (file missing)
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-31/4 (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-31/4 (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{11323C9E-D4B8-4A8C-93B4-BB9672CEBF4C}: NameServer = 213.191.74.18 62.109.123.196
O17 - HKLM\System\CS1\Services\Tcpip\..\{11323C9E-D4B8-4A8C-93B4-BB9672CEBF4C}: NameServer = 213.191.74.18 62.109.123.196
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O20 - AppInit_DLLs: C:\Windows\system32\guard32.dll
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: Intel(R) Rapid Storage Technology (IAStorDataMgrSvc) - Intel Corporation - C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: Sony SCSI Helper Service - Sony Corporation - C:\Program Files\Common Files\Sony Shared\Fsk\SonySCSIHelperService.exe
O23 - Service: SwitchBoard - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe

--
End of file - 8993 bytes
         

Mehr kann ich jetzt so weit ich das sehe nicht mehr machen ehe ich ne Antwort habe. Kaspersky-Scan funktionierte ja leider nicht.

Danke für die Hilfe!

Gruß,
Edd

Hab nun doch noch einen Versuch mit Kaspersky gestartet, einfach mit nem anderen Browser (warum auch immer ich nicht gleich auf diesen Gedanken gekommen bin, muss die Müdigkeit sein ) - immerhin konnte ich nun mit "Accept" den Download-Vorgang starten, aber dann war auch wieder Schluss. Ich bekam folgende Fehlermeldung:

Code: Alles auswählenAufklappen

ATTFilter

Update has failed The program could not be started. 
Please close the window of Kaspersky Online Scanner 7.0 and 
start the program again from the web site of Kaspersky Lab.

Successful updating of Kaspersky Online Scanner 7.0 and scanning 
of your computer requires uninterrupted Internet connection. Please 
make sure that the Internet connection is established. 
[ERROR: License has expired]
         

Na toll, was für eine Lizenz denn überhaupt?? Internetverbindung war nicht unterbrochen (und überhaupt: wie gewährleiste ich sowas über mehrere Stunden ohne am Rechner zu sitzen?). Mich durch die Kaspersky-Webseite durchklicken und da dann auf diesem Wege das Programm anders als per Direktlink starten soll ich? Verstehe ich das richtig? Bin mir nicht sicher, dass ich da dann überhaupt das richtige Programm an der richtigen Stelle starte... Verstehe auch nicht, in wie weit das nen Unterschied machen soll zum direkt verlinkten Programm...

Das auf der Seite geführte Protokoll gab folgende Information her:

Code: Alles auswählenAufklappen

ATTFilter

The program is starting. Please wait...
Updates source is selected: hxxp://www.kaspersky.com
File download: packages/kos-extras.jar
The program is started.

Updating the anti-virus database. Please wait...

Update has failed The program could not be started. 
Please close the window of Kaspersky Online Scanner 7.0 
and start the program again from the web site of Kaspersky 
Lab. Successful updating of Kaspersky Online Scanner 7.0 
and scanning of your computer requires uninterrupted 
Internet connection. Please make sure that the Internet 
connection is established. [ERROR: License has expired]
         

Der erste Versuch war mit Firefox. Hab's dann nochmal mit Internet Explorer versucht, den ich sonst meide, aber ich erhielt die gleiche Fehlermeldung - diese hab ich dann (wie auch das obige Protokoll) kopiert und hier eingefügt, beim Firefox-Versuch hab ich da nicht drann gedacht bzw. bei der Fehlermeldung wohl CTRL+C nicht richtig betätigt, war jedenfalls nichts in der Zwischenablage...

Ich bin mit meinem Latein am Ende - komme hier nicht weiter. Was soll ich tun?

Danke für die Hilfe,
Edd

So, bin schon was eher daheim als gedacht...

Für etwaige Ausweichmöglichkeit falls mein Rechner bis 17:30 noch nicht fit ist, womit ich inzwischen rechne dank meiner Probleme mit Kaspersky, ist gesorgt.

Jetzt werd ich hier regelmäßig nachschauen, ob ich neue Hinweise oder Anweisungen bekommen habe.

Dank & Gruß,
Edd

Hab eben nochmal den Scan mit Kaspersky Online probieren wollen und da ich dazu das System erstmal ohne externe Datenträger neu starten wollte habe ich meine eine, immer per USB angeschlossene Festplatte abmelden wollen - passierte nichts, keine Bestätigung wie sonst. Dann direkt herunterfahren wollen - wieder nichts. Windows hängte sich auf. Konnte nur noch per Netzschalter abschalten.
Windows dann neu gebootet (normaler Modus), so weit ok, Festplatte mit Shift gedrückt angeschlossen - wurde gar nicht geladen, nur sehr langsame Status-Anzeige im Ordner, so als würde der PC sehr lange brauchen die Seite "Mein Computer" im Windows Explorer zu laden!
Dann sah ich ne Warnmeldung von Comodo, eine seiner Komponenten sei nicht aktiv. Ich habe auf aktivieren geklickt, Windows fragte ob ich die "Programmänderung" wirklich durchführen wolle, Programm sei Comodo, ich hab's also bestätigt, denn ich hatte die "Veränderung" ja initialisiert. Dann kamen ne Reihe von Meldungen von Comodo AAWService.exe versuche eine Änderung in der Registry und der Pc stürzte erneut ab.

HKUS\.DEFAULT\Software\Policies\... weiter kam ich mit dem Abschreiben nicht. AAWService.exe ist Bestandteil der bei mir installierten Ad-Aware Free Version und startet sich beim Booten selbst, das sollte ok sein - aber was hat es mit den Registry-Zugriffsversuchen auf sich?? Ein Versuch gefixte Probleme auf den zuvor bekannten Zustand zurückzusetzen? Kann ich mir nicht vorstellen, denn es war nicht der erste Windows-Start seit gestern Nacht - hatte schon einen heute Morgen und da war die externe Festplatte auch noch angeschlossen gewesen...

Hab dann nochmal neu gestartet, Festplatte gar nicht erst abgenommen - selbe Problem wieder: Auch als der grüne Balken am Ende ankam (schien mir als habe er mehr als ne Minute dafür gebraucht!) erkannte er die Festplatte immer noch nicht. Versucht auf die Platte zuzugreifen und der Rechner stürzte wieder ab.

Nochmal neu gestartet, Festplatte beim Booten abgestellt, anschließend ohne Shift zu drücken die zweite externe Festplatte versucht zu laden: Wieder das gleiche Problem. Gar nicht erst nen Zugriff versucht, Windows Explorer-Fenster zu schließen versucht => Windows stürzte wieder ab.

Nun nochmal neu gestartet und in den abgesicherten Modus gegangen. Comodo steht da nicht zur Verfügung wie ich festgestellt habe. Ad-Aware wurde hingegen mitgeladen - also nen Komplettscan mit Ad-Aware durchgeführt und Protokoll gespeichert ohne die 1 gefundene Datei (aus dem Comodo-Quarantäne-Verzeichnis) zu bearbeiten - steht eh schon bei Comodo in Quarantäne.

Danach wieder normal Windows geladen - und erstmal noch keine der beiden externen Festplatten angeschlossen, sondern erstmal online gegangen, um das hier zu posten... Was mache ich jetzt?

Seit ich gestern Abend erstmals alle externen Datenträger auf ein Mal angeschlossen habe - und das erstmals im Administrator-Account - sind übrigens die Laufwerksbuchstaben anders zugewiesen, in der Reihenfolge in der die Datenträger vom System geladen wurden glaube ich. Auch da weiß ich nicht warum, im User-Account hatte ich die meisten der Datenträger schonmal genutzt und die Buchstabenzuordnung ist nun auch dort anders... Hat das vielleicht mit den Abstürzen zu tun?

Hier erstmal das Ad-Aware-Protokoll:

Code: Alles auswählenAufklappen

ATTFilter

Logfile created: 18.01.2011 15:27:32
Ad-Aware version: 8.3.6
Extended engine: 3
Extended engine version: 3.1.2770
User performing scan: edMin

*********************** Definitions database information ***********************
Lavasoft definition file: 150.225
Genotype definition file version: 2011/01/03 17:00:24
Extended engine definition file: 7973.0

******************************** Scan results: *********************************
Scan profile name: Vollständiger Scan  (ID: full)
Objects scanned: 110815
Objects detected: 1


Type              Detected
==========================
Processes.......:        0
Registry entries:        0
Hostfile entries:        0
Files...........:        1
Folders.........:        0
LSPs............:        0
Cookies.........:        0
Browser hijacks.:        0
MRU objects.....:        0



Skipped items:
Description: c:\program files\comodo\comodo internet security\quarantine\3437be9b-7e8e-42a3-b3b2-eb6997f1afd3.data Family Name: Win32.Adware.Timesinc Engine: 1 Clean status: Success Item ID: 0 Family ID: 2600446 MD5: c83d22b292aad931f78266e08b167616

Scan and cleaning complete: Finished correctly after 2753 seconds

*********************************** Settings ***********************************

Scan profile:
ID: full, enabled:1, value: Vollständiger Scan
  ID: folderstoscan, enabled:1, value: C:\,D:\
  ID: useantivirus, enabled:1, value: true
  ID: sections, enabled:1
    ID: scancriticalareas, enabled:1, value: true
    ID: scanrunningapps, enabled:1, value: true
    ID: scanregistry, enabled:1, value: true
    ID: scanlsp, enabled:1, value: true
    ID: scanads, enabled:1, value: true
    ID: scanhostsfile, enabled:1, value: true
    ID: scanmru, enabled:1, value: true
    ID: scanbrowserhijacks, enabled:1, value: true
    ID: scantrackingcookies, enabled:1, value: true
      ID: closebrowsers, enabled:1, value: false
  ID: filescanningoptions, enabled:1
    ID: archives, enabled:1, value: true
    ID: onlyexecutables, enabled:1, value: false
    ID: skiplargerthan, enabled:1, value: 20480
    ID: scanrootkits, enabled:1, value: true
      ID: rootkitlevel, enabled:1, value: mild, domain: medium,mild,strict
    ID: usespywareheuristics, enabled:1, value: true

Scan global:
ID: global, enabled:1
  ID: addtocontextmenu, enabled:1, value: true
  ID: playsoundoninfection, enabled:1, value: false
    ID: soundfile, enabled:0, value: N/A

Scheduled scan settings:
<Empty>

Update settings:
ID: updates, enabled:1
  ID: launchthreatworksafterscan, enabled:1, value: off, domain: normal,off,silently
  ID: deffiles, enabled:1, value: downloadandinstall, domain: dontcheck,downloadandinstall
  ID: licenseandinfo, enabled:1, value: downloadandinstall, domain: dontcheck,downloadandinstall
  ID: schedules, enabled:1, value: true
    ID: updatedaily1, enabled:1, value: Daily 1
      ID: time, enabled:1, value: Mon Oct 25 15:40:00 2010
      ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly
      ID: weekdays, enabled:1
        ID: monday, enabled:1, value: false
        ID: tuesday, enabled:1, value: false
        ID: wednesday, enabled:1, value: false
        ID: thursday, enabled:1, value: false
        ID: friday, enabled:1, value: false
        ID: saturday, enabled:1, value: false
        ID: sunday, enabled:1, value: false
      ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
      ID: scanprofile, enabled:1, value: 
      ID: auto_deal_with_infections, enabled:1, value: false
    ID: updatedaily2, enabled:1, value: Daily 2
      ID: time, enabled:1, value: Mon Oct 25 21:40:00 2010
      ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly
      ID: weekdays, enabled:1
        ID: monday, enabled:1, value: false
        ID: tuesday, enabled:1, value: false
        ID: wednesday, enabled:1, value: false
        ID: thursday, enabled:1, value: false
        ID: friday, enabled:1, value: false
        ID: saturday, enabled:1, value: false
        ID: sunday, enabled:1, value: false
      ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
      ID: scanprofile, enabled:1, value: 
      ID: auto_deal_with_infections, enabled:1, value: false
    ID: updatedaily3, enabled:1, value: Daily 3
      ID: time, enabled:1, value: Mon Oct 25 03:40:00 2010
      ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly
      ID: weekdays, enabled:1
        ID: monday, enabled:1, value: false
        ID: tuesday, enabled:1, value: false
        ID: wednesday, enabled:1, value: false
        ID: thursday, enabled:1, value: false
        ID: friday, enabled:1, value: false
        ID: saturday, enabled:1, value: false
        ID: sunday, enabled:1, value: false
      ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
      ID: scanprofile, enabled:1, value: 
      ID: auto_deal_with_infections, enabled:1, value: false
    ID: updatedaily4, enabled:1, value: Daily 4
      ID: time, enabled:1, value: Mon Oct 25 09:40:00 2010
      ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly
      ID: weekdays, enabled:1
        ID: monday, enabled:1, value: false
        ID: tuesday, enabled:1, value: false
        ID: wednesday, enabled:1, value: false
        ID: thursday, enabled:1, value: false
        ID: friday, enabled:1, value: false
        ID: saturday, enabled:1, value: false
        ID: sunday, enabled:1, value: false
      ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
      ID: scanprofile, enabled:1, value: 
      ID: auto_deal_with_infections, enabled:1, value: false
    ID: updateweekly1, enabled:1, value: Weekly
      ID: time, enabled:1, value: Mon Oct 25 15:40:00 2010
      ID: frequency, enabled:1, value: weekly, domain: daily,monthly,once,systemstart,weekly
      ID: weekdays, enabled:1
        ID: monday, enabled:1, value: true
        ID: tuesday, enabled:1, value: false
        ID: wednesday, enabled:1, value: false
        ID: thursday, enabled:1, value: true
        ID: friday, enabled:1, value: false
        ID: saturday, enabled:1, value: false
        ID: sunday, enabled:1, value: false
      ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
      ID: scanprofile, enabled:1, value: 
      ID: auto_deal_with_infections, enabled:1, value: false

Appearance settings:
ID: appearance, enabled:1
  ID: skin, enabled:1, value: default.egl, reglocation: HKEY_LOCAL_MACHINE\SOFTWARE\Lavasoft\Ad-Aware\Resource
  ID: showtrayicon, enabled:1, value: true
  ID: autoentertainmentmode, enabled:1, value: false
  ID: guimode, enabled:1, value: mode_advanced, domain: mode_advanced,mode_simple
  ID: language, enabled:1, value: de, reglocation: HKEY_LOCAL_MACHINE\SOFTWARE\Lavasoft\Ad-Aware\Language

Realtime protection settings:
ID: realtime, enabled:1
  ID: infomessages, enabled:1, value: onlyimportant, domain: display,dontnotify,onlyimportant
  ID: layers, enabled:1
    ID: useantivirus, enabled:1, value: true
    ID: usespywareheuristics, enabled:1, value: true
  ID: modules, enabled:1
    ID: processprotection, enabled:0, value: true
    ID: onaccessprotection, enabled:0, value: true
    ID: registryprotection, enabled:0, value: true
    ID: networkprotection, enabled:0, value: true


****************************** System information ******************************
Computer name: EVIL-ED
Processor name: Intel(R) Core(TM) i7 CPU         860  @ 2.80GHz
Processor identifier: x86 Family 6 Model 30 Stepping 5
Processor speed: ~2793MHZ
Raw info: processorarchitecture 0, processortype 586, processorlevel 6, processor revision 7685, number of processors 8, processor features: [MMX,SSE,SSE2,SSE3]
Physical memory available: 1974571008 bytes
Physical memory total: 3211907072 bytes
Virtual memory available: 1843843072 bytes
Virtual memory total: 2147352576 bytes
Memory load: 38%
Microsoft  (build 7600)
Windows startup mode:

Running processes:
PID: 360 name: C:\Windows\System32\smss.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 440 name: C:\Windows\System32\csrss.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 476 name: C:\Windows\System32\wininit.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 488 name: C:\Windows\System32\csrss.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 548 name: C:\Windows\System32\services.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 556 name: C:\Windows\System32\lsass.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 564 name: C:\Windows\System32\lsm.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 600 name: C:\Windows\System32\winlogon.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 700 name: C:\Windows\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 776 name: C:\Windows\System32\svchost.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 840 name: C:\Windows\System32\svchost.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 912 name: C:\Windows\System32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 948 name: C:\Windows\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1024 name: C:\Windows\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1064 name: C:\Windows\System32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 1180 name: C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1208 name: C:\Windows\System32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 1396 name: C:\Windows\System32\wbem\unsecapp.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1484 name: C:\Windows\System32\wbem\WmiPrvSE.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1624 name: C:\Windows\explorer.exe owner: edMin domain: Evil-Ed
PID: 1668 name: C:\Windows\System32\ctfmon.exe owner: edMin domain: Evil-Ed
PID: 1824 name: C:\Program Files\Lavasoft\Ad-Aware\AAWWSC.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1852 name: C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe owner: edMin domain: Evil-Ed
PID: 648 name: C:\Program Files\COMODO\COMODO Internet Security\cfp.exe owner: edMin domain: Evil-Ed
PID: 1696 name: C:\Program Files\Lavasoft\Ad-Aware\Ad-Aware.exe owner: edMin domain: Evil-Ed
PID: 1720 name: C:\Windows\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT

Startup items:
Name: IAStorIcon
          imagepath: C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe
Name: RtHDVCpl
          imagepath: C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
Name: StartCCC
          imagepath: "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
Name: CLMLServer
          imagepath: "C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe"
Name: BDRegion
          imagepath: C:\Program Files\Cyberlink\Shared files\brs.exe
Name: COMODO Internet Security
          imagepath: "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h
Name: AdobeAAMUpdater-1.0
          imagepath: "C:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe"
Name: SwitchBoard
          imagepath: C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
Name: AdobeCS5ServiceManager
          imagepath: "C:\Program Files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" -launchedbylogin
Name: Adobe Reader Speed Launcher
          imagepath: "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
Name: Adobe ARM
          imagepath: "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
Name: Reader Library Launcher
          imagepath: C:\Program Files\Sony\Reader\Data\bin\launcher\Reader Library Launcher.exe
Name: Kernel and Hardware Abstraction Layer
          imagepath: KHALMNPR.EXE
Name: XboxStat
          imagepath: "C:\Program Files\Microsoft Xbox 360 Accessories\XboxStat.exe" silentrun
Name: Malwarebytes' Anti-Malware (reboot)
          imagepath: "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
Name: SunJavaUpdateSched
          imagepath: "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
Name: WebCheck
          imagepath: {E6FB5E20-DE35-11CF-9C87-00AA005127ED}
Name: 
          imagepath: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
Name: 
          location: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Logitech SetPoint.lnk
          imagepath: C:\Program Files\Logitech\SetPoint\SetPoint.exe

Bootexecute items:
Name: 
          imagepath: autocheck autochk *

Running services:
Name: BFE
          displayname: Basisfiltermodul
Name: CryptSvc
          displayname: Kryptografiedienste
Name: DcomLaunch
          displayname: DCOM-Server-Prozessstart
Name: Dhcp
          displayname: DHCP-Client
Name: Dnscache
          displayname: DNS-Client
Name: EapHost
          displayname: Extensible Authentication-Protokoll
Name: eventlog
          displayname: Windows-Ereignisprotokoll
Name: KeyIso
          displayname: CNG-Schlüsselisolation
Name: LanmanWorkstation
          displayname: Arbeitsstationsdienst
Name: Lavasoft Ad-Aware Service
          displayname: Lavasoft Ad-Aware Service
Name: lmhosts
          displayname: TCP/IP-NetBIOS-Hilfsdienst
Name: MpsSvc
          displayname: Windows-Firewall
Name: Netman
          displayname: Netzwerkverbindungen
Name: netprofm
          displayname: Netzwerklistendienst
Name: NlaSvc
          displayname: NLA (Network Location Awareness)
Name: nsi
          displayname: Netzwerkspeicher-Schnittstellendienst
Name: PlugPlay
          displayname: Plug & Play
Name: Power
          displayname: Stromversorgung
Name: ProfSvc
          displayname: Benutzerprofildienst
Name: RpcEptMapper
          displayname: RPC-Endpunktzuordnung
Name: RpcSs
          displayname: Remoteprozeduraufruf (RPC)
Name: WinDefend
          displayname: Windows Defender
Name: Winmgmt
          displayname: Windows-Verwaltungsinstrumentation
Name: Wlansvc
          displayname: Automatische WLAN-Konfiguration
Name: wudfsvc
          displayname: Windows Driver Foundation - Benutzermodus-Treiberframework
         

Das System ist offensichtlich noch nicht in Ordnung.
Was soll ich nun tun?

Dank & Gruß,
Edd

Zitat:

Zitat von Coverflow

berichte in welchem Zustand dein System sich befindet? Ob noch Probleme auftreten? - wenn ja, welche?

Nach einem Tipp eines Kollegen von mir hab ich unter *Rechtsklick auf Festplatte* > Eigenschaften > Tools > Fehlerüberprüfung > *Klick* "Jetzt prüfen..." alle Festplatten überprüft und jeweils vorab beide Häkchen für die Korrekturen gesetzt. Ergebnis war erwartungsgemäß: Die Probleme bereitende externe Festplatte wies Fehler auf, die auf Grund der gesetzten Häkchen direkt korrigiert werden sollten, was erfolgreich geschah. Die beiden Partitionen der internen Festplatte wie auch die zweite externe Datenplatte waren allesamt erwartungsgemäß fehlerfrei.
Seit der Fehlerüberprüfung mit Korrektur laufen alle Festplatten wieder problemlos: Sie werden direkt geladen, verursachen keine Programm- oder Systemabstürze mehr und beeinträchtigen auch sonst die Systemleistung nicht. Problem gelöst.

Weitere Probleme sind nicht mehr aufgetreten. Aber die Kontrolle, ob das System noch irgendwelche Malware hat oder nicht, hatten wir ja noch nicht abgeschlossen:

Zitat:

Zitat von Coverflow

9.
Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware ("Worm.Win32.Autorun") verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen.
→ Also alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird.
Außerdem kann man die Autostarteigenschaft auch ausschalten:
→ Windows-Sicherheit: Datenträger-Autorun deaktivieren- bebilderte Anleitung v.Leonidas/3dcenter.org
→ Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten/wintotal.de
→ Diese Silly -Beschreibung stützt die Annahme, dass er über einen USB-Stick kam. Die Ursache ist durch formatieren des Sticks aus der Welt geschafft, Du solltest darauf achten, dass dort keine Datei autorun.inf wieder auftaucht und etwas wählerisch sein, wo Du deinen Stick reinsteckst.
Achtung!:
>>Du sollst das Programm nicht installieren, sondern dein System nur online scannen<<
→ Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner/klicke hier
→ um mit dem Vorgang fortzufahren klicke auf "Accept"
→ dann wähle "My computer" aus - Es dauert einige Zeit, bis ein Komplett-Scan durch gelaufen ist, also bitte um Geduld!
Es kann einige Zeit dauern, bis der Scan abgeschlossen ist - je nach Größe der Festplatte eine oder mehrere Stunden - also Geduld...
→ Report angezeigt, klicke auf "Save as" - den bitte kopieren und in deinem Thread hier einfügen
Vor dem Scan Einstellungen im Internet Explorer:
→ "Extras→ Internetoptionen→ Sicherheit":
→ alles auf Standardstufe stellen
→ Active X erlauben - damit die neue Virendefinitionen installiert werden können

Dies hab ich ja letzte Woche nicht durchführen können. Nochmal versuchen? Externe Festplatten funktionieren ja beide wieder, aber das letzte Woche aufgetretene Problem "Lizenz abgelaufen" ("[ERROR: License has expired]") hing damit denke ich nicht zusammen... Oder sehe ich das falsch? Kann ich den Online-Scanner überhaupt nutzen ohne Kasperski Antivirus zuvor gekauft zu haben?

Zitat:

Zitat von Coverflow

poste erneut - nach der vorgenommenen Reinigungsaktion:
TrendMicro™ HijackThis™ -Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!

Ebenfalls noch nicht geschehen...

Zitat:

Zitat von Edd

Also nicht die Protokollierung der einzelnen Verzeichnisse, sondern hier nur die Vorweg angegebenen Daten und die Funde am Ende:

Code: Alles auswählenAufklappen

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 22. Januar 2011  17:06

Es wird nach 2413583 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7
Windowsversion : (plain)  [6.1.7600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : EVIL-ED

Versionsinformationen:
BUILD.DAT      : 10.0.0.609     31824 Bytes  13.12.2010 09:29:00
AVSCAN.EXE     : 10.0.3.5      435368 Bytes  13.12.2010 07:39:22
AVSCAN.DLL     : 10.0.3.0       56168 Bytes  13.12.2010 07:39:38
LUKE.DLL       : 10.0.3.2      104296 Bytes  13.12.2010 07:39:28
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 10:59:48
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 08:05:36
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 14:52:49
VBASE002.VDF   : 7.11.0.1        2048 Bytes  14.12.2010 14:52:49
VBASE003.VDF   : 7.11.0.2        2048 Bytes  14.12.2010 14:52:49
VBASE004.VDF   : 7.11.0.3        2048 Bytes  14.12.2010 14:52:49
VBASE005.VDF   : 7.11.0.4        2048 Bytes  14.12.2010 14:52:49
VBASE006.VDF   : 7.11.0.5        2048 Bytes  14.12.2010 14:52:49
VBASE007.VDF   : 7.11.0.6        2048 Bytes  14.12.2010 14:52:50
VBASE008.VDF   : 7.11.0.7        2048 Bytes  14.12.2010 14:52:50
VBASE009.VDF   : 7.11.0.8        2048 Bytes  14.12.2010 14:52:50
VBASE010.VDF   : 7.11.0.9        2048 Bytes  14.12.2010 14:52:50
VBASE011.VDF   : 7.11.0.10       2048 Bytes  14.12.2010 14:52:50
VBASE012.VDF   : 7.11.0.11       2048 Bytes  14.12.2010 14:52:50
VBASE013.VDF   : 7.11.0.52     128000 Bytes  16.12.2010 14:52:50
VBASE014.VDF   : 7.11.0.91     226816 Bytes  20.12.2010 14:52:50
VBASE015.VDF   : 7.11.0.122    136192 Bytes  21.12.2010 14:52:51
VBASE016.VDF   : 7.11.0.156    122880 Bytes  24.12.2010 14:52:51
VBASE017.VDF   : 7.11.0.185    146944 Bytes  27.12.2010 14:52:51
VBASE018.VDF   : 7.11.0.228    132608 Bytes  30.12.2010 14:52:51
VBASE019.VDF   : 7.11.1.5      148480 Bytes  03.01.2011 14:52:51
VBASE020.VDF   : 7.11.1.37     156672 Bytes  07.01.2011 14:52:52
VBASE021.VDF   : 7.11.1.65     140800 Bytes  10.01.2011 14:52:52
VBASE022.VDF   : 7.11.1.87     225280 Bytes  11.01.2011 14:52:52
VBASE023.VDF   : 7.11.1.124    125440 Bytes  14.01.2011 14:52:52
VBASE024.VDF   : 7.11.1.155    132096 Bytes  17.01.2011 14:52:53
VBASE025.VDF   : 7.11.1.189    451072 Bytes  20.01.2011 14:52:53
VBASE026.VDF   : 7.11.1.190      2048 Bytes  20.01.2011 14:52:53
VBASE027.VDF   : 7.11.1.191      2048 Bytes  20.01.2011 14:52:53
VBASE028.VDF   : 7.11.1.192      2048 Bytes  20.01.2011 14:52:53
VBASE029.VDF   : 7.11.1.193      2048 Bytes  20.01.2011 14:52:53
VBASE030.VDF   : 7.11.1.194      2048 Bytes  20.01.2011 14:52:53
VBASE031.VDF   : 7.11.1.216     59392 Bytes  21.01.2011 14:52:53
Engineversion  : 8.2.4.150 
AEVDF.DLL      : 8.1.2.1       106868 Bytes  13.12.2010 07:39:18
AESCRIPT.DLL   : 8.1.3.52     1282426 Bytes  22.01.2011 14:52:56
AESCN.DLL      : 8.1.7.2       127349 Bytes  13.12.2010 07:39:18
AESBX.DLL      : 8.1.3.2       254324 Bytes  13.12.2010 07:39:18
AERDL.DLL      : 8.1.9.2       635252 Bytes  13.12.2010 07:39:18
AEPACK.DLL     : 8.2.4.8       512374 Bytes  22.01.2011 14:52:56
AEOFFICE.DLL   : 8.1.1.15      205178 Bytes  22.01.2011 14:52:56
AEHEUR.DLL     : 8.1.2.68     3178870 Bytes  22.01.2011 14:52:55
AEHELP.DLL     : 8.1.16.0      246136 Bytes  13.12.2010 07:39:12
AEGEN.DLL      : 8.1.5.2       397683 Bytes  22.01.2011 14:52:54
AEEMU.DLL      : 8.1.3.0       393589 Bytes  13.12.2010 07:39:12
AECORE.DLL     : 8.1.19.2      196983 Bytes  22.01.2011 14:52:54
AEBB.DLL       : 8.1.1.0        53618 Bytes  13.12.2010 07:39:12
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  13.12.2010 07:39:22
AVPREF.DLL     : 10.0.0.0       44904 Bytes  13.12.2010 07:39:20
AVREP.DLL      : 10.0.0.8       62209 Bytes  17.06.2010 13:26:54
AVREG.DLL      : 10.0.3.2       53096 Bytes  13.12.2010 07:39:20
AVSCPLR.DLL    : 10.0.3.2       84328 Bytes  13.12.2010 07:39:22
AVARKT.DLL     : 10.0.22.6     231784 Bytes  13.12.2010 07:39:18
AVEVTLOG.DLL   : 10.0.0.8      203112 Bytes  13.12.2010 07:39:20
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  17.06.2010 13:27:04
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  13.12.2010 07:39:22
NETNT.DLL      : 10.0.0.0       11624 Bytes  17.06.2010 13:27:02
RCIMAGE.DLL    : 10.0.0.26    2550120 Bytes  28.01.2010 12:10:10
RCTEXT.DLL     : 10.0.58.0      98152 Bytes  13.12.2010 07:39:40

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: mittel
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, L:, M:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Samstag, 22. Januar 2011  17:06

(...)

(...)

(...)

Beginne mit der Desinfektion:
M:\von K\stuff\games\Spackspiele\
M:\von K\stuff\games\Spackspiele\Stress Reducers.exe
    [FUND]      Enthält Erkennungsmuster des Scherzprogrammes JOKE/Stressreducer
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4920f226.qua' verschoben!
M:\von K\all u need\not backuped\codecs & filters\¡ ältere Versionen !\DivX 5.2 (für Win 2000 & XP)\
M:\von K\all u need\not backuped\codecs & filters\¡ ältere Versionen !\DivX 5.2 (für Win 2000 & XP)\DivX52XP2K.exe
    [FUND]      Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/Asprotect). Bitte verifizieren Sie den Ursprung dieser Datei.
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '51abdd8e.qua' verschoben!
M:\von K\all u need\backuped\Internet\FTP\
M:\von K\all u need\backuped\Internet\FTP\susetup.exe
    [FUND]      Enthält Erkennungsmuster der Anwendung APPL/Serv-U.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '03eb876a.qua' verschoben!
L:\Evil-Ed\Backup Set 2010-10-11 031208\Backup Files 2010-10-11 031208\
L:\Evil-Ed\Backup Set 2010-10-11 031208\Backup Files 2010-10-11 031208\Backup files 2.zip
    [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/ClassLoader.BO
    [WARNUNG]   Die Datei wurde ignoriert.
D:\Spiele-Emulatoren\gepackte Sicherheitskopien\
D:\Spiele-Emulatoren\gepackte Sicherheitskopien\Gens32_Surreal_v1_86_HD.rar
    [FUND]      Enthält Erkennungsmuster des SPR/Patcher.BS-Programmes
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '65dbc858.qua' verschoben!
D:\Spiele-Emulatoren\Gens32_Surreal_v1_86_HD\Tools\AT32 Hack\MoonWalker\
D:\Spiele-Emulatoren\Gens32_Surreal_v1_86_HD\Tools\AT32 Hack\MoonWalker\AT32_MoonWalker.zip
    [FUND]      Enthält Erkennungsmuster des SPR/Patcher.BS-Programmes
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '2098e575.qua' verschoben!


Ende des Suchlaufs: Samstag, 22. Januar 2011  23:11
Benötigte Zeit:  5:30:36 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

 288615 Verzeichnisse wurden überprüft
 4392685 Dateien wurden geprüft
     32 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      5 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
    100 Dateien konnten nicht durchsucht werden
 4392553 Dateien ohne Befall
  33633 Archive wurden durchsucht
   2011 Warnungen
   1168 Hinweise
 458341 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
         

Zu den Virenfunden:
(0) 32 Stück ist Quatsch in so fern, dass die selbe Datei im selben Archiv mit selbem Pfad ettliche Male gezählt wurde - warum auch immer. Finde ich irreführend, denn ich war reichlich irritiert 32 Virenfunde als Ziffer zu sehen und dann nur bei 6 Funden gefragt zu werden, was damit passieren soll. Nun, es waren nur die 6 - ich bin das vollständige Protokoll durchgegangen und habe die Funde abgeglichen.
(1) Stress Reducers.exe ist in der Tat ein Spaßprogramm, bzw. genauer ein Spaßspiel, birgt aber kein Risiko meiner Ansicht nach - ich hab es ich glaub bereits seit Ende der 90er Jahre, damals auch ein paar Mal gespielt. Letztlich aber auch unnötig, von daher kann es wegen mir weg.
(2) Die DivX-Datei, naja installationsdatei unter Windows 2000, meinem früheren Betriebssystem, halt... "mit einem ungewöhnlichen Laufzeitpacker komprimiert" - ok... Risiko? Die Datei hat mir noch nie ein Virenscanner aufgezeigt und ich hab sie schon lange. Sei's drum. Brauchen tue ich sie nicht mehr, von daher...
(3) susetup.exe - FTP-Programm, früher unter Windows 2000 genutzt, brauche ich eh nicht mehr, kann weg. Aber Risiko? Fraglich...
(4) Java-Virus JAVA/ClassLoader.BO - ohne zu wissen auf welche Datei innerhalb des Systemabbilds es sich bezieht kann ich das schwer beurteilen, aber September 2010?? Und danach nicht mehr?? Zudem war als Begründung im Anschluss an den Scan bei der Rückfrage, wie ich mit den gefundenen Objekten verfahren möchte, die vorgeschlagene Handlung die Datei zu ignorieren, angegeben, es handle sich um ein eMail-Postfach und um die eMails nicht zu beeinträchtigen sei der Virus zu ignorieren. Nicht etwa um eine anhängende Datei, sondern um ein Postfach. Seltsame Sache.
Hier der Protokoll-Auszug:

Code: Alles auswählenAufklappen

ATTFilter

L:\Evil-Ed\Backup Set 2010-10-11 031208\Backup Files 2010-10-11 031208\Backup files 2.zip
[0] Archivtyp: ZIP
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.BH
  --> C/Users/edDy/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/63/3c290e7f-2c23f1fb
    [1] Archivtyp: ZIP
--> dev/s/AdgredY.class
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.BH
  [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
--> dev/s/DyesyasZ.class
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.GS
  [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
--> dev/s/LoaderX.class
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/ClassLoader.BO
  [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
    [WARNUNG]   Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht.
         

(5) Gens32_Surreal_v1_86_HD.rar: funktionsfähiger Spiele-Emulator. Vor kurzem (Januar 2011) von nem Kumpel von mir gemailt bekommen, der sagte, es sei aus vertrauenswürdiger Quelle. Auch bereits genutzt und lief problemlos. Die rar-Datei beinhaltet allerdings die sechste gefundene Bedrohung und wurde wohl wegen dieser mitaufgezählt:
(6) AT32_MoonWalker.zip: ReadMe.txt zu der zip-Datei besagt, sie sei ein Patch - wohl für den Emulator, macht aber inhaltlich nicht ar zu viel Sinn, denn es ist von Michael Jackson Songs die Rede, die durch das Patch eingebunden werden sollen - wozu auch immer, seine Musik hat mit den Spielen nichts zu tun. Klingt in der Tat nicht vertrauenswürdig, ich hab das Patch aber bislang weder im Verzeichnis bemerkt noch ausgeführt. Vom Emulator scheint es auch nicht ausgeführt zu werden, oder jedenfalls nicht benötigt, denn er funktoiniert auch nachdem ihm die Datei geraubt wurde noch, hab's eben kurz getestet. Also keine Ahnung was es mit dem Patch auf sich hat, aber es ist inhaltlich fragwürdig und somit gewiss nicht vertrauenswürdig...

Alle Funde mit Ausnahme des ignorierten WHS-Inhaltes sind zur Zeit in Quarantäne. Soll ich sie löschen?

Auch noch offen: Hab noch nichts gelöscht, da ich nicht eigenmächtig handeln wollte, sondern erst nach deiner Bestätigung löschen wollte... Soll ich die in Avira Antivir-Quarantäne befindlichen Funde löschen?


...wie soll ich nun vorgehen? Keine aktuell bemerkten Probleme mehr bedeutet ja noch nicht, dass das System nun Malware-frei und vertrauenswürdig ist...

Danke für deine Hilfe.

Gruß,
Edd