Hallo,

mein COMODO Internet Security Premium hat TrojWare.Win32.Trojan.Agent.Gen@146264662 in systempack107_2121.exe festgestellt - in einem Verzeichnis, das eigentlich leer sein sollte und gewiss keine exe-Dateien hätte beherbergen sollen, kein Systemverzeichnis sondern einfach ein Datei-Ordner auf meiner (externen, aber immer angeschlossenen) Daten-Festplatte, der mal für Bilddateien angelegt worden war. Die Datei wurde am 24.12.2010 auf meinem Rechner erstellt, während eine Freundin von mir nach Rücksprache mit mir in meiner Abwesenheit bei mir im Internet surfte - sie rief mich an kurz bevor ich nach Hause kam, weil sie von Google auf eine offensichtlich nicht vertrauenswürdige Seite geleitet wurde. Ein nach meiner Heimkehr direkt durchgeführter Virenscan fand allerdings damals nichts. Dafür aber heute - warum auch immer erst so spät.

Ich habe dem Vorschlag der COMODO Internet Security folgend das Objekt in Quarantäne gestellt.

Google-Suche nach dem Virus und der Datei hat mir nicht viel geliefert - nach dem Virus suchen gar nichts, nach der Datei nur eine Reihe von Virenscan-Ergebnissen mit Befallen, aber ich kann mit den Informationen nichts anfangen und kann daher auch keine sinnvolle Vorauswahl treffen, was relevant sein könnte und was nicht, es sind aber nur sehr wenige links. Hier also der Such-Link:

h**p://www.google.de/search?hl=en&client=opera&hs=s6a&rls=en&channel=suggest&q=systempack107_2121.exe&aq=f&aqi=&aql=&oq=

Einziges dabei mitgefundenes Foren-Thema ist das nachfolgende - aber hat das überhaupt mit meinem Problem zu tun?? Hab nicht das Gefühl, aber Google schlug den Link vor:

h**p://forum.avira.de/wbb/index.php?page=Thread&postID=1021447



Nun wollte ich der Anleitung für Load.exe hier vom Board folgen (hxxp://w*w.trojaner-board.de/89918-load-exe-larusso.html), bekam aber bei der Installation die folgende Fehlermeldung:

"Line 5253 (File "C:\Users\edDy\Desktop\Load.exe"):

Error: Variable used without being declared."

Installation nach Klick auf "OK" fortgesetzt und abgeschlossen, Programmaktualisierung und anschließender Programmstart funktionierte, aber es wurde kein Ordner MFTools auf dem Desktop erstellt und die Windows-Suchfunktion nach "MFTools" und anschließend nach "Anleitung" fand weder den Ordner noch die eigentlich darin erwartete Anleitung.html auf meinem Computer.

Also wie soll ich nun vorgehen um auswertbare Daten posten zu können? Kenne das Programm und seine Einstellungen nicht...


In der Hoffnung auf Hilfe verbleibe ich mit Dank & Gruß.
Edd

Hallo und Herzlich Willkommen!

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:

Zitat:

• "Fernbehandlungen/Fernhilfe" und die damit verbundenen Haftungsrisken:
  - da die Fehlerprüfung und Handlung werden über große Entfernungen durchgeführt, besteht keine Haftung unsererseits für die daraus entstehenden Folgen.
  - also, jede Haftung für die daraus entstandene Schäden wird ausgeschlossen, ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!
• Charakteristische Merkmale/Profilinformationen:
  - aus der verwendeten Loglisten oder Logdateien - wie z.B. deinen Realnamen, Seriennummer in Programm etc)- kannst Du herauslöschen oder durch [X] ersetzen
• Die Systemprüfung und Bereinigung:
  - kann einige Zeit in Anspruch nehmen (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst
• Innerhalb der Betreuungszeit:
  - ohne Abspräche bitte nicht auf eigene Faust handeln!- bei Problemen nachfragen.
• Die Reihenfolge:
  - genau so wie beschrieben bitte einhalten, nicht selbst die Reihenfolge wählen!
• Ansonsten unsere Forumsregeln:
  - Bitte erst lesen, dann posten!-> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?
• Alle Logfile mit einem vB Code Tag eingefügen, das bietet hier eine gute Übersicht, erleichtert mir die Arbeit! Falls das Logfile zu groß, teile es in mehrere Teile auf.

Sobald Du diesen Einführungstext gelesen hast, kannst Du beginnen

► Falls es Meldung/Bericht/Scanergebnisse von deinem Antivirenprogramm oder andere Schutzprogramme gibt, bitte posten! Was gefunden und vor allem wo...
► Beschreibe genau, welche Versuche du unternommen hast, um das Problem zu lösen (also die schon vorhandenen Ergebnisse auch posten)

► Danach versuche folgendes:
Seit wann hast du dieses Problem denn? Wenn du glaubst zu kennen die Zeitpunkt wo dein System noch einwandfrei funktioniert hat, die Systemwiederherstellung ist einen Versuch Wert!:

Zitat:

Windows ME,XP, Vista und Win7 enthält ein Programm zur Systemwiederherstellung. Damit lässt sich das System auf einen früheren Zeitpunkt zurücksetzen ,wo noch alles einwandfrei funktioniert. Die Systemwiederherstellung betrifft nur Systemeinstellungen.(programme die in der zwischenzeit installiert wurden gehen dabei verloren. man kann diesen vorgang auch wieder rückgängig machen, sollte man keinen erfolg damit erzielt haben.)
Du findest das Programm zur Systemwiederherstellung : Start/Programme/Zubehör/Systemprogramme/Systemwiederherstellung
Setz doch dein Windows über die Systemwiederherstellung ganz zurück (falls nötig kannst Du es im abgesicherten Modus auch tun :
(drücke beim Hochfahren des Rechners [F8] solange, bis du eine Auswahlmöglichkeit hast, da "abgesicherten Modus " wählen)

- berichte ob du damit Erfolg hast
► - auch, ob die SWH funktioniert hat, bzw ob Du das System auf einen früheren Wiederherstellungspunkt zurückstellen können?
(Kannst noch immer bis zum heutigen Zeitpunkt rückgängig machen, falls liefert nicht das gewünschte Ergebnis)
► Da die SWH nur ein Notlösung ist und/oder die Systemwiederherstellung ist nicht durchführbar, arbeite die aufgeführten Schritte bitte vollständig ab:

Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen

1.
läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit)
Achtung!:
WENN GMER NICHT AUSGEFÜHRT WERDEN KANN ODER PROBMLEME VERURSACHT, fahre mit dem nächsten Punkt fort!- Es ist NICHT sinnvoll einen zweiten Versuch zu starten!
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

• - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
  - starte gmer.exe
  - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  - bitte nichts am Pc machen während der Scan läuft!
  - klicke auf "Scan", um das Tool zu starten
  - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
  - mit "Ok" wird GMER beendet.
  - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!
Anleitung:-> GMER - Rootkit Scanner

2.
Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org

• Installieren und per Doppelklick starten.
• Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
• "Komplett Scan durchführen" wählen (überall Haken setzen)
• wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
• alle Funde markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
• Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Anleitung/virus-protect.org

3.
lade Dir HijackThis 2.0.4 von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"

4.
Bitte Versteckte - und Systemdateien sichtbar machen den Link hier anklicken:
System-Dateien und -Ordner unter XP und Vista sichtbar machen
Am Ende unserer Arbeit, kannst wieder rückgängig machen!

5.
→ Lade Dir HJTscanlist.zip herunter
→ entpacke die Datei auf deinem Desktop
→ Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren
→ per Doppelklick starten
→ Wähle dein Betriebsystem aus - bei Win7 wähle Vista
→ Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen
→ Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren
→ Bitte kopiere den Inhalt hier in Deinen Thread.
** Falls es klappt auf einmal nicht, kannst den Text in mehrere Teile teilen und so posten

6.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool Ccleaner herunter
→ "Download"→ " Download from FileHippo.com"
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du (also am Anfang des Logfiles):[code]
hier kommt dein Logfile rein - z.B hjtsanlist o. sonstiges
→ dahinter - also am Ende der Logdatei: [/code]

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
Coverflow

Hallo und erstmal danke für die angebotene Hilfe.

Zitat:

Zitat von Coverflow

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:

Zitat kann ich nicht mitzitieren - ich bestätige aber hiermit die Ausführungen zu "Fernbehandlungen/Fernhilfe" gelesen und verstanden zu haben. Halte ich eh für selbstverständlich was darin stand.

Zitat:

Zitat von Coverflow

► Falls es Meldung/Bericht/Scanergebnisse von deinem Antivirenprogramm oder andere Schutzprogramme gibt, bitte posten! Was gefunden und vor allem wo...

Protokoll lässt sich bei Comodo nur als html-Datei exportieren - per copy+paste aus dieser html-Datei:

Code: Alles auswählenAufklappen

ATTFilter

COMODO Internet Security Premium - Protokollanzeige Einträge 
 	 	Tabelle	:	Antivirus
 	 	Erstellungsdatum	:	2011-01-16 14:52:57
 	 	Anzahl der Einträge	:	8
Datum	Ort	Name der Malware	Aktion	Status
2010-12-24 15:16:45  	\Device\HarddiskVolume8\****' files\Bilder\outfits\systempack107_2121.exe  	TrojWare.Win32.Trojan.Agent.Gen@146264662  	Erkennen  	Erfolgreich  
2011-01-16 00:24:24  	I:\****' files\Bilder\outfits\systempack107_2121.exe  	TrojWare.Win32.Trojan.Agent.Gen@146264662  	Erkennen  	Erfolgreich  
2011-01-16 00:29:20  	I:\****' files\Bilder\outfits\systempack107_2121.exe  	TrojWare.Win32.Trojan.Agent.Gen@146264662  	Erkennen  	Erfolgreich  
2011-01-16 00:29:20  	I:\****' files\Bilder\outfits\systempack107_2121.exe  	TrojWare.Win32.Trojan.Agent.Gen@146264662  	Fragen  	Erfolgreich  
2011-01-16 00:29:20  	I:\****' files\Bilder\outfits\systempack107_2121.exe  	TrojWare.Win32.Trojan.Agent.Gen@146264662  	Erkennen  	Erfolgreich  
2011-01-16 00:29:57  	I:\****' files\Bilder\outfits\systempack107_2121.exe  	TrojWare.Win32.Trojan.Agent.Gen@146264662  	Quarantäne  	Erfolgreich  
2011-01-16 00:29:58  	I:\****' files\Bilder\outfits\systempack107_2121.exe  	TrojWare.Win32.Trojan.Agent.Gen@146264662  	Quarantäne  	Erfolgreich  
2011-01-16 00:30:09  	I:\****' files\Bilder\outfits\systempack107_2121.exe  	TrojWare.Win32.Trojan.Agent.Gen@146264662  	Quarantäne  	Erfolgreich  
Ende des Berichts
         

Zitat:

Zitat von Coverflow

► Beschreibe genau, welche Versuche du unternommen hast, um das Problem zu lösen (also die schon vorhandenen Ergebnisse auch posten)

Nur die aus obigem Bericht hervorgehenden Quarantäne-Aufforderungen - 2x, da ich bei Erhalt der Meldung das angegebene Verzeichnis öffnete und dort ein zweites Mal die Virenwarnung erhielt. Hab dann bei beiden Virenwarnungen den Vorschlag Quarantäne als Problemlösung meiner COMODO Internet Security jeweils mit OK bestätigt. Warum COMODO eine dritte Quarantäne registriert hat weiß ich nicht - vermute aber, dass bei nur einer Sekunde Zeitdifferenz bei den ersten beiden Einträgen das nur eine von mir registrierte Aktion war und der wenige Sekunden spätere dann meine zweite Quarantäne-Aufforderung war.
Das Programm "Load.exe" hier aus dem Forum (h**p://w*w.trojaner-board.de/89918-load-exe-larusso.html) hab ich installiert, aber noch nicht benutzt wegen der in meinem ersten Posting geschriebenen Gründe (Fehlen der erwarteten Anleitung, die bei Installation hätte erstellt werden müssen). Das war's. Mehr ist noch nicht passiert.

Zitat:

Zitat von Coverflow

► Danach versuche folgendes:
Seit wann hast du dieses Problem denn? Wenn du glaubst zu kennen die Zeitpunkt wo dein System noch einwandfrei funktioniert hat, die Systemwiederherstellung ist einen Versuch Wert!:

Infektion was mit absoluter Sicherheit am 24.12.2010.
Fragen dazu:
1.) Heißt das wenn ich eine System wiederherstellung von dem 23.12. oder davor durchführe verliere ich zwar die Daten zwischen diesem Tag und dem jetzigen Zeitpunkt, brauche aber keinerlei Bereinigung mehr durchführen?
2.) Kann ich Sicherheitskopien meiner bis heute vorhandenen eMail-Korrespondenz erstellen und nach der SWH wiederherstellen? Die Infektion fand im Browser statt (Firefox oder Opera), nicht im eMail-Programm (Ich nutze Thunderbird).

Zitat:

Zitat von Coverflow

► Da die SWH nur ein Notlösung ist und/oder die Systemwiederherstellung ist nicht durchführbar, arbeite die aufgeführten Schritte bitte vollständig ab:

Sprich wenn ich die SWH erfolgreich durchführe ist alles andere darunter nicht mehr nötig, richtig?

Dank & Gruß,
Edd

Zitat:

Zitat von Edd

Sprich wenn ich die SWH erfolgreich durchführe ist alles andere darunter nicht mehr nötig, richtig?

Nein, eben weil die SWH nur eine Notlösung ist und kann man sich nicht sicher sein , ob das Problem damit beseitigt wurde. Gilt es besonders bei Backdoor, Rootkit und Master Boot Record - Befall), einen Systemscheck ist unvermeidbar bzw empfohlen

Systemreinigung und Prüfung:
1.
Funde aus der Quarantäne von Comodo bitte löschen!

2.
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked" klicken→ PC neu aufstarten):
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen

Code: Alles auswählenAufklappen

ATTFilter

O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
         

3.
Windows und die installierten Programme auf den neuesten Stand zu halten,sind Garanten für eine erhöhte Sicherheit!
Java aktualisieren `Start→ Systemsteuereung→ Java→ Aktualisierung...(Update 23 schon fällig!)

4.
den Java-Cache leeren - wie unter Punkt 7. u. 8. beschrieben *klick
über Systemsteuerung -> Java...

5.
Adobe Reader aktualisieren :
Adobe Reader
Oder: Adobe starten-> gehe auf "Hilfe"-> "Nach Update suchen..."

6.

Zitat:

**Vor dem Löschen temporärer Dateien sollte man unbedingt alle Anwendungen beenden!
**lösche nur den Inhalt der Ordner, nicht die Ordner selbst!
**Der Temp Ordner,ist für temporäre Dateien,also der Inhalt kann man ohne weiteres löschen.- Dateien, die noch in Benutzung sind,nicht löschbar.

Temp Ordner leeren:
C:\Users\xxxxx\AppData\Local\Temp--> lösche nur den Inhalt der Ordner, nicht die Ordner selbst
oder klicke auf Start-> Suche-> %temp% reinschreiben...

7.
Öffne CCleaner

• "Cleaner"-->"Analysieren"-->Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"--> "Fehler beheben"-->"Alle beheben"
• Starte dein System neu auf

8.

• lade Dir SUPERAntiSpyware FREE Edition herunter.
• installiere das Programm und update online.
• starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
• setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
• anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
• auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
• um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
• drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

9.
Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware ("Worm.Win32.Autorun") verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen.
→ Also alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird.
Außerdem kann man die Autostarteigenschaft auch ausschalten:
→ Windows-Sicherheit: Datenträger-Autorun deaktivieren- bebilderte Anleitung v.Leonidas/3dcenter.org
→ Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten/wintotal.de
→ Diese Silly -Beschreibung stützt die Annahme, dass er über einen USB-Stick kam. Die Ursache ist durch formatieren des Sticks aus der Welt geschafft, Du solltest darauf achten, dass dort keine Datei autorun.inf wieder auftaucht und etwas wählerisch sein, wo Du deinen Stick reinsteckst.
Achtung!:
>>Du sollst das Programm nicht installieren, sondern dein System nur online scannen<<
→ Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner/klicke hier
→ um mit dem Vorgang fortzufahren klicke auf "Accept"
→ dann wähle "My computer" aus - Es dauert einige Zeit, bis ein Komplett-Scan durch gelaufen ist, also bitte um Geduld!
Es kann einige Zeit dauern, bis der Scan abgeschlossen ist - je nach Größe der Festplatte eine oder mehrere Stunden - also Geduld...
→ Report angezeigt, klicke auf "Save as" - den bitte kopieren und in deinem Thread hier einfügen
Vor dem Scan Einstellungen im Internet Explorer:
→ "Extras→ Internetoptionen→ Sicherheit":
→ alles auf Standardstufe stellen
→ Active X erlauben - damit die neue Virendefinitionen installiert werden können

10.
poste erneut - nach der vorgenommenen Reinigungsaktion:
TrendMicro™ HijackThis™ -Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!

** Wie ist den aktuellen Zustand des Rechners? probleme, Auffälligkeiten, Meldung v. AV-Scanner oder Firewall?

Zitat:

Zitat von Coverflow

Nein, eben weil die SWH nur eine Notlösung ist und kann man sich nicht sicher sein , ob das Problem damit beseitigt wurde. Gilt es besonders bei Backdoor, Rootkit und Master Boot Record - Befall), einen Systemscheck ist unvermeidbar bzw empfohlen

Hatte ich vermutet. Aber danke für die Antwort.

Zitat:

Zitat von Coverflow

Systemreinigung und Prüfung:
1.
Funde aus der Quarantäne von Comodo bitte löschen!

Code: Alles auswählenAufklappen

ATTFilter

Infizierte Dateien:
c:\program files\comodo\comodo internet security\quarantine\systempack107_2121.exe (Trojan.FakeAlert) -> No action taken.
c:\program files\comodo\comodo internet security\quarantine\tmp0002d6be (Adware.TimeSink) -> No action taken.
c:\program files\comodo\comodo internet security\quarantine\tmp0002da0b (Adware.TimeSink) -> No action taken.
         

Habe die drei Dateien gelöscht - und noch weitere Objekte, die Comodo seit Monaten in Quarantäne hatte: gefährlich oder nicht, so lange wie sie in Quarantäne waren ist es offensichtlich, dass sie nicht benötigt wurden, und es waren eh alles tmp*-Dateien (fingen alle im Dateinamen mit "tmp" an und "Adware.TimeSink" stand bei Commodo hinter jeder einzelnen dahinter). Hab die Comodo Quarantäne in Comodo geleert (alle Dateien darin gelöscht) - vorher die drei besagten einzeln rausgesucht und gelöscht, um sicher zu sein, dass sie weg sind.

Werde jetzt die Liste Schritt für Schritt durcharbeiten. Danke für deine Hilfe, Coverflow!

Ich benötige den Rechner am morgigen Dienstagabend ab 17:30 Uhr für einen gewerblichen Termin (bin nebenberuflich Kleinunternehmer) - meinst du bis dahin ist mein Computer wieder voll einsatzfähig? Werde meine Kreditkarte online in Anspruch nehmen müssen morgen Abend.

So oder so, ich find's toll, dass du mir so hilfst! Weiß ich zu schätzen! Danke dir!

Gruß,
Edd

Zitat:

Zitat von Coverflow

2.
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked" klicken→ PC neu aufstarten):
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen

Code: Alles auswählenAufklappen

ATTFilter

O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
         

Ist geschehen.

Gruß,
Edd

Zitat:

Zitat von Coverflow

3.
Windows und die installierten Programme auf den neuesten Stand zu halten,sind Garanten für eine erhöhte Sicherheit!
Java aktualisieren `Start→ Systemsteuereung→ Java→ Aktualisierung...(Update 23 schon fällig!)

Java ist nun aktualisiert. Bekam die Aufforderung Java zu installieren als ich deinen Anweisungen folgte - hatte gedacht Java sei vorinstalliert gewesen...? Oder installiert das System immer gleich Java komplett neu wenn es "updatet"? Bin der Anweisung jedenfalls gefolgt und bei erneutem Suchen nach Aktualisierungen kam die Meldung, Java sei auf dem aktuellsten Stand.

Eine Frage hätte ich aber:
Ich hab dann "Automatisch nach Aktualisierungen suchen" vom Programmstandard 1x pro Monat auf jeden Tag ändern wollen, aber jedes Mal wenn ich in das entsprechende Menü des Java Control Panels gehe zeigt er mir wieder den Programm-Standard 1x pro Monat am Monatszweiten an. Warum kann ich das nicht ändern? Manuell nach Updates suchen vergesse ich zu leicht... Hast du da nen Tipp für mich? Mache ich irgendwas falsch?

Zitat:

Zitat von Coverflow

4.
den Java-Cache leeren - wie unter Punkt 7. u. 8. beschrieben *klick
über Systemsteuerung -> Java...

Mache ich bei Opera, meinem Hauptbrowser, nach jeder Verwendung des Programms bevor ich es schließe.
Wie dem auch sei:
Java: Cache gelehrt.
Firefox und Internet Explorer: Cache gelehrt.
Opera: mache ich nach diesem Posting - nicht vorher, weil mir sonst das Tab geschlossen wird.
Andere Browser sind nicht installiert.

Gruß,
Edd

Zitat:

Zitat von Coverflow

5.
Adobe Reader aktualisieren :
Adobe Reader
Oder: Adobe starten-> gehe auf "Hilfe"-> "Nach Update suchen..."

Hab ich gemacht - aber er war bereits auf dem aktuellen Stand.

Zitat:

Zitat von Coverflow

6.
Temp Ordner leeren:
C:\Users\xxxxx\AppData\Local\Temp--> lösche nur den Inhalt der Ordner, nicht die Ordner selbst
oder klicke auf Start-> Suche-> %temp% reinschreiben...

Hab ich gemacht:
Bis auf eine Datei, die vom Explorer verwendet wurde (FXSAPIDebugLogFile.txt), sind mit Ausnahme der System-Dateien (desktop.ini und index.dat) in allen Unterordnern des Ordners "Temp" sowie im Ordner "Temp" selbst alle Dateien gelöscht. Die Unterordner in "Temp" hab ich gemäß deiner Anweisung alle bestehen gelassen.

Gruß,
Edd

Zitat:

Zitat von Coverflow

7.
Öffne CCleaner

• "Cleaner"-->"Analysieren"-->Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"--> "Fehler beheben"-->"Alle beheben"
• Starte dein System neu auf

Erledigt. Meine Güte, was hat der Cleaner viele Fehler in der Registry gefunden! Krass!

...anschließend nach Neustart nun im User-Account eingeloggt und auch dort für Java und alle Browser umgesetzt (hatte ich beim ersten Mal nur im Administrator-Account gemacht):

Zitat:

Zitat von Coverflow

4.
den Java-Cache leeren - wie unter Punkt 7. u. 8. beschrieben *klick
über Systemsteuerung -> Java...

Jetzt gehe ich wieder in den Administrator-Account und mache mit Punkt 8 der Liste weiter.

Dank & Gruß,
Edd

Zitat:

Zitat von Coverflow

8.

• lade Dir SUPERAntiSpyware FREE Edition herunter.
• installiere das Programm und update online.
• starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
• setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
• anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
• auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
• um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
• drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 01/17/2011 at 07:36 PM

Application Version : 4.48.1000

Core Rules Database Version : 6217
Trace Rules Database Version: 4029

Scan type       : Complete Scan
Total Scan Time : 00:18:43

Memory items scanned      : 791
Memory threats detected   : 0
Registry items scanned    : 9533
Registry threats detected : 0
File items scanned        : 24567
File threats detected     : 19

Adware.Tracking Cookie
	cdn.insights.gravity.com [ C:\Users\edDy\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\DXP86CTU ]
	cdn4.specificclick.net [ C:\Users\edDy\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\DXP86CTU ]
	content.video.imedia.ro [ C:\Users\edDy\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\DXP86CTU ]
	de.mediaplanet.streamingbolaget.se [ C:\Users\edDy\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\DXP86CTU ]
	ia.media-imdb.com [ C:\Users\edDy\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\DXP86CTU ]
	imagesrv.adition.com [ C:\Users\edDy\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\DXP86CTU ]
	media.king5.com [ C:\Users\edDy\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\DXP86CTU ]
	media.movieweb.com [ C:\Users\edDy\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\DXP86CTU ]
	media.mtvnservices.com [ C:\Users\edDy\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\DXP86CTU ]
	media.onsugar.com [ C:\Users\edDy\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\DXP86CTU ]
	media.scanscout.com [ C:\Users\edDy\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\DXP86CTU ]
	media.socialvibe.com [ C:\Users\edDy\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\DXP86CTU ]
	media1.break.com [ C:\Users\edDy\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\DXP86CTU ]
	msnbcmedia.msn.com [ C:\Users\edDy\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\DXP86CTU ]
	obamacountdownwidget.com [ C:\Users\edDy\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\DXP86CTU ]
	s0.2mdn.net [ C:\Users\edDy\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\DXP86CTU ]
	secure-us.imrworldwide.com [ C:\Users\edDy\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\DXP86CTU ]
	www.f*ckingmachines.com [ C:\Users\edDy\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\DXP86CTU ]

Trojan.Agent/Gen-BanLoad
	I:\ALL U NEED\NOT BACKUPED\EMAIL PROGRAMS\MOZILLA THUNDERBIRD 3.1\THUNDERBIRD SETUP 3.1.1.EXE
         

Den letzten Tracking Cookie hab ich mit einem * zensiert - ohnehin offensichtlich, aber wo das * ist steht in der log-Datei ein u.

Ob löschen oder in Quarantäne stellen hat das Programm nicht zur Wahl gestellt, sondern mich nur informiert, dass die schädlichen Objekte in Quarantäne gestellt werden.

Aber sollten Cookies nicht gelöscht werden, wenn im Browser nach einer Internetsitzung "delete private data" mit Häkchen bei "delete all cookies" durchgeführt wird? Mache ich nach jeder Sitzung - verstehe daher nicht so ganz, dass überhaupt Cookies im System verbleiben - und dann gleich 18 (!) schädliche...

Auch seltsam: Meine Thunderbird-Installationsdatei wurde als schädliches Objekt gelistet und steht nun in Quarantäne... Wie kommt das? Suchen sich Schädlinge normale bereits vorhandene (vielleicht nicht so oft genutzte) Dateien aus dem System raus und "infizieren" die?

Na wie dem auch sei. Weiter im Programm...

Dank & Gruß,
Edd

Zitat:

Zitat von Coverflow

Außerdem kann man die Autostarteigenschaft auch ausschalten:
→ Windows-Sicherheit: Datenträger-Autorun deaktivieren- bebilderte Anleitung v.Leonidas/3dcenter.org
→ Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten/wintotal.de

Unter Systemsteuerung\Alle Systemsteuerungselemente\Automatische Wiedergabe das Häkchen für "Automatische Wiedergabe für alle Medien und Geräte verwenden" entfernt und anschließend alle einzelnen Medien (Geräte sind keine gelistet) auf "Keine Aktion durchführen" gestellt.

Hingegen nicht finden konnte ich:

Zitat:

Zitat von h**p://w*w.wintotal.de/tipparchiv/index.php?id=548
(Kategorie) = Systemsteuerung - "Hardware und Sound" - "CDs und andere Medien automatisch wiedergeben".

Nicht gefunden, wo das in der Systemsteuerung sein soll - sollte laut verlinktem Text Windows 7 betreffen, aber die Kategorie "Hardware und Sound" gibt es nicht, "Hardware" auch nicht, "Sound" schließlich beinhaltet die Optionen nicht. Reicht obiges Abschalten? Von der Formulierung unter Windows her klingt es als sei das ausreichend...

Also dann suche ich mal nach meinen USB-Sticks und gehe Punkt 9 der Liste an...

Gruß,
Edd

Zitat:

Zitat von Coverflow

Achtung!:
>>Du sollst das Programm nicht installieren, sondern dein System nur online scannen<<
→ Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner/klicke hier
→ um mit dem Vorgang fortzufahren klicke auf "Accept"
→ dann wähle "My computer" aus - Es dauert einige Zeit, bis ein Komplett-Scan durch gelaufen ist, also bitte um Geduld!
Es kann einige Zeit dauern, bis der Scan abgeschlossen ist - je nach Größe der Festplatte eine oder mehrere Stunden - also Geduld...
→ Report angezeigt, klicke auf "Save as" - den bitte kopieren und in deinem Thread hier einfügen
Vor dem Scan Einstellungen im Internet Explorer:
→ "Extras→ Internetoptionen→ Sicherheit":
→ alles auf Standardstufe stellen
→ Active X erlauben - damit die neue Virendefinitionen installiert werden können

Klappt nicht!! Fehlermeldung von Kasperski:
"Kaspersky Online Scanner 7.0 download and operation require Java framework version 1.6 or later."
Dabei ist Java installiert und aktualisiert! Bin dennoch dem von Kaspersky vorgeschlagenen Link zu Java gefolgt, aber da ist schlicht die bereits installierte Java-Version zu finden! Ein Versuch die Datei zu installieren gab mir wie erwartet die Information, das Programm sei bereits installiert, ob ich neu installieren wolle. Hab verneint, denn was bringt's am selben Tag das selbe Programm erneut zu installieren? Was jetzt?? Kaspersky Online Scanner lässt sich nicht starten! "Accept" ist nicht anklickbar, nur "Exit" kann ich anklicken! Was mache ich jetzt??

An Standard-Stufe der Internet-Optionen und Active.X lag es auch nicht - hatte beides vorher eingestellt. Hab sogar bei einem zweiten Versuch in der Standard-Stufe weitere Active.X-Optionen aktiviert trotz Hinweis des Systems dies sei riskant - gleiche Meldung wieder. Hab hinterher wieder auf Standard-Stufe geändert, aber damit ist Active.X ja immer noch aktiviert! Warum findet Kaspersky mein Java nicht? Virenscanner war auch ausgeschaltet und der Rest der Comodo Internet Security hat keine Reaktion gezeigt. Was soll ich tun?

Gruß,
Edd

Das kann natürlich Kaspersky Online nicht ersetzen, aber ich hab, da ich schon alles angeschlossen hatte, die Gelegenheit ergriffen und hab mal Comodo Internet Security alles prüfen lassen. Gefunden hat Comodo nur auf der bislang nicht angeschlossenen zweiten externen Festplatte etwas: 7 Dateien, die ich alle schon seit fast 10 Jahren auf Festplatte habe, und außer LeechGet auch alle schon genutzt habe. Sie wurden auch bei früheren Virenscans (vor mehreren Jahren) zum Teil schonmal angezeigt, aber da ich die Programm-Dateien kannte und fast alle in Benutzung hatte hab ich die damals immer als Fehlmeldung zu den vertrauenswürdigen Dateien hinzugefügt... Eigentlich brauche ich die Dateien aber nicht mehr, waren nur noch ungenutzt bei den Sicherheitskopien belassen - von daher sind sie jetzt erstmal in Quarantäne. Ich kann sie auch ganz löschen, wollte aber nicht eigenmächtig handeln.

Wie dem auch sei, hier ist der Inhalt der Log-Datei (war nicht mehr als ne Auflistung der gefundenen vermeidlichen Schädlinge):

Code: Alles auswählenAufklappen

ATTFilter

UnclassifiedMalware@16861865 M:\\von K\all u need\backuped\Internet\Downloadmanager\GetRight 4.3\Setup.exe
UnclassifiedMalware@9577244 M:\\von K\all u need\backuped\security-tools\Trojanerkiller\TFAK5.zip|tfak.exe
Packed.Win32.MUPX.Gen@129019204 M:\\von K\all u need\not backuped\download managers\LeechGet 2004\LeechGet.exe|{app}\LeechGet.exe
Packed.Win32.MUPX.Gen@129019204 M:\\von K\all u need\not backuped\download managers\LeechGet 2004\LeechGet.exe|{app}\Evolution.exe
Packed.Win32.MUPX.Gen@129019204 M:\\von K\all u need\not backuped\download managers\LeechGet 2004\LeechGet.exe|{app}\LGOptions.exe
Heur.Suspicious@21637555 M:\\von K\all u need\not backuped\fixes von 'MS-Service-CD' - Computer Bild 8-2004\Internet Explorer 6 Service Pack 1\Ie_6_sp1\ie6setup.exe|Unsfx|ie6wzd.exe
Heur.Suspicious@21637555 M:\\von K\CDTEMP\Windows neu aufsetzen & konfigurieren\fixes von 'MS-Service-CD' - Computer Bild 8-2004\Internet Explorer 6 Service Pack 1\Ie_6_sp1\ie6setup.exe|Unsfx|ie6wzd.exe
         

Werde jetzt nochmal HijackThis durchlaufen lassen und posten - schaden kann es ja nicht. Auch wenn ich es am Ende noch ein weiteres Mal durchlaufen lassen muss. Ich möchte einfach den aktuellen Zwischenstand dokumentieren, denn morgen bin ich ab ca. 14:30 Uhr zu Hause und benötige meinen Rechner im Kreditkarten-nutzbaren Zustand ab 17:30 Uhr. Hab Sorge, dass das nicht mehr hinhauen wird. Aber was ich machen kann mache ich - ist ja nicht tragisch wenn es sich als umsonst rausstellt.

Dank & Gruß,
Edd

Zitat:

Zitat von Coverflow

berichte in welchem Zustand dein System sich befindet? Ob noch Probleme auftreten? - wenn ja, welche?

Nach einem Tipp eines Kollegen von mir hab ich unter *Rechtsklick auf Festplatte* > Eigenschaften > Tools > Fehlerüberprüfung > *Klick* "Jetzt prüfen..." alle Festplatten überprüft und jeweils vorab beide Häkchen für die Korrekturen gesetzt. Ergebnis war erwartungsgemäß: Die Probleme bereitende externe Festplatte wies Fehler auf, die auf Grund der gesetzten Häkchen direkt korrigiert werden sollten, was erfolgreich geschah. Die beiden Partitionen der internen Festplatte wie auch die zweite externe Datenplatte waren allesamt erwartungsgemäß fehlerfrei.
Seit der Fehlerüberprüfung mit Korrektur laufen alle Festplatten wieder problemlos: Sie werden direkt geladen, verursachen keine Programm- oder Systemabstürze mehr und beeinträchtigen auch sonst die Systemleistung nicht. Problem gelöst.

Weitere Probleme sind nicht mehr aufgetreten. Aber die Kontrolle, ob das System noch irgendwelche Malware hat oder nicht, hatten wir ja noch nicht abgeschlossen:

Zitat:

Zitat von Coverflow

9.
Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware ("Worm.Win32.Autorun") verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen.
→ Also alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird.
Außerdem kann man die Autostarteigenschaft auch ausschalten:
→ Windows-Sicherheit: Datenträger-Autorun deaktivieren- bebilderte Anleitung v.Leonidas/3dcenter.org
→ Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten/wintotal.de
→ Diese Silly -Beschreibung stützt die Annahme, dass er über einen USB-Stick kam. Die Ursache ist durch formatieren des Sticks aus der Welt geschafft, Du solltest darauf achten, dass dort keine Datei autorun.inf wieder auftaucht und etwas wählerisch sein, wo Du deinen Stick reinsteckst.
Achtung!:
>>Du sollst das Programm nicht installieren, sondern dein System nur online scannen<<
→ Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner/klicke hier
→ um mit dem Vorgang fortzufahren klicke auf "Accept"
→ dann wähle "My computer" aus - Es dauert einige Zeit, bis ein Komplett-Scan durch gelaufen ist, also bitte um Geduld!
Es kann einige Zeit dauern, bis der Scan abgeschlossen ist - je nach Größe der Festplatte eine oder mehrere Stunden - also Geduld...
→ Report angezeigt, klicke auf "Save as" - den bitte kopieren und in deinem Thread hier einfügen
Vor dem Scan Einstellungen im Internet Explorer:
→ "Extras→ Internetoptionen→ Sicherheit":
→ alles auf Standardstufe stellen
→ Active X erlauben - damit die neue Virendefinitionen installiert werden können

Dies hab ich ja letzte Woche nicht durchführen können. Nochmal versuchen? Externe Festplatten funktionieren ja beide wieder, aber das letzte Woche aufgetretene Problem "Lizenz abgelaufen" ("[ERROR: License has expired]") hing damit denke ich nicht zusammen... Oder sehe ich das falsch? Kann ich den Online-Scanner überhaupt nutzen ohne Kasperski Antivirus zuvor gekauft zu haben?

Zitat:

Zitat von Coverflow

poste erneut - nach der vorgenommenen Reinigungsaktion:
TrendMicro™ HijackThis™ -Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!

Ebenfalls noch nicht geschehen...

Zitat:

Zitat von Edd

Also nicht die Protokollierung der einzelnen Verzeichnisse, sondern hier nur die Vorweg angegebenen Daten und die Funde am Ende:

Code: Alles auswählenAufklappen

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 22. Januar 2011  17:06

Es wird nach 2413583 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7
Windowsversion : (plain)  [6.1.7600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : EVIL-ED

Versionsinformationen:
BUILD.DAT      : 10.0.0.609     31824 Bytes  13.12.2010 09:29:00
AVSCAN.EXE     : 10.0.3.5      435368 Bytes  13.12.2010 07:39:22
AVSCAN.DLL     : 10.0.3.0       56168 Bytes  13.12.2010 07:39:38
LUKE.DLL       : 10.0.3.2      104296 Bytes  13.12.2010 07:39:28
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 10:59:48
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 08:05:36
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 14:52:49
VBASE002.VDF   : 7.11.0.1        2048 Bytes  14.12.2010 14:52:49
VBASE003.VDF   : 7.11.0.2        2048 Bytes  14.12.2010 14:52:49
VBASE004.VDF   : 7.11.0.3        2048 Bytes  14.12.2010 14:52:49
VBASE005.VDF   : 7.11.0.4        2048 Bytes  14.12.2010 14:52:49
VBASE006.VDF   : 7.11.0.5        2048 Bytes  14.12.2010 14:52:49
VBASE007.VDF   : 7.11.0.6        2048 Bytes  14.12.2010 14:52:50
VBASE008.VDF   : 7.11.0.7        2048 Bytes  14.12.2010 14:52:50
VBASE009.VDF   : 7.11.0.8        2048 Bytes  14.12.2010 14:52:50
VBASE010.VDF   : 7.11.0.9        2048 Bytes  14.12.2010 14:52:50
VBASE011.VDF   : 7.11.0.10       2048 Bytes  14.12.2010 14:52:50
VBASE012.VDF   : 7.11.0.11       2048 Bytes  14.12.2010 14:52:50
VBASE013.VDF   : 7.11.0.52     128000 Bytes  16.12.2010 14:52:50
VBASE014.VDF   : 7.11.0.91     226816 Bytes  20.12.2010 14:52:50
VBASE015.VDF   : 7.11.0.122    136192 Bytes  21.12.2010 14:52:51
VBASE016.VDF   : 7.11.0.156    122880 Bytes  24.12.2010 14:52:51
VBASE017.VDF   : 7.11.0.185    146944 Bytes  27.12.2010 14:52:51
VBASE018.VDF   : 7.11.0.228    132608 Bytes  30.12.2010 14:52:51
VBASE019.VDF   : 7.11.1.5      148480 Bytes  03.01.2011 14:52:51
VBASE020.VDF   : 7.11.1.37     156672 Bytes  07.01.2011 14:52:52
VBASE021.VDF   : 7.11.1.65     140800 Bytes  10.01.2011 14:52:52
VBASE022.VDF   : 7.11.1.87     225280 Bytes  11.01.2011 14:52:52
VBASE023.VDF   : 7.11.1.124    125440 Bytes  14.01.2011 14:52:52
VBASE024.VDF   : 7.11.1.155    132096 Bytes  17.01.2011 14:52:53
VBASE025.VDF   : 7.11.1.189    451072 Bytes  20.01.2011 14:52:53
VBASE026.VDF   : 7.11.1.190      2048 Bytes  20.01.2011 14:52:53
VBASE027.VDF   : 7.11.1.191      2048 Bytes  20.01.2011 14:52:53
VBASE028.VDF   : 7.11.1.192      2048 Bytes  20.01.2011 14:52:53
VBASE029.VDF   : 7.11.1.193      2048 Bytes  20.01.2011 14:52:53
VBASE030.VDF   : 7.11.1.194      2048 Bytes  20.01.2011 14:52:53
VBASE031.VDF   : 7.11.1.216     59392 Bytes  21.01.2011 14:52:53
Engineversion  : 8.2.4.150 
AEVDF.DLL      : 8.1.2.1       106868 Bytes  13.12.2010 07:39:18
AESCRIPT.DLL   : 8.1.3.52     1282426 Bytes  22.01.2011 14:52:56
AESCN.DLL      : 8.1.7.2       127349 Bytes  13.12.2010 07:39:18
AESBX.DLL      : 8.1.3.2       254324 Bytes  13.12.2010 07:39:18
AERDL.DLL      : 8.1.9.2       635252 Bytes  13.12.2010 07:39:18
AEPACK.DLL     : 8.2.4.8       512374 Bytes  22.01.2011 14:52:56
AEOFFICE.DLL   : 8.1.1.15      205178 Bytes  22.01.2011 14:52:56
AEHEUR.DLL     : 8.1.2.68     3178870 Bytes  22.01.2011 14:52:55
AEHELP.DLL     : 8.1.16.0      246136 Bytes  13.12.2010 07:39:12
AEGEN.DLL      : 8.1.5.2       397683 Bytes  22.01.2011 14:52:54
AEEMU.DLL      : 8.1.3.0       393589 Bytes  13.12.2010 07:39:12
AECORE.DLL     : 8.1.19.2      196983 Bytes  22.01.2011 14:52:54
AEBB.DLL       : 8.1.1.0        53618 Bytes  13.12.2010 07:39:12
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  13.12.2010 07:39:22
AVPREF.DLL     : 10.0.0.0       44904 Bytes  13.12.2010 07:39:20
AVREP.DLL      : 10.0.0.8       62209 Bytes  17.06.2010 13:26:54
AVREG.DLL      : 10.0.3.2       53096 Bytes  13.12.2010 07:39:20
AVSCPLR.DLL    : 10.0.3.2       84328 Bytes  13.12.2010 07:39:22
AVARKT.DLL     : 10.0.22.6     231784 Bytes  13.12.2010 07:39:18
AVEVTLOG.DLL   : 10.0.0.8      203112 Bytes  13.12.2010 07:39:20
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  17.06.2010 13:27:04
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  13.12.2010 07:39:22
NETNT.DLL      : 10.0.0.0       11624 Bytes  17.06.2010 13:27:02
RCIMAGE.DLL    : 10.0.0.26    2550120 Bytes  28.01.2010 12:10:10
RCTEXT.DLL     : 10.0.58.0      98152 Bytes  13.12.2010 07:39:40

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: mittel
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, L:, M:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Samstag, 22. Januar 2011  17:06

(...)

(...)

(...)

Beginne mit der Desinfektion:
M:\von K\stuff\games\Spackspiele\
M:\von K\stuff\games\Spackspiele\Stress Reducers.exe
    [FUND]      Enthält Erkennungsmuster des Scherzprogrammes JOKE/Stressreducer
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4920f226.qua' verschoben!
M:\von K\all u need\not backuped\codecs & filters\¡ ältere Versionen !\DivX 5.2 (für Win 2000 & XP)\
M:\von K\all u need\not backuped\codecs & filters\¡ ältere Versionen !\DivX 5.2 (für Win 2000 & XP)\DivX52XP2K.exe
    [FUND]      Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/Asprotect). Bitte verifizieren Sie den Ursprung dieser Datei.
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '51abdd8e.qua' verschoben!
M:\von K\all u need\backuped\Internet\FTP\
M:\von K\all u need\backuped\Internet\FTP\susetup.exe
    [FUND]      Enthält Erkennungsmuster der Anwendung APPL/Serv-U.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '03eb876a.qua' verschoben!
L:\Evil-Ed\Backup Set 2010-10-11 031208\Backup Files 2010-10-11 031208\
L:\Evil-Ed\Backup Set 2010-10-11 031208\Backup Files 2010-10-11 031208\Backup files 2.zip
    [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/ClassLoader.BO
    [WARNUNG]   Die Datei wurde ignoriert.
D:\Spiele-Emulatoren\gepackte Sicherheitskopien\
D:\Spiele-Emulatoren\gepackte Sicherheitskopien\Gens32_Surreal_v1_86_HD.rar
    [FUND]      Enthält Erkennungsmuster des SPR/Patcher.BS-Programmes
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '65dbc858.qua' verschoben!
D:\Spiele-Emulatoren\Gens32_Surreal_v1_86_HD\Tools\AT32 Hack\MoonWalker\
D:\Spiele-Emulatoren\Gens32_Surreal_v1_86_HD\Tools\AT32 Hack\MoonWalker\AT32_MoonWalker.zip
    [FUND]      Enthält Erkennungsmuster des SPR/Patcher.BS-Programmes
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '2098e575.qua' verschoben!


Ende des Suchlaufs: Samstag, 22. Januar 2011  23:11
Benötigte Zeit:  5:30:36 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

 288615 Verzeichnisse wurden überprüft
 4392685 Dateien wurden geprüft
     32 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      5 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
    100 Dateien konnten nicht durchsucht werden
 4392553 Dateien ohne Befall
  33633 Archive wurden durchsucht
   2011 Warnungen
   1168 Hinweise
 458341 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
         

Zu den Virenfunden:
(0) 32 Stück ist Quatsch in so fern, dass die selbe Datei im selben Archiv mit selbem Pfad ettliche Male gezählt wurde - warum auch immer. Finde ich irreführend, denn ich war reichlich irritiert 32 Virenfunde als Ziffer zu sehen und dann nur bei 6 Funden gefragt zu werden, was damit passieren soll. Nun, es waren nur die 6 - ich bin das vollständige Protokoll durchgegangen und habe die Funde abgeglichen.
(1) Stress Reducers.exe ist in der Tat ein Spaßprogramm, bzw. genauer ein Spaßspiel, birgt aber kein Risiko meiner Ansicht nach - ich hab es ich glaub bereits seit Ende der 90er Jahre, damals auch ein paar Mal gespielt. Letztlich aber auch unnötig, von daher kann es wegen mir weg.
(2) Die DivX-Datei, naja installationsdatei unter Windows 2000, meinem früheren Betriebssystem, halt... "mit einem ungewöhnlichen Laufzeitpacker komprimiert" - ok... Risiko? Die Datei hat mir noch nie ein Virenscanner aufgezeigt und ich hab sie schon lange. Sei's drum. Brauchen tue ich sie nicht mehr, von daher...
(3) susetup.exe - FTP-Programm, früher unter Windows 2000 genutzt, brauche ich eh nicht mehr, kann weg. Aber Risiko? Fraglich...
(4) Java-Virus JAVA/ClassLoader.BO - ohne zu wissen auf welche Datei innerhalb des Systemabbilds es sich bezieht kann ich das schwer beurteilen, aber September 2010?? Und danach nicht mehr?? Zudem war als Begründung im Anschluss an den Scan bei der Rückfrage, wie ich mit den gefundenen Objekten verfahren möchte, die vorgeschlagene Handlung die Datei zu ignorieren, angegeben, es handle sich um ein eMail-Postfach und um die eMails nicht zu beeinträchtigen sei der Virus zu ignorieren. Nicht etwa um eine anhängende Datei, sondern um ein Postfach. Seltsame Sache.
Hier der Protokoll-Auszug:

Code: Alles auswählenAufklappen

ATTFilter

L:\Evil-Ed\Backup Set 2010-10-11 031208\Backup Files 2010-10-11 031208\Backup files 2.zip
[0] Archivtyp: ZIP
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.BH
  --> C/Users/edDy/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/63/3c290e7f-2c23f1fb
    [1] Archivtyp: ZIP
--> dev/s/AdgredY.class
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.BH
  [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
--> dev/s/DyesyasZ.class
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.GS
  [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
--> dev/s/LoaderX.class
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/ClassLoader.BO
  [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
    [WARNUNG]   Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht.
         

(5) Gens32_Surreal_v1_86_HD.rar: funktionsfähiger Spiele-Emulator. Vor kurzem (Januar 2011) von nem Kumpel von mir gemailt bekommen, der sagte, es sei aus vertrauenswürdiger Quelle. Auch bereits genutzt und lief problemlos. Die rar-Datei beinhaltet allerdings die sechste gefundene Bedrohung und wurde wohl wegen dieser mitaufgezählt:
(6) AT32_MoonWalker.zip: ReadMe.txt zu der zip-Datei besagt, sie sei ein Patch - wohl für den Emulator, macht aber inhaltlich nicht ar zu viel Sinn, denn es ist von Michael Jackson Songs die Rede, die durch das Patch eingebunden werden sollen - wozu auch immer, seine Musik hat mit den Spielen nichts zu tun. Klingt in der Tat nicht vertrauenswürdig, ich hab das Patch aber bislang weder im Verzeichnis bemerkt noch ausgeführt. Vom Emulator scheint es auch nicht ausgeführt zu werden, oder jedenfalls nicht benötigt, denn er funktoiniert auch nachdem ihm die Datei geraubt wurde noch, hab's eben kurz getestet. Also keine Ahnung was es mit dem Patch auf sich hat, aber es ist inhaltlich fragwürdig und somit gewiss nicht vertrauenswürdig...

Alle Funde mit Ausnahme des ignorierten WHS-Inhaltes sind zur Zeit in Quarantäne. Soll ich sie löschen?

Auch noch offen: Hab noch nichts gelöscht, da ich nicht eigenmächtig handeln wollte, sondern erst nach deiner Bestätigung löschen wollte... Soll ich die in Avira Antivir-Quarantäne befindlichen Funde löschen?


...wie soll ich nun vorgehen? Keine aktuell bemerkten Probleme mehr bedeutet ja noch nicht, dass das System nun Malware-frei und vertrauenswürdig ist...

Danke für deine Hilfe.

Gruß,
Edd

Quarantäne von Avira ja leeren

mache einen Onlinescan bitte nicht mit Kaspersky, da läuft nicht mehr, sondern:

- "Link:-> ESET Online Scanner
>>Du sollst nicht die Antivirus-Sicherheitssoftware installieren, sondern dein System nur online scannen<<
Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware ("Worm.Win32.Autorun") verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen.
Schließe jetzt alle externe Datenträgeran (USB Sticks etc) Deinen Rechner an, dabei die Hochstell-Taste [Shift-Taste] gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. (So verhindest Du die Ausführung der AUTORUN-Funktion) - Man kann die AUTORUN-Funktion aber auch generell abschalten.► [Sicherheit] Autorun Funktion für mehr Sicherheit auf allen Laufwerken deaktivieren /Avira Support Forum

-> Führe dann einen Komplett-Systemcheck mit Nod32 durch
- folgendes bitte anhaken > "Remove found threads" und "Scan archives"
- die Scanergebnis als *.txt Dateien speichern)
- meistens "C:\Programme\Eset\EsetOnlineScanner\log.txt"

Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben
- um den Scan zu starten: wenn du danach gefragt wirst (den Text in der Informationsleiste ) - ActiveX-Steuerelement installieren lassen