Dann wären wir durch!

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Moin,

wollt nur abschließen bescheid geben, dass ich die Updates alle gemacht habe.
Nur habe ich die Installversion des "Foxit PDF Readers" verwendet. Na ja die Foxit-TB lässt sich ja leicht deinstallieren.

JavaRa, kannte ich noch nicht, klein und fein!

Zu guter letzt habe ich noch ein Image erstellt und Ihm eine Sicherung eingerichtet.

Auch nach intensivem rumspielen ist das System sauber.

Da du Logs so liebst, hier nochmals MBAM und SUPER AntiSpyware beide ohne Befund.

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Database version: 5670

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

03.02.2011 20:18:57
mbam-log-2011-02-03 (20-18-57).txt

Scan type: Full scan (C:\|D:\|)
Objects scanned: 221246
Time elapsed: 1 hour(s), 21 minute(s), 56 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)
         

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scann-Protokoll
hxxp://www.superantispyware.com

Generiert 02/03/2011 bei 09:20 PM

Version der Applikation : 4.48.1000

Version der Kern-Datenbank : 6335
Version der Spur-Datenbank : 4147

Scan Art       : kompletter Scann
Totale Scann-Zeit : 00:55:36

Gescannte Speicherelemente  : 405
Erfasste Speicher-Bedrohungen  : 0
Gescannte Register-Elemente  : 5931
Erfasste Register-Bedrohungen  : 0
Gescannte Datei-Elemente     : 48187
Erfasste Datei-Elemente   : 0
         

Nochmals

Grus

Moin,

Kaspersky hat noch etwas gefunden!

Code: Alles auswählenAufklappen

ATTFilter

Inaktiv (1)	
25.01.2011 11:09:10	Inaktiv	legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen PDM.RootShell	C:\COMBOFIX\CF5842.CFXXE	Hoch	
Beendet (1)	
28.01.2011 10:08:04	Beendet	legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen PDM.Suspicious driver installation	D:\DOKUMENTE UND EINSTELLUNGEN\SPEEDY\DESKTOP\G2M3E4R.EXE	Niedrig	
Gefunden (1)	
04.02.2011 11:29:10	Gefunden	Virus Email-Worm.Win32.Agent.gnd	D:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst//Persönliche Ordner\Oberste Ebene des Persönlichen Ordners\Gelöschte Objekte\[From:resume-thanks@google.com][Subject:Thank you from Google!][Time:2010/11/19 10:12:54]//CV-20100120-112.zip//document.exe	Hoch	
Desinfiziert (1)	
04.02.2011 16:33:28	Desinfiziert	Virus Email-Worm.Win32.Agent.gnd	d:\dokumente und einstellungen\admin\lokale einstellungen\anwendungsdaten\microsoft\outlook\outlook.pst//Persönliche Ordner\Oberste Ebene des Persönlichen Ordners\Gelöschte Objekte\[From:resume-thanks@google.com][Subject:Message is infected : Thank you from Google!][Time:2010/11/19 10:12:54]//CV-20100120-112.zip	Hoch	
Gelöscht (1)	
04.02.2011 16:33:28	Gelöscht	Virus Email-Worm.Win32.Agent.gnd	d:\dokumente und einstellungen\admin\lokale einstellungen\anwendungsdaten\microsoft\outlook\outlook.pst//Persönliche Ordner\Oberste Ebene des Persönlichen Ordners\Gelöschte Objekte\[From:resume-thanks@google.com][Subject:Message is infected : Thank you from Google!][Time:2010/11/19 10:12:54]//CV-20100120-112.zip//document.exe	Hoch
         

Der Zeitunterschied zwischen den beiden Funden, kommt daher, dass ich, entsetzt über den Fund, während des scans auf den Bericht geklickt habe. Der Scan wurde danach nicht weiter geführt und ich habe Kaspersky zunächst beendet. MBAM und AntiSpyware laufen lassen. Beide ohne Befund!

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Database version: 5673

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

04.02.2011 13:14:56
mbam-log-2011-02-04 (13-14-56).txt

Scan type: Full scan (C:\|D:\|G:\|)
Objects scanned: 226826
Time elapsed: 1 hour(s), 1 minute(s), 43 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)
         

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scann-Protokoll
hxxp://www.superantispyware.com

Generiert 02/04/2011 bei 02:42 PM

Version der Applikation : 4.48.1000

Version der Kern-Datenbank : 6339
Version der Spur-Datenbank : 4151

Scan Art       : kompletter Scann
Totale Scann-Zeit : 01:18:36

Gescannte Speicherelemente  : 434
Erfasste Speicher-Bedrohungen  : 0
Gescannte Register-Elemente  : 5931
Erfasste Register-Bedrohungen  : 0
Gescannte Datei-Elemente     : 53699
Erfasste Datei-Elemente   : 0
         

Combofix sollte ohnehin, zumindest an dieser Stelle, nicht mehr drauf sein. Die Tools habe ich lediglich auf meinem Desktop belassen. Das ist mein Account, Passwort gesichert und mit seinem Administrator wird er sich dorthin nie verirren. Ich weise ihn aber auf die Gefahr, bei Nutzung dieser Programme noch hin.

Sollte GEMER tatsächlich von Angreiffern genutzt werden können, lösche ich es sofort, bzw. wenn wir fertig sind.

Die Scanns dauerten übrigens so lange, da ich die externe USB-Platte mit durchsuchen ließ. Image und Backup drauf!

Ich bereinige das jetzt und lass KAV nochmals laufen aber ich bin doch etwas verunsichert. Bitte nochmal helfen!

P.S.
Wollte den Rechner heute zurück geben. Er hat den Termin glücklicherweise, selbst auf Sonntag verschoben. Schnelle Antwort wäre super, damit ich Ihm morgen, wenigstens sagen kann ob es sich doch noch verzögert.

Gruß

Moin,

das soll kein pushen sein! Ganz im Gegenteil, ich stelle gerade fest, dass ich mit meinen eigenen Terminen in Konflikt gerate. Ich werde mich erst morgen Abend wieder damit beschäftigen können.
Nach Bereinigung, Neustart kein Fund mit KAV. Habe jetzt auch ein detailliertes Log. Das zeigt allerdings den gesamten Inhalt der Outlook.pst, mit E-Mailadressen. Daher möchte ich dieses hier nicht veröffentlichen.

Gruß

Hysterische Funde von Kaspersky. Combofix ist ok. KAV ist da tw. sehr empfindlich.
Die anderen Funde sind E-Mails innerhalb deiner PST-Datei von Outlook. Löschen der betroffenen Mails kann helfen. Und zur Info: E-Mails mit virulentem Anhang sind potentiell gefährlich, es besteht nur Gewfahr wenn du manuell so einen Anhang speicherst (ggf. dann entpackst) und die entpackte EXE ausführst.