Bitte mal den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code: Alles auswählenAufklappen

ATTFilter

folders to delete:
c:\syscheckrt
         

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei File-Upload.net - Ihr kostenloser File Hoster! hochladen und hier verlinken

Ausgeführt!

Hier ist das Log von Avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Folder "c:\syscheckrt" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


Und hier ist der Link:

hxxp://www.file-upload.net/download-3219042/backup.zip.html

Zitat:

Infizierte Verzeichnisse:
c:\syscheckrt (Trojan.SpyEyes) -> No action taken.

Der sollte jetzt hoffentlich weg sein nach dem Avenger.
Wiederhol den Kontrollscan mit MBAM bitte.

Habe MBAM upgedatet und einen Vollscan durchgeführt. Hier ist das Log:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5773

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

16.02.2011 19:20:44
mbam-log-2011-02-16 (19-20-44).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 243716
Laufzeit: 1 Stunde(n), 48 Minute(n), 46 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Was soll ich jetzt unternehmen?

Danke und Gruß!

Sieht ok aus.
Noch Probleme oder weitere Funde in der Zwischenzeit?

Nein, bislang hat es keine weiteren Warnungen o.ä. gegeben. Worauf hat denn beim Scan mit GMER der Verweis

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x950a600 size 0x1fd

verwiesen?

Ich weiß, dass es keine 100% Sicherheit gibt, aber kann ich jetzt wieder einigermaßen beruhigt im Internet shoppen? Oder sollte ich erst mal abwarten, ob es in den nächsten Tagen vielleicht zu einem "Neubefall" kommt? Ich habe nämlich überhaupt keine Ahnung wann, wo oder wie ich mir die Schädlinge eingefangen haben könnte.

Ich würde mich als relativ vorsichtig bezeichnen, was Surf- und Downloadverhalten usw. angeht.

Wie kann ich die Sicherheit zusätzlich erhöhen?

Auf jeden Fall schon mal 1000 x

Zitat:

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x950a600 size 0x1fd

Der MBR von dir ist ok, siehe MBRCHeck-Log.
GMER sagt "nur" es ist Schadcode im Sektor 0x950a600, bedeutet übersetzt ins dezimale System Sektor 156.280.320. Jeder Sektor ist 512 Byte groß, also ab Byte 80.015.523.840 = 80GB = ca. 74 GiB soll angeblich Schadcode sein. Dürfte bei deiner Platte ganz am Ende sein, aber da ist nicht der MBR

Hallo Arne,

ich habe heute nochmal einen Vollscan mit MBAM gemacht. Und da hat MBAM wieder einen Fund gemeldet:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5808

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

19.02.2011 14:52:05
mbam-log-2011-02-19 (14-52-00).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 243850
Laufzeit: 1 Stunde(n), 54 Minute(n), 57 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\system volume information\_restore{6bc31bae-339b-4d00-90db-922eeaddb490}\RP706\A0050044.exe (Trojan.Agent) -> No action taken.

Ich habe keine Ahnung was es damit auf sich hat, bzw. wo der herkommt (das letzte Log von MBAM war ja OK). Was soll ich denn nun tun?

Das ist ein Überrest in der Systemwiederherstellung.

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Vielen tausend Dank, Arne! Ich habe die Systemwiederherstellung deaktiviert. Werde künftig in regelmäßigen Abständen mit MBAM mein System überprüfen.

Noch kurz ein paar Fragen:

1. Spybot ist ja scheins weder effektiv mehr noch ökonomisch und ich werde Spybot deshalb deinstallieren. Gibt es kompatibel zu Antivir und Windows-Firewall irgendein empfehlenswerter Hintergrundwächter als Ersatz?

2. Im Verlauf der Reinigung habe ich ja MBAM und auch SUPERAntiSpyware installiert. Können diese Programme installiert bleiben oder behindern die Antivir oder die Funktion der Firewall?

3. Wie kann ich mich bei Dir und/oder dem Trojanerboard für die Hilfe nur bedanken?

Zitat:

Gibt es kompatibel zu Antivir und Windows-Firewall irgendein empfehlenswerter Hintergrundwächter als Ersatz?

Braucht man nicht. Malwarebytes wäre ne Option, aber dazu musst du das Programm kaufen.
Ich halte aber nichts davon einen zusätzlichen Wächter zu benutzen, in erster Linie musst du du dein System anders absichern und dein Verhalten anpassen, einfach nur noch mehr Scanner installieren ist der falsche Weg.

Zitat:

2. Im Verlauf der Reinigung habe ich ja MBAM und auch SUPERAntiSpyware installiert. Können diese Programme installiert bleiben oder behindern die Antivir oder die Funktion der Firewall?

Beide Programme können weg, SASW ist aber eher störender als MBAM. MBAM wird nur dann gestartet wenn du es machst. Es stellt keine Belastung für das System dar.

Zitat:

3. Wie kann ich mich bei Dir und/oder dem Trojanerboard für die Hilfe nur bedanken?

Du hast dich doch schon bedankt!
Wenn du willst, ist aber völlig freiwillig, kannst du einen beliebigen Betrag auf das Spendenkonto überweisen. Ist aber völlig freiwillig und die Höhe des Spendenbeitrags bestimmst auch du!