Hallo,
da bin ich aber froh, vielen Dank schon mal für die Mühe.

Hier schon mal die Datei von Malwarebytes:

Zitat:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6077

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

16.03.2011 20:18:06
mbam-log-2011-03-16 (20-18-06).txt

Art des Suchlaufs: Vollständiger Suchlauf (A:\|C:\|D:\|E:\|F:\|R:\|)
Durchsuchte Objekte: 299375
Laufzeit: 2 Stunde(n), 47 Minute(n), 1 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Gruß
Uschi

Hallo,
es gibt schon wieder eine Trojanermeldung von Avira. Sie kam direkt nachdem SUPERAntiSpyware aufgehört hat. Aber seltsamerweise ist sie überhaupt nicht in den Berichten, es ist auch nichts in der Quarantäne!? Ich habe aber bei Ereignissen das hier gefunden

Zitat:

In der Datei 'F:\System Volume Information\_restore{7CC631FC-B2BD-4F30-ACF9-C5A1F278A0B3}\RP2068\A0351981.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Drop.Softomat.AN' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Ich habe das Gefühl das Malwarebytes und SUPERAntiSpyware mein Laufwerk F:/ nicht korrekt gescannt haben. Bei Malwarebytes hat es das erste Mal (13.03.11) über 5 Stunden gedauert und er hat über 500.000 Objekte gescannt. Gestern war er nach über 2 Stunden fertig, hat aber nur um die 300.000 Dateien gescannt. Als ich nach über 2 Stunden nachsah war er immer noch bei Laufwerk C:.
Eben bei SUPERAntiSpyware hat er angefangen mit Laufwerk F:, war aber sehr schnell fertig und ich bekam eine Meldung "USB Gerät wurde nicht erkannt. - Ein unbekanntes USB-Gerät". Ich habe dann die USB-Stecker überprüft, sie waren aber alle korrekt eingesteckt. Dann wude der Computer neu hochgefahren.
Hier das Protokoll:

Zitat:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 03/17/2011 at 04:18 PM

Application Version : 4.49.1000

Core Rules Database Version : 6614
Trace Rules Database Version: 4426

Scan type : Complete Scan
Total Scan Time : 03:41:57

Memory items scanned : 547
Memory threats detected : 0
Registry items scanned : 7007
Registry threats detected : 0
File items scanned : 118882
File threats detected : 3

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Mercier\Cookies\mercier@atdmt[1].txt
C:\Dokumente und Einstellungen\Mercier\Cookies\mercier@doubleclick[1].txt

Trojan.Agent/Gen-Nullo[Short]
F:\SYSTEM VOLUME INFORMATION\_RESTORE{7CC631FC-B2BD-4F30-ACF9-C5A1F278A0B3}\RP2068\A0351981.EXE

Gruß
Uschi

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Ansonsten nur der Überrest in der SWH und ein harmloser Cookies, noch probleme oder ist der Rechner nun wieder ok?

Hallo Arne,

entschuldige bitte vielmals. Aber weil ich den Verdacht habe, daß meine externe Festplatte (f:\) nicht geprüft wurde habe ich Avira dieses Laufwerk prüfen lassen.
Dabei wurden 5 Trojaner gefunden:

Zitat:

Beginne mit der Desinfektion:
F:\(C) System\Programme\Programme\Adobe\Photoshop_PlugIns\Axion_Flare_effects_v2.zip
[FUND] Ist das Trojanische Pferd TR/Crypt.CFI.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ed03ce6.qua' verschoben!
F:\(C) System\Programme\Hartcopy\Programme\Adobe\Photoshop_PlugIns\Axion_Flare_effects_v2.zip
[FUND] Ist das Trojanische Pferd TR/Crypt.CFI.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '56471342.qua' verschoben!
F:\(C) System\Programme\Adobe\Photoshop_PlugIns\Axion_Flare_effects_v2.zip
[FUND] Ist das Trojanische Pferd TR/Crypt.CFI.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '041849aa.qua' verschoben!
F:\System Volume Information\_restore{7CC631FC-B2BD-4F30-ACF9-C5A1F278A0B3}\RP2068\A0351976.exe
[FUND] Ist das Trojanische Pferd TR/BegSMS.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '62710630.qua' verschoben!
F:\System Volume Information\_restore{7CC631FC-B2BD-4F30-ACF9-C5A1F278A0B3}\RP2068\A0351968.exe
[FUND] Ist das Trojanische Pferd TR/BegSMS.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '27f52b0e.qua' verschoben!

Soll ich jetzt trotzdem "Deaktiviere die Systemwiederherstellung" machen?
Das klingt ziemlich kompliziert!? Und was heißt bitte "nur der Überrest in der SWH"? Bitte verzeih mir meine Unkenntnis.
Ich habe das Gefühl, daß mein Rechner ziemlich langsam geworden ist.

Gruß
Uschi

SWH = Systemwiederherstellung
Ja du sollst es deaktivieren, ich hab das nicht zur Dekoration geschrieben...

Zitat:

F:\(C) System\Programme\Programme\Adobe\Photoshop_PlugIns\Axion_Flare_effects_v2.zip

Was ist Laufwerk F? Sind das alte Programme?
Was ist das für ein Photoshop-PLugin und aus welcher Quelle stammt es?

Hallo Arne,

ich habe eine Frage zu der Systemwiederherstellung. Muß ich nur die Schritte ausführen bis "SWH von Windows Vista"? Oder muß ich auch "Starten der Systemwiederherstellung von einer Eingabeaufforderung" machen?

Ich habe auf der externen Festplatte (Laufwerk F:\) alle Daten von dem Computer gesichert, auch die Programme. Einige sind wohl nicht aktualisiert. Ich weiß nicht was das für ein Photoshop-Plugin ist und woher es kommt. Sorry, aber ich weiß nicht mal was ein "PLugin" ist.

Gruß
Uschi

Du musst nur die SWH deaktivieren.
Die Sicherung der Programmordner sind nutzlos, ohne die Programme zu installieren, kann man sie nicht verwenden. Den gesamten Ordner F:\(C) System\Programme\ kannst du so löschen.

Hallo Arne,

vielen Dank für die Informationen.
Ich habe jetzt die SWH deaktiviert und bin dabei den Ordner F:\(C)System\Programme zu löschen.

Sollte ich sonst noch etwas tun?
Vielen herzlichen Dank für Deine Hilfe.

Gruß
Uschi

Sorry habe ich vergessen:
muß ich jetzt alle meine Paßwörter ändern?

Gruß
Uschi

Wenn jetzt wieder alles ok ist wären wir durch:


Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Hallo Arne,

ich habe jetzt Deinen Leitfaden komplett abgearbeitet. Bei Microsoftupdate hatte ich über 330 MB zu laden. Ohne DSL lief das seit gestern Nachmittag und die Nacht durch.
Aber verstehe kann ich das nicht, ich bekomme doch immer die Meldungen und lade dann auch immer die Updates!?

Vielen herzlichen Dank noch mal für Deine Hilfe. Und ich hoffe, daß ich Dich nicht allzusehr genervt habe.

Weiterhin viel Erfolg und alles Gute
Uschi

Zitat:

Aber verstehe kann ich das nicht, ich bekomme doch immer die Meldungen und lade dann auch immer die Updates!?

Offensichtlich nicht. Man kann Windows-Update genau einstellen.

1. Alle Updates sofort automatisch runterladen und ohne Nachfrage installieren
2. ohne Nachfrage alle Updates runterladen aber den Zeitpunkt der Installation wählt der User
3. nur den Benutzer benachrichtigen, dieser muss dann entscheiden wenn welches Update heruntergeladen und installiert wird
4. Letzte Option: Updates deaktivieren

Bei dir war offensichtlich die 3. oder 4. Einstellung aktiv.