Hallo,
eigentlich wollte ich auf unten verlinkten Thread antworten, aber das geht nicht.

ich habe sämtliche Schritte von
http://www.trojaner-board.de/98500-w...ichtbar-3.html

gemacht, nachdem mein Win7 mit Malware verseucht war.

Jetzt kommen keine Fehlermeldungen mehr!
Alle Programme Antivir, Antimalware, OTL Timer, TDSS, Combofix sind (wie im Thread oben beschrieben) durchgelaufen, manche sogar 2 mal und zeigen keine Fehler / Schädlinge an.
Startmenu ist weg, aber da komme ich drüber.


Mein Frage, wie groß ist die Chance, dass nicht doch irgendwo noch Malware bei mir vorhanden ist?
Welche Programm kann ich noch laufen lassen, was vielleicht noch etwas entdeckt?

Hallo und Herzlich Willkommen!

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:

Zitat:

• "Fernbehandlungen/Fernhilfe" und die damit verbundenen Haftungsrisken:
  - da die Fehlerprüfung und Handlung werden über große Entfernungen durchgeführt, besteht keine Haftung unsererseits für die daraus entstehenden Folgen.
  - also, jede Haftung für die daraus entstandene Schäden wird ausgeschlossen, ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!
• Charakteristische Merkmale/Profilinformationen:
  - aus der verwendeten Loglisten oder Logdateien - wie z.B. deinen Realnamen, Seriennummer in Programm etc)- kannst Du herauslöschen oder durch [X] ersetzen
• Die Systemprüfung und Bereinigung:
  - kann einige Zeit in Anspruch nehmen (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst
• Innerhalb der Betreuungszeit:
  - ohne Abspräche bitte nicht auf eigene Faust handeln!- bei Problemen nachfragen.
• Die Reihenfolge:
  - genau so wie beschrieben bitte einhalten, nicht selbst die Reihenfolge wählen!
• Ansonsten unsere Forumsregeln:
  - Bitte erst lesen, dann posten!-> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?
• Alle Logfile mit einem vBCode Tag eingefügen, das bietet hier eine gute Übersicht, erleichtert mir die Arbeit! Falls das Logfile zu groß, teile es in mehrere Teile auf.

Sobald Du diesen Einführungstext gelesen hast, kannst Du beginnen

Zitat:

Zitat von starfighter

Mein Frage, wie groß ist die Chance, dass nicht doch irgendwo noch Malware bei mir vorhanden ist?

Die einzige 100%ige Lösung ist: Festplatte formatieren und Windows neu installieren, nur so kannst Du sicher sein, dass dein Arbeitsspeicher virenfrei ist!

Zitat:

Zitat von starfighter

Welche Programm kann ich noch laufen lassen, was vielleicht noch etwas entdeckt?

Ich denke Du (fast) alle dir jetzt schon zur Verfügung stehenden Möglichkeiten ausgenutzt hast...

Poste bitte alle Scanergebnisse und Protokolle von:

Code: Alles auswählenAufklappen

ATTFilter

Antivir, Antimalware, OTL Timer, TDSS, Combofix
         

1.
Bitte Versteckte - und Systemdateien sichtbar machen den Link hier anklicken:
System-Dateien und -Ordner unter XP und Vista sichtbar machen
Am Ende unserer Arbeit, kannst wieder rückgängig machen!

2.
→ Lade Dir HJTscanlist.zip herunter
→ entpacke die Datei auf deinem Desktop
→ Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren
→ per Doppelklick starten
→ Wähle dein Betriebsystem aus - bei Win7 wähle Vista
→ Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen
→ Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren
→ Bitte kopiere den Inhalt hier in Deinen Thread.
** Falls es klappt auf einmal nicht, kannst den Text in mehrere Teile teilen und so posten

3.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool Ccleaner herunter
→ Download
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

4.

• Lade Dir Unhide.exe (http://filepony.de/download-unhide/) (by Grinler) herunter und speichere auf deinem Desktop
  für Windows 7 und Vista mit Rechtsklick als Administrator ausführen
• Doppelklick auf das Unhide.exe Icon auf dem Desktop - Alles braucht seine Zeit, also ein bisschen Geduld

<Achtung!>: Wenn Dateien etc, die absichtlich von Dir verborgen waren, also unter eigenschaften versteckt eingestellt hast, musst Du wieder auszublenden, nachdem das Tool ausgeführt wird.

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du (also am Anfang des Logfiles):[code]
hier kommt dein Logfile rein - z.B hjtsanlist o. sonstiges
→ dahinter - also am Ende der Logdatei: [/code]

gruß
Coverflow

Gut danke!

Wie formatiere ich die Festplatte am besten, sodass auch keine Rootkits eine Chance haben. Reicht das Cleanen mit einem Herstellertool?

Die Festplatte einfach komplett formatieren, brauchst nicht extra ein Tool dazu - langsam formatieren, also nicht die schnelle Formatierung wählen!

Datensicherung:
Vorsicht mit den schon vorhandenen Dateien auf die extern gespeicherten Daten und auch jetzt mit dem Virus infizierte Dateien eine Datensicherung anzufertigen
** Empfehle ich Dir NUR Daten sichern, die nicht ausführbaren Dateien enthalten - Dateiendungen - Dies ist eine Liste von Dateiendungen, die Dateien mit ausführbarem Code bezeichnen können.
- Bevor du mit deinem PC direkt ins Netz gehst:
- Alle Passwörter, die auf dem kompromittierten System verwendet wurden (also z.B. Login-, Mail- oder Website-Passwörter, aber auch die PIN für das Online-Banking) sofort ändern ( am besten von einem anderen, nicht-infizierten Rechner aus! )

• Sichere Paswort - Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 3-5 Monate ändern)
  auch noch hier unter: Sicheres Kennwort (Password)

- Vor zurückspielen:
Die auf eine externe Festplatte gesicherten Daten, gründlich zu scannen von einem suaberen System aus, am besten mit mehreren Scannern-> Kostenlose Online Scanner - Anleitung

Am besten alles was dir sehr wichtig, separat (extern) sichern - nicht mischen eventuell früher geschicherten Daten, also vor dem Befall!
- dann die Autoplay-Funktion für alle Laufwerke deaktivieren/ausschalten -> Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten
- extern gesicherte Daten-Datenträger anschließen, gründlich scannen lassen von einem suaberen System aus, am besten mit mehreren Scannern-> Kostenlose Online Scanner - Anleitung

Tipps & Hilfe:
SETI@home-Sicherheit / Sicherheitskonzept
Anleitung: Neuaufsetzen des Systems + Absicherung
Was muss ich bei einer Neuinstallation beachten?/computerleben.net

Dann weiß ich Bescheid.


Ich habe ja jetzt alles clean.

Nun habe ich gestern ein seltener benutztes Firefoxprofil aufgemacht, und sofort danach kamen die Malware Fehlermeldungen (IDE/SATA System beschädigt...) und ANtivir meldete sofort:

Code: Alles auswählenAufklappen

ATTFilter

In der Datei 'C:\ProgramData\43704056.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen2' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern



Die Datei 'C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\5\7b9ccb45-504546c7'
enthielt einen Virus oder unerwünschtes Programm 'JAVA/Exdoer.BE.2' [virus].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ada061a.qua' verschoben!
         

Code: Alles auswählenAufklappen

ATTFilter

alwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6540

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

13.05.2011 23:51:14
mbam-log-2011-05-13 (23-51-14).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 157123
Laufzeit: 1 Minute(n), 53 Sekunde(n)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
c:\programdata\vhcnujkqcwhmnay.exe (Rogue.Installer.Gen) -> 3908 -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\VHCnUjkqcwhmNay (Rogue.Installer.Gen) -> Value: VHCnUjkqcwhmNay -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallPaper (PUM.Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\programdata\vhcnujkqcwhmnay.exe (Rogue.Installer.Gen) -> Quarantined and deleted successfully.
c:\Users\**\AppData\Local\Temp\adobe_flash_player.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\**\AppData\Local\Temp\tmpBBE9.tmp (Rogue.Installer.Gen) -> Quarantined and deleted successfully.
         

Habe das Profil sofort geschlossen und dann wieder mit Unhide, Antimalware usw. den PC gecleant.

Kann es sein, dass diese Firefox Profil irgendwie wieder die TRojaner reinlässt?
Soll ich es einfach löschen?
Oder ist das JAVA RE verseucht, ich meine, in meinem Hauptprofil würde es auch benutzt (Kaffeetase unten rechts), aber es kamen keine Fehlermeldungen.

die Scanergebnisse stammen vom neu aufgesetzten System?
oder hast Du es noch nicht formatiert?
gesicherten Daten zurückgespielt?

@Coverflow, die Fehler kamen vom "alten" gecleanten System.

Und liegen wohl in einem selten benutzen FF Profil oder?

wie gesagt NUR das original Betriebsystem aufspielen, ohne irgendwelche gesicherten Daten! Andere muss komplett vom System vernichtet werden!