Trojaner-Board - Virus, der alle Virenscans killt

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Virus, der alle Virenscans killt (https://www.trojaner-board.de/101219-virus-alle-virenscans-killt.html)

Guten Morgen,

so, ich habe gestern Abend noch Avira deinstalliert und Avast aufgespielt. Und auch das Magix Tuning-Programm deinstalltiert. Eben habe ich den MWB-Scan durchgeführt - und er hat noch einen gefunden!

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 7082

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

14.07.2011 09:32:33
mbam-log-2011-07-14 (09-32-33).txt

Art des Suchlaufs: Vollständiger Suchlauf (H:\|)
Durchsuchte Objekte: 315271
Laufzeit: 38 Minute(n), 25 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
h:\WINDOWS\system32\drivers\cdrom.sys (Trojan.Patched) -> Quarantined and deleted successfully.

ARGH! Eset hat noch einiges mehr gefunden!!!

Irgendwo ist auch etwas, dass mich von der Google Ergebnisseite beim Klick auf irgendeines der Ergebnisse über "100k searches" irgendwo anders hinführt, jetzt z.B. auf Ebay. Die Adresse oben im Fenster ist korrekt, bloß der Bildschirminhalt passt dazu nicht. Das passiert sowohl bei Firefox als auch bei Chrome.

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=dbdd15709f3a1a4184897d1fcebbdb0c
# end=finished
# remove_checked=true
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2010-06-19 11:01:30
# local_time=2010-06-19 01:01:30 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1797 16775125 100 100 1184520 52456314 0 0
# compatibility_mode=8192 67108863 100 0 232 232 0 0
# scanned=187100
# found=4
# cleaned=4
# scan_time=4285
H:\Dokumente und Einstellungen\User\Eigene Dateien\Downloads\agsetup183se.exe Variante von Win32/Adware.ADON Anwendung (gelöscht - in Quarantäne kopiert) 00000000000000000000000000000000 C
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=dbdd15709f3a1a4184897d1fcebbdb0c
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-07-14 10:27:37
# local_time=2011-07-14 12:27:37 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=8192 67108863 100 0 33689653 33689653 0 0
# scanned=226742
# found=68
# cleaned=0
# scan_time=8828
H:\Programme\AVAST Software\Avast\AvastSvc.exe Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
H:\Programme\Bonjour\mDNSResponder.exe Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
H:\Programme\Canon\CAL\CALMAIN.exe Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
H:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
H:\Programme\iPod\bin\iPodService.exe Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
H:\Qoobox\Quarantine\[4]-Submit_2011-07-12_23.04.50.zip a variant of Win32/Rootkit.Agent.NUT trojan (unable to clean) 00000000000000000000000000000000 I
H:\Qoobox\Quarantine\H\Programme\Kerio\Personal Firewall 4\kpf4gui.exe.vir Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
H:\Qoobox\Quarantine\H\Programme\Kerio\Personal Firewall 4\kpf4ss.exe.vir Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
H:\Qoobox\Quarantine\H\WINDOWS\assembly\GAC_MSIL\desktop.ini.vir a variant of Win32/Sirefef.CH trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP813\A0177949.sys a variant of Win32/Rootkit.Agent.NUT trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP813\A0177951.sys a variant of Win32/Rootkit.Agent.NUT trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP813\A0179967.sys a variant of Win32/Rootkit.Agent.NUT trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP814\A0179996.sys a variant of Win32/Rootkit.Agent.NUT trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP815\A0180022.sys a variant of Win32/Rootkit.Agent.NUT trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP815\A0180042.sys a variant of Win32/Rootkit.Agent.NUT trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP818\A0182498.sys a variant of Win32/Rootkit.Agent.NUT trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP818\A0182513.sys a variant of Win32/Rootkit.Agent.NUT trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP818\A0186527.sys a variant of Win32/Rootkit.Agent.NUT trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP818\A0186528.ini a variant of Win32/Sirefef.CH trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP820\A0186562.sys a variant of Win32/Rootkit.Agent.NUT trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP820\A0186563.ini a variant of Win32/Sirefef.CH trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP820\A0186585.sys a variant of Win32/Rootkit.Agent.NUT trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP820\A0186586.ini a variant of Win32/Sirefef.CH trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP820\A0186602.sys a variant of Win32/Rootkit.Agent.NUT trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP820\A0186603.ini a variant of Win32/Sirefef.CH trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP820\A0186612.sys a variant of Win32/Rootkit.Agent.NUT trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP820\A0186613.ini a variant of Win32/Sirefef.CH trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP820\A0186621.sys a variant of Win32/Rootkit.Agent.NUT trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP820\A0186622.ini a variant of Win32/Sirefef.CH trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP820\A0186639.sys a variant of Win32/Rootkit.Agent.NUT trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP820\A0186640.ini a variant of Win32/Sirefef.CH trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP821\A0186746.sys a variant of Win32/Rootkit.Agent.NUT trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP821\A0186747.ini a variant of Win32/Sirefef.CH trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP821\A0186760.sys a variant of Win32/Rootkit.Agent.NUT trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP821\A0186761.ini a variant of Win32/Sirefef.CH trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP821\A0186770.sys a variant of Win32/Rootkit.Agent.NUT trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP821\A0186771.ini a variant of Win32/Sirefef.CH trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP821\A0187770.sys a variant of Win32/Rootkit.Agent.NUT trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP821\A0187771.ini a variant of Win32/Sirefef.CH trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP821\A0187783.sys a variant of Win32/Rootkit.Agent.NUT trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP821\A0187784.ini a variant of Win32/Sirefef.CH trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP822\A0187837.sys a variant of Win32/Rootkit.Agent.NUT trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP823\A0188154.ini a variant of Win32/Sirefef.CH trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP824\A0188187.ini a variant of Win32/Sirefef.CH trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP824\A0188188.sys a variant of Win32/Rootkit.Agent.NUT trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP825\A0188216.ini a variant of Win32/Sirefef.CH trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP825\A0188217.sys a variant of Win32/Rootkit.Agent.NUT trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP826\A0188381.exe Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP826\A0188395.exe Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP826\A0188486.exe Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP826\A0188506.ini a variant of Win32/Sirefef.CH trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP826\A0188507.sys a variant of Win32/Rootkit.Agent.NUT trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP826\A0188514.ini a variant of Win32/Sirefef.CH trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP826\A0188515.sys a variant of Win32/Rootkit.Agent.NUT trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP826\A0188524.exe Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP826\A0188530.ini a variant of Win32/Sirefef.CH trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP826\A0188531.sys a variant of Win32/Rootkit.Agent.NUT trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP826\A0188818.sys a variant of Win32/Rootkit.Agent.NUT trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP826\A0188888.sys a variant of Win32/Rootkit.Agent.NUT trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP826\A0188933.exe Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP826\A0188934.exe Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP828\A0199915.exe Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP828\A0199929.exe Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP828\A0200018.exe Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
H:\WINDOWS\system32\drivers\cdrom.sys a variant of Win32/Rootkit.Agent.NUT trojan (unable to clean) 00000000000000000000000000000000 I
Z:\Sync\FreeAgentService.exe Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
${Memory} Win32/Patched.HN trojan 00000000000000000000000000000000 I

Zitat:

H:\Programme\AVAST Software\Avast\AvastSvc.exe Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
H:\Programme\Bonjour\mDNSResponder.exe Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
H:\Programme\Canon\CAL\CALMAIN.exe Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
H:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
H:\Programme\iPod\bin\iPodService.exe Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
H:\Qoobox\Quarantine\[4]-Submit_2011-07-12_23.04.50.zip a variant of Win32/Rootkit.Agent.NUT trojan (unable to clean) 00000000000000000000000000000000 I
H:\Qoobox\Quarantine\H\Programme\Kerio\Personal Firewall 4\kpf4gui.exe.vir Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
H:\Qoobox\Quarantine\H\Programme\Kerio\Personal Firewall 4\kpf4ss.exe.vir Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
H:\Qoobox\Quarantine\H\WINDOWS\assembly\GAC_MSIL\desktop.ini.vir a variant of Win32/Sirefef.CH trojan (unable to clean) 00000000000000000000

Dein System ist wohl im Eimer. Die Schädlinge haben Dateien manipuliert wie du siehst wurden u.a. Besdtandteile von Avast und Kerio kompromittiert.

Folge dem 2. Link in meiner Signatur zur Datensicherung auf eine externe Platte. Mach kein Backup mehr unter diesem verseuchten Windows!
Erstell dir die Ubuntu-CD am besten über einen sauberen Zweitrechner falls du keine Ubuntu-CD zur Hand hast oder besorg sie dir über Magazine mit Heft-CDs, oft sind in Computermagazinen CDs mit Linux bei (muss nicht Ubuntu sein).

Nach der Datensicherung folgst du dem Artikel zur Neuinstallation von Windows. Lösche alle Partitionen der internen Platte und leg alles neu an. Wenn du richtig gründlich vorgehen willst, kannst du auch unter Linux die Platte richtig wipen.

:heulen::heulen::heulen::heulen:

Ja, der Virus schießt alle Virenscanner ab... oh Mann!

Ich bin ab morgen erstmal für eine Woche im Urlaub. Bis dahin muss ich noch einiges am Rechner erledigen, so dass ich ihn heute noch nicht neu aufsetzen kann, sondern so damit arbeiten muss.

Trotz alledem danke ich dir erstmal für deine Hilfe! Ich komme bestimmt nach dem Urlaub nochmal auf dich zu. Falls dir heute doch noch etwas einfallen sollte, wie wir den Virus killen können, lass es mich wissen.

Grüße
Oliver

Eine Idee wäre mit einer Rescue-Disc wie zB von kaspersky oder Avira. Aber die können bei den vielen manipulierten Dateien auch leicht das System komplett zerstören (unbootbar machen).

http://www.trojaner-board.de/83997-k...scue-disk.html

Guten Morgen Arne,

ich bin seit ein paar Tagen wieder zurück aus dem Urlaub. Und habe mit Viren- und Malware-Programmen meinen Rechner geschrubbt (z.B. den befallenen Bonjour-Service einfach gelöscht). Ich glaube, ich war erfolgreich! Der Re-direct ist weg, und die Überprüfungen zeigen keine schädlichen Dateien mehr an! :crazy:

Hier die Log von MWB

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7248

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

28.07.2011 08:59:03
mbam-log-2011-07-28 (08-59-03).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 207604
Laufzeit: 2 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Mit welchen Programm(en) sollte ich noch eine Überprüfung durchführen, um ganz sicher zu gehen?

Danke!

Zitat:

Und habe mit Viren- und Malware-Programmen meinen Rechner geschrubbt (z.B. den befallenen Bonjour-Service einfach gelöscht). Ich glaube, ich war erfolgreich! Der Re-direct ist weg, und die Überprüfungen zeigen keine schädlichen Dateien mehr an!

Welche Tools hast du denn benutzt? Welche Logs wurden erzeugt und wo sind sie?

Bei deinem System wäre ich sehr vorsichtig, weil ESET viele manipulierte Dateien gefunden hat, das ist die Charakterisk eines Fileinfectors, da ist eine Neuinstallation dringend zu empfehlen.

Mach zumindest nochmal einen weiteren Scan mit ESET.

Einen hat ESET gefunden.

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=0aaf291f7516964c930d495f0a792689
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-07-30 09:14:22
# local_time=2011-07-30 11:14:22 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=8192 67108863 100 0 103 103 0 0
# scanned=152937
# found=1
# cleaned=0
# scan_time=7554
H:\System Volume Information\_restore{F3E7D8A4-BAAC-4101-98F1-8FBAD2A20038}\RP835\A0215313.ini a variant of Win32/Sirefef.CH trojan (unable to clean) 00000000000000000000000000000000 I

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Wie ist es um deinen Rechner bestellt? Wie gesagt wäre ich hier sehr vorsichtig wegen des Fileinfectors.

So, Systemwiederherstellung ist deaktiviert.

Der Rechner läuft soweit einfandfrei... fast jedenfalls. Eingelegte CDs werden nicht mehr erkannt. Liegt das wohl daran, dass ich die verseuchte WINDOWS\system32\drivers\cdrom.sys gelöscht habe?

Zitat:

Liegt das wohl daran, dass ich die verseuchte WINDOWS\system32\drivers\cdrom.sys gelöscht habe?

Nicht mehr erkannt oder nicht automatisch gestartet?

Sorry, war unterwegs, daher erst jetzt meine Antwort.

Die CD wird nicht mehr automatisch gestartet, und im Gerätemanager ist das Laufwerk auch verschwunden. Ich wollte ein Game mit der Verknüpfung auf dem Desktop starten, aber auch da hat er kein Laufwerk gefunden.

Kannst du mir helfen, das wieder zu bekommen?

Lad diese CDROM.SYS mal runter => File-Upload.net - cdrom.sys

Kopiere sie nach C:\Windows\system32\drivers - starte Windows neu und beobachte.

Habe ich gemacht, dann hat wurde das Laufwerk angezeigt. Es wollte einen neuen Treiber, hat es bekommen - und nun läuft es wieder! :taenzer:

Nun scheint es überstanden zu sein mit dem Virus! Dir vielen, vielen Dank für deine freundliche, zügige und kompetente Hilfe! :abklatsch: Eine kleine Spende ist unterwegs...

Viele Grüße
Oliver

Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt.
Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.