Nach Systemwiederherstellung (Win 7) immer noch Malewarebefall?
 

Hallo zusammen,

ich hoffe ihr könnt mir weiterhelfen. Ich bin mit meinem spärlichen Wissen am Ende.
Folgendes ist geschehen:
Meine Comodo-Firewall frage, ob java.exe ins Internet darf. Das habe ich erlaubt, weil ich dachte java will ein Update. Danach wollte ein unbekanntes Programm ins Netz und die Registry ändern. Das habe ich beides blockiert. Allerdings kam mir das komisch vor, daher habe ich anschließend einen Scan mit Antivir durchgeführt und dabei wurde "EXP/2011-3544.bu.1" gefunden.

Daraufhin habe ich mit einer Antivir Rescue CD (tagesaktuell von einem sauberen System aus geladen und gebrannt) einen Systemcheck machen lassen.
Ergebnis: 2 Funde, siehe Log-Files

Dann habe ich mit der Rescue-CD auch meine externen Festplatten und Sticks geprüft: Keine Funde. Dann mit einer Linux-Live-CD (ubuntu) meine Daten gesichert, per Konsole das MBR der Systemplatte gelöscht bzw. überschrieben und anschließend ein Image der Systemplatte von Ende Januar von einer externen Festplatte wieder aufgespielt. Nach der Wiederherstellung habe ich dann als erstes den Antivir-Virenscanner, die Firewall und Windows 7 aktualisiert.
Kurz später kam dann eine Anfrage der Comodo-Firewall, ob "Setup.exe" ins Internet darf.
Das habe ich blockiert. Als Quellort wurde M:\3516e124c335bdee7f13bb9113ec\Setup.exe angegeben.
Das kam mir sehr merkwürdig vor. M ist bei mir die 2. Festplatte für Daten. Diesen Quellordner gibt es im Explorer aber nicht, auch nicht, wenn man "Versteckte Ordner anzeigen" einstellt.

Daraufhin habe ich nochmal per Antivir Rescue CD überprüft: Ohne Fund.
Kann das immer noch ein Virus sein?
Ich habe den Rechern vorsichtshalber vom Netz getrennt und noch mal das normale Antivir laufen. Auch ohne Funde.
Dann habe ich noch die Programme aswMBR und MBAM durchlaufen lassen.
Ergebnis: siehe Log-Files.

Und unter dem Linux-Live-System habe ich per "find" noch nach autorun-Datein gesucht.
Ergebnis:

ubuntu@ubuntu:~$ find /media/ -iname *torun*
/media/System/Program Files (x86)/Common Files/Adobe/Bridge CS5 Extensions/Adobe Output Module/mediagallery/resources/flashgallery/AUTORUN.inf
/media/System/Users/Kati/AppData/Local/Temp/{8405A2D1-2E7E-42DA-AF2A-7FA8B851E39D}/extracted/autorun.inf
/media/System/Users/Kati/AppData/Local/Temp/PDFCreatorUninstall.txt
/media/System/Windows/winsxs/x86_microsoft-windows-s..ccessagent-binaries_31bf3856ad364e35_6.1.7600.16385_none_de06 b4fbd5b45f78/autorun.inf


Außerdem habe ich mit "Dr.Web CureIt" einen Scann gemacht. Als einziges Ergbenis kam zwischendurch, dass die HOSTS-Datei wohl verändert wurde, was auf einen evtl. Malewarebefall deuten könne. Gleichzeitig hat mir das Programm angeboten die Windows-Default HOSTS-Datei wieder herzustellen. Das habe ich gemacht.

Weiß jemand von euch, was ich noch tun kann? Oder besteht keine Gefahr mehr?
Aber woher kam dann die Setup.exe-Anfrage?

Defogger habe ich gestartet und DDS-Logfiles im Anhang.

Kann mir jemand helfen? Ich weiß echt nicht mehr weiter.

Danke und liebe Grüße

Kati

Na, schon mal ein Paradebeispiel dafür wie sinnfrei PFWs sind. Ich kann von sowas wie Comodo, ZoneAlarm etc nur abraten. Lass diesen Quatsch sein und verwende die Windows-Firewall in Zukunft.

Ja, und mal wieder eine neue hysterische Meldung vom Schlangenöl

Wieso nach autorun.inf-Dateien? Zusammenhang? :confused:
Das klingt eher nach einem kopflosen Aktionismus
Zugeben ist die automatische Wiedergabe ein Sicherheitsrisisko, aber was soll das bezwecken nachträglich die autorun.inf überall zu löschen? Die INF selbst ist nur eine Textdatei und kein Schädling! Damit wird nur beschrieben, wie der Autorun ablaufen bzw. was durch den Autorun gestartet werden soll!

Du hättest einfach die Automatische Wiedergabe komplett auf allen Laufwerkstypen deaktivieren können - geht seit Vista bequem über die Systemsteuerung - und schon sind alle autorun.inf Dateien ohne Wirkung!

Du solltest lernen, dass die Meldung einer Schlangenöl-Software wie Comodo nicht das Wort Gottes ist, nur weil etwas ins Internet will ist das lange noch nicht ein böser Trojaner. Die heutigen Programme kommunizieren alle mit dem Internet.

Hallo Arne,
danke für deine Rückmeldung.

Ich entnehme deinem Post jetzt also Folgendes:
- Mein System war zwar infiziert, ist aber seit der Wiederherstellung sauber
- der unauffindbare Ordner mit kryptischem Namen auf der "M-Festplatte" muss mich nicht beunruhigen
- "Fremd-"Firewalls sind überflüssig und können deinstalliert werden

Zusammengefasst: Mein System ist jetzt sauber!
Richtig?

Liebe Grüße
Kati

Sieht so aus. Du hast ja sauber neu installiert.

Das sieht nach einem temp. Ort aus, in dem Microsoft seine Sachen ablagert wenn zB Updates/Hotfixes/ServicePacks installiert werden

Nicht nur überflüssig sondern kontraproduktiv

Jein. Nur damit es zu keinen Missverständnissen kommt:
Ich habe 2 interne Festplatten. Nur die, auf dem das System installiert ist habe ich gelöscht (MBR überschrieben) und dann per Win 7 CD und einem Systemimage, dass ich auf einer externen Festplatte hatte, wieder auf den Zustand von Januar gebracht. Ich nehme stark an, dass das System da sauber war, kann es aber natürlich nicht garantieren.
Die 2. interne Festplatte habe ich gar nicht angerührt.


Ok, gut. Das würde Sinn machen, denn ich habe ja gerade vorher Windows Updates laden und installieren lassen.

Gut. Dann bin ich beruhigt.

Danke dir vielmals!
:dankeschoen:
Und ich werde gleich die Firewall runterwerfen :)

Danke und liebe Grüße
Kati

P.S.:
Noch eine Frage: Kann/Muss ich den Defogger nochmal starten und den "Re-enable" Butten drücken?

Ich noch weniger oder meinst du ich kann es besser :confused:
100% Sicherheit gibt es nicht, auch nicht in der IT-Welt
Mach einfach Vollscan mit Malwarebytes und ESET wenn du willst - natürlich ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!

Du musst GARNIX mit dem defogger machen wenn sowas wie Daemon-Tools nicht im Spiel ist