SPAM-Vorwurf durch Internet-Anbieter / "Malwarebytes Anti-Malware"-Abstürze / Nachfrage zu "Secunia PSI"
 

Liebe Trojaner-Mitarbeiter,

die folgenden 3 "Probleme" hängen alle zusammen, weshalb ich dies nicht als Einzelthemen eingeführt habe. Ich hoffe, dass das Eure Zustimmung erhält!

1. Problem:
Seit Februar bin ich in Spanien und nutze den hiesigen Movistar-Internet-Service (mit Router und ca. 8 Mb/sec Downloadgeschwindigkeit). Mittlerweile wird mir mehrfach von Movistar vorgeworfen, dass ich / mein PC die Ursache für SPAM-Mails sein soll. Als Beweise haben sie mir z. B. folgende Info geschickt:
*******************

This is a Telefonica email abuse report for an email message Received From
IP 83.61.247.63 on Mon, 12 Aug 2013 19:26:22 +0000

- C.DTF
Received: From mxe.senderscore.net (mxe.lan.senderscore.net [10.8.2.151])
by parc.lan.senderscore.net (Postfix) with ESMTP id D6769C56 for ; Mon, 12
Aug 2013 13:21:31 -0600 (MDT)
Received: From mx.rima-tde.net (24.Red-80-25-220.staticIP.rima-tde.net
[80.25.220.24]) by mxe.senderscore.net (Postfix) with ESMTP id 701B6CB2
for ; Mon, 12 Aug 2013 13:21:31 -0600 (MDT)
Received: From 63.Red-83-61-247.dynamicip.rima-tde.net
(63.Red-83-61-247.dynamicip.rima-tde.net [83.61.247.63]) by mx.rima-tde.net
(Postfix) with SMTP id AA885FCEC00 for ; Wed, 7 Aug 2013 15:26:42 +0200
(CEST)
Received: From unknown (HELO localhost)
(gb2m-tnk@discoveryford.com@179.121.226.174) by 83.61.247.63 with ESMTPA;
Wed, 7 Aug 2013 14:13:26 -0000
From: gb2m-tnk@discoveryford.com
To: 9acd626b3b48b489c3ed7131e9cc828d@rima-tde.net
Subject: Momentum Building?


*******************

Ich habe nun alle möglichen Antiviren-Programme bereits installiert und (teils auch nach Euren Hinweisen im April d. J.) auch extra nochmals durchlaufen lassen, habe mir außerdem das Programm RegCurePro gekauft und mehrfach eingesetzt (die Ergebnisse könnt Ihr den beigefügten Dateien entnehmen), aber irgendwie scheint die "Ursache" noch nicht ganz beseitigt zu sein. Was kann / soll ich noch tun?

2. Problem:
Ihr hattet mir ja auch die Software "Malwarebytes Anti-Malware" empfohlen. Auch diese habe ich versucht, wieder einzusetzen, allerdings mit wenig Erfolg:
Immer, wenn ich den Quick-Scan habe durchlaufen lassen, hat dieser eine Weile gut funktioniert (beim letzten Mal hatte erbereits fast 50.000 Dateien durchsucht - ohne eine infizierte Datei zu finden! ), aber dann ist das Programm + Windows + das ganze System abgestürzt: Es gab den "berühmten" blauen Hintergrund-Bildschirm mit weißer Schrift und fast einer Seite in DOS-Bildschirm-Form mit der letzten Zeile: "Dumping physical memory to disc: ..." (und dann begann es bei 0, wuchs bis 100 - und dann war der Rechner absolut heruntergefahren und Windows fragte danach, ob es normal oder im abgesichterten Modus oder... wieder neu gestarten werden soll...).
Auch eine Deinstallation der Version vom April und eine Neu-Installation führte zu genau dem gleichen Ergebnis.
Meine Fragen nun an Euch:

Kann das ein Hinweis auf wirklich noch im PC "schlummernde" Viren sein? (Zusammenhang mit 1. Problem?)
Woran kann ein solcher Absturz - den ich wirklich nur bei diesem Programm zur Zeit erlebe - später auch bei Gmer!) liegen, und wie kann ich den verhindern?
Was kann ich ansonsten noch tun, um meinen PC in wieder absolut sauberen und reibungs-/virenfreien Zustand zu bringen?

3. "Problem" / Nachfrage zu "Secunia PSI":
Ihr hattet mir ja auch diese Software empfohlen, damit ich meine Programme immer auf dem aktuellen Status halten kann. Secunia PSI geht auch einwandfrei, gibt mir auch an, welche Programme aktualisiert werden müssen (z. B. mit der Meldung "Programm wird untersucht Infanview 4.x"), aber leider endet dieser Status des "wird untersucht" nie (mit der Überschrift "Secunia System Score: 91%") und ich finde keine Möglichkeit, diese Programme dann auch zu aktualisieren (z. B. durch Doppelklick oder anderes). Könnt Ihr mir da noch einen Tipp geben?

HINWEISE zu den VORBEREITUNGEN:
Ich habe versucht, den Anweisungen in http://www.trojaner-board.de/69886-a...-beachten.html gerecht zu werden, aber leider ging das nicht ganz problemlos. Z. B. ist der gleiche Systemabsturz wie oben beschrieben bei Malware-Bytes auch beim Scan durch Gmer erfolgt, so dass ich dann erst mal im abgesicherten Modus Gmer habe durchlaufen lassen und schließlich das beiliegende Ergebnis erhalten habe.

Ich hoffe, alle Vorbereitungen können Euch helfen. Auf jeden Fall: Vielen Dank im Voraus für die Hilfen!!!!
Viele Grüße
Dr_thomas
**************************************
Die gewünschten Logfiles habe ich als Attachments angehängt, weil dieser Text sonst viiiiiel zu lange wäre!

hi,

Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel

Link 1


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hallo Schrauber,

erst mal danke, dass du dich meines Problems annimmst.

Hier also die Ergebnisse aus der Combofix.txt:
*************Combofix Logfile:
--- --- ---
A36C5E4F47E84449FF07ED3517B43A31
********************

Bin gespannt auf Deine Interproetation...

Viele Grüße
Dr_thomas

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

und ein frisches FRST log bitte.

Hallo schrauber, ,

hier also nun die gewünschten Text-/Logdateien:


Malwarebytes Anti-Malware:
*****************
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.08.13.05

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 10.0.9200.16635
GT :: GT-PC [Administrator]

13.08.2013 18:36:32
mbam-log-2013-08-13 (18-36-32).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 244414
Laufzeit: 10 Minute(n), 16 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

*****************


Adwcleaner [S4]:
*****************AdwCleaner Logfile:
--- --- ---

*****************


Adwcleaner [R4]:
*****************AdwCleaner Logfile:
--- --- ---

*****************



JRT:
*****************
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 5.4.4 (08.12.2013:1)
OS: Windows 7 Professional x86
Ran by GT on 13.08.2013 at 19:11:43,52
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values



~~~ Registry Keys



~~~ Files

Successfully deleted: [File] "C:\Windows\system32\authuitu.dll"
Successfully deleted: [File] "C:\Windows\system32\turegopt.exe"



~~~ Folders



~~~ FireFox

Successfully deleted: [File] C:\Users\GT\AppData\Roaming\mozilla\firefox\profiles\z7mbtmap.default-1347304902982\invalidprefs.js
Emptied folder: C:\Users\GT\AppData\Roaming\mozilla\firefox\profiles\z7mbtmap.default-1347304902982\minidumps [33 files]



~~~ Event Viewer Logs were cleared





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 13.08.2013 at 19:14:42,89
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

*****************


FRST:
*****************
FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---
*****************

So, ich hoffe, ich hab nichts vergessen...

Besonders gefreut hat mcih, dass bei "Malwarebytes..." der Rechner stabil geblieben ist udn nicht wieder abgestürzt ist. War das schon ein erster Hinweis, dass irgendetwas "bereinigt" worden ist?

Bin gespannt auf deine Interpretationen...

Schönen Abend schon mal wünscht Dir

Dr_thomas

Hallo Schrauber,
ich bin's nochmals, denn die große "Überraschung" kam etwa 20 Minuten nach meiner letzten Antwort:
Als ich an den PC zurückkam war er komplett schwarz - nur der Mauszeiger war noch zu sehen, reagierte aber auf nichts. Die Festplattenanzeige blinkte fast dauerhaft, aber es war nichts mehr zu sehen. Auch die Tastenkombinationen ALT+TAB (für Wechsel von Anwendungen) oder ALT+CTRL+DEL (z. B. zum Aufruf des Task-Managers) führten zu keiner Veränderung.
Eine kurze Betätigung des Ein-/Ausschalters führte nach erneutem Betätigen auch zu keiner Veränderung.
Ein langes Betätigen führte dann zum Ausschalten des PCs. Beim Neustart habe ich dann erst mal "im abgesicherten Modus" gestartet - kurz danach war wieder alles schwarz...
Nochmals ausschalten und wieder einschakten.
Dann hat der PC mir angeboten: "Computer reparieren", was ich natürlich sofort angenommen habe.
Zunächst habe ich (soweit ich mich erinnere) Systemreparatur ausgewählt, ohne Ergebnis.
Auch die Option der Kontrolle des Speichers ergab nicht die gewünschte Cveränderung. der Speicher soll okay sein, Neustart führte aber zum gleichen Ergebnis.
Beim nächsten "Computer reparieren" hab ich mich dann zu einer Systemwiederherstllung entschieden, denn der Windows Defender hatte heute Mittag um 12.11 Uhr einen Wiederherstellungspunkt erstellt.
Nach dieser Systemwiederherstellung kann ich nun wenigstens wieder am PC arbeiten - was von den vorher durchgeführten Programm-Durchläufen nun noch Bestand hat mit den (hoffentlich positiven) Auswirkungen, kann ich nun natürlich nicht mehr sagen.

Was kann hier denn nun passiert sein? Und wie kann ich verhindern, dass mir das nochmals passiert?

Ich steh jetzt ziemlich ratlos da und wage kaum, den Rechner nachher dann herunterzufahren...

Gute Nacht schon mal - und bin gespannt, was Du mir als Experte dazu sgane kannst.

Viele Grüße

Dr_thomas

!!!!!!!!!!!!!!

Und nochmals ich:

heute mrogen habe ich wieder eine "Warnung" von Movistar (meinem Telefon-Internet-Anbieter) bekommen, dass gestern wieder neue SPAM-Mails von mir versendet worden sind. Als "Beweis" haben sie mir folgenden Auszug aus einer der Mails erneut zugeschickt:
#############################
------ Prueba
------------------------------------------------------------------------

This is a Telefonica email abuse report for an email message Received From
IP 83.38.6.231 on Tue, 13 Aug 2013 21:58:38 +0000

- C.DTF
Received: From mxd.senderscore.net (mxd.lan.senderscore.net [10.8.2.150])
by pare.lan.senderscore.net (Postfix) with ESMTP id 1908E669 for ; Tue, 13
Aug 2013 15:53:42 -0600 (MDT)
Received: From mx.rima-tde.net (24.Red-80-25-220.staticIP.rima-tde.net
[80.25.220.24]) by mxd.senderscore.net (Postfix) with ESMTP id 6F2EEBDD
for ; Tue, 13 Aug 2013 15:53:41 -0600 (MDT)
Received: From 83.38.6.231 (231.Red-83-38-6.dynamicip.rima-tde.net
[83.38.6.231]) by mx.rima-tde.net (Postfix) with SMTP id 365AAF30AB4 for ;
Tue, 13 Aug 2013 12:58:12 +0200 (CEST)
Received: From unknown (HELO localhost) (i.vilms@excite.it@184.119.184.34)
by 83.38.6.231 with ESMTPA; Tue, 13 Aug 2013 11:48:04 -0000
From: i.vilms@excite.it
To: a564a439dd759c45d9a24e4d36d0e35f@rima-tde.net
Subject: This Company Has Been Issued A 100% Buy!
Date: Tue, 13 Aug 2013 11:38:39 -0000
Return-Path:
X-Original-To: etisfbl.telefonica.pristine@senderscore.net
Delivered-To: etisfbl.telefonica.pristine@senderscore.net
X-Originating-IP: 184.119.184.34

The Past Days B_L D_W Escalated Approaching 30 Percent. Upon Valuable
Disclosures In Store, Wait For An Even Bulkier Ascent All Week. Future To
Go To Millions In Washington Charity For Building Turbines, Corp. Look At
The Chart, Investors Who Arrived Quickly Last Week Made The Bulkiest
Earnings.
###########################################

Wie kann ich das verhindern????? Was kann ich tun????

Viele Grüße
Dr_thomas

Hi,

MBAM und AdwCleaner wiederholen, zusammen mit einem frischen FRST log posten. Passwort zum Account geändert?

Hallo Schrauber,

bevor ich unten die gewünschten Dateien anhänge, bitte ich Dich doch, mir mal mitzuteilen, was Du zu folgenden 4 Punkten schreiben kannst:

1) Wie kann das mit dem schwarzen Bildschirm (wie gestern passiert und beschrieben) entstehen? Was kann da die Ursache sein, und wie kann ich das in Zukunft verhindern (denn so etwas ist mir noch nie passiert - und ich arbeite mit DOS und Windows immerhin seit etwa 1985...)?

2) Heute Mittag hatte ich mit meinem Internet-Anbieter telefoniert. Sie haben mir empfohlen, ein Programm mit einem eigenen "Mail-Filter" zu installieren. Kannst Du mir da etwas empfehlen, auch wenn es etwas kostet, das ich mir zulegen sollte?

3) Mein Provider ist ja, wie Du weißt "hamburg.de". In meinem Mailprogramm (Mozilla Thunderbird) hatte ich bisher das Authentifizierungsmethode "Passwort ungeschützt übertragen" ausgewählt. Wegen der vorhandenen Probleme (und es scheint sich möglicherweise um einen Trojaner in meinem Mailprogramm zu handeln) wollte ich nun die verschlüsselte Übertragung des Passworts auswählen. Aber das funktioniert nicht, denn "hamburg.de" hat mir vorhin mitgeteilt, dass sie eine verschlüsselte Passwortübertragung nicht unterstützen. Findest Du das normal - oder sollte ich mich doch von "hamburg.de" entfernen? Wie machen das denn die anderen Provider?

4) Wegen Deiner Frage: "Passwort zum Account geändert?": Meinst Du mein Passwort beim Trojaner-Board? Das hab ich nicht geändert. Wenn Du aber das in meinem Mailprogramm meinst: Ja, das habe ich in der Tat inzwischen geändert. War doch richtig, oder?

Nun die gewünschten Textdateien:

mbam-log-2013-08-14 (18-26-05):
##################################################################
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.08.14.06

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 10.0.9200.16635
GT :: GT-PC [Administrator]

14.08.2013 18:26:05
mbam-log-2013-08-14 (18-26-05).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 244567
Laufzeit: 9 Minute(n), 15 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
##################################################################

Zu den adwcleaner-Dateien: Das Programm hat erst beim 3. Versuch einwandfrei funktioniert. Vorher gab es schon beim Scan als Ergebnis eine völlig leere, "Unbenannt" bezeichnete Textdatei mit der Fehlermeldung "Zugriff verweigert". Und beim 2. und 3. Mal gab es beim erfolgten Neustart von Windows immer die Meldung und die Aktion "Datenträgerüberprüfung". Warum das?

Hier nun aber die entsprechenden adw-Dateien:

AdwCleaner[S6]:

#################################################################AdwCleaner Logfile:
--- --- ---
############################################################################

AdwCleaner[R6]:
############################################################################AdwCleaner Logfile:
--- --- ---
#############################################################################


FRST-log-Datei:
#############################################################################
FRST Logfile:
--- --- ---

Ich tippe auf nen Schluckauf von JRT, du bist der 3te mit dem Problem, ich hab schon Kontakt mit dem Entwickler aufgenommen
JEder AV Hersteller bietet das, wenn man zum kostenpflichtigen Internet Security Paket wechselt. Schau dir mal Emsisoft an :)
Find eich grenzwertig. Ich würd zu nem anderen wechseln, einem der "Großen".
Ja ich meinte Mail, aber nicht Mailprogramm, sondern dein Login-Passwort zum MailAccount.
Ausserdem bitte Thunderbird deinstallieren und neu installieren.


Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

und ein frisches FRST log bitte. Noch Probleme? :)

Hallo Schrauber,

erst mal vielen Dank für all die Antworten. Na ja, wenn ich den Provider wechseln sollte, werde ich ja leider auch meine (schon etwa 10 Jahre bestehende) Mailanschrift mit "hamburg.de" verlieren. Wäre doch sehr schade... Für wie wichtig hältst Du denn dieses Manko mit dem unverschlüsselten Passwort?

Ja, das Passwort zu meinem Mailaccount bei hamburg.de hab ich inzwischen geändert, muss es aktuell aber jedes Mal manuell neu eingeben. Sollte ich das aus Sicherheitsgründen so lassen (hat aber 20 digits...) oder kann ich es über den Passwort-Manager "speichern" lassen?

Und das mit "Thunderbird deinstallieren und neu installieren" geht leider nicht. Thunderbird lässt sich auf die mir bekannten klassischen Wege nicht deinstallieren. Oder soll ich manuell einfach die Thunderbird-Verzeichnisse löschen und es dann neu installieren?

Interessant auch, dass sich offensichtlich irgendwie eine "porn.exe" festgesetzt hat - natürlich ohne, dass ich es irgendwann gemerkt hätte... Kann man das vermeiden z. B. mit dem Programm "Avira Internet Security"?

Hier aber nun die gewünschten Dateien:

Fixlog.txt (es hat mich schon verblüfft, dass danach Fixlist.txt "verschwunden" ist - scheint aber so okay zu sein!)
#################################
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 24-04-2013
Ran by GT at 2013-08-15 12:15:13 Run:1
Running from C:\Users\GT\Desktop\Antiviren_Dateien
Boot Mode: Normal
==============================================
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\FolderNotifyer value deleted successfully.
==== End of Fixlog ====
#################################################

ESET-Logfile:
#################################################
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=36882
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=beeb71c008b49843af936c850f87c159
# engine=13729
# end=stopped
# remove_checked=false
# archives_checked=false
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-04-30 04:59:55
# local_time=2013-04-30 05:59:55 (+0000, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1800 16775165 100 97 893 232764448 0 0
# compatibility_mode=5893 16776573 100 94 36305 119807586 0 0
# scanned=1833
# found=0
# cleaned=0
# scan_time=28
ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=beeb71c008b49843af936c850f87c159
# engine=13729
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-05-01 10:02:32
# local_time=2013-05-01 11:02:32 (+0000, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1800 16775165 100 97 62250 232825805 58609 0
# compatibility_mode=5893 16776573 100 94 97662 119868943 0 0
# scanned=285047
# found=2
# cleaned=0
# scan_time=61325
sh=4D7D7C48AC7B4FA60870B49305B42D122BF6C985 ft=1 fh=c71c001130433e66 vn="a variant of Win32/Kryptik.AZLE trojan" ac=I fn="C:\FRST\Quarantine\skype.dat"
sh=5BAEE8522731B6097C16115EBD0F8754D563C16A ft=0 fh=0000000000000000 vn="a variant of Win32/Kryptik.AZVU trojan" ac=I fn="C:\Users\GT\AppData\Local\Temp\DrYZj4K3.zip.part"
ESETSmartInstaller@High as downloader log:
Can not open internetESETSmartInstaller@High as downloader log:
Can not open internet# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=beeb71c008b49843af936c850f87c159
# engine=14704
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-08-08 10:24:34
# local_time=2013-08-08 11:24:34 (+0000, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=5893 16776574 100 94 2473222 128467065 0 0
# scanned=219838
# found=1
# cleaned=0
# scan_time=15220
sh=305657C6FB60BC423BBD56B90586BB6AB669BC7A ft=1 fh=313bfcb95c00183a vn="a variant of Win32/Adware.MediaFinder.H application" ac=I fn="C:\Users\GT\AppData\Local\Temp\tmp2013135355\setup.exe"
ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=beeb71c008b49843af936c850f87c159
# engine=14704
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-08-10 07:56:24
# local_time=2013-08-10 08:56:24 (+0000, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=5893 16776574 100 94 2593932 128587775 0 0
# scanned=481605
# found=2
# cleaned=0
# scan_time=3179
sh=305657C6FB60BC423BBD56B90586BB6AB669BC7A ft=1 fh=313bfcb95c00183a vn="a variant of Win32/Adware.MediaFinder.H application" ac=I fn="C:\Users\GT\AppData\Local\Temp\tmp2013135355\setup.exe"
sh=0000000000000000000000000000000000000000 ft=- fh=0000000000000000 vn="multiple threats" ac=I fn="I:\GT-PC\Backup Set 2011-07-24 190003\Backup Files 2011-09-26 194319\Backup files 2.zip"
ESETSmartInstaller@High as downloader log:
all ok
ESETSmartInstaller@High as downloader log:
all ok
#################################################


Checkup.txt:
#################################################
Results of screen317's Security Check version 0.99.72
Windows 7 Service Pack 1 x86 (UAC is enabled)
Internet Explorer 10
``````````````Antivirus/Firewall Check:``````````````
Avira Desktop
Antivirus up to date! (On Access scanning disabled!)
`````````Anti-malware/Other Utilities Check:`````````
Secunia PSI (3.0.0.6005)
Malwarebytes Anti-Malware Version 1.75.0.1300
TuneUp Utilities 2012
TuneUp Utilities Language Pack (de-DE)
Duplicate Cleaner Free 3.0.1
Panda Cloud Cleaner
Java 7 Update 25
Adobe Flash Player 11.8.800.94
Adobe Reader XI
Mozilla Firefox (23.0)
Mozilla Thunderbird (17.0.8)
````````Process Check: objlist.exe by Laurent````````
Avira Antivir avgnt.exe
Avira Antivir avguard.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C:
````````````````````End of Log``````````````````````
#################################################
...und nun noch das neueste FRST.log-File:
#################################################
FRST Logfile:
--- --- ---
#################################################

Nein, momentan hab ich noch keine weiteren Probleme (nur dass der Rechner heute, als ich den Freepdf neu installiert hatte, erst mal einen ausführlichen CHKDSK beim Systemstart durchgeführt hatte - zum Glück war ESET offensichtlich schon fertig, denn die entsprechende ESET-Textdatei war wie vorgegeben vorhanden:-))

Bitte also auf jeden Fall nochmal einen Tipp zur De-/Installation von Thunderbird. Danke!

Schönen Abend wünscht Dir

Dr_thomas

naja. Wichtig aber nicht weltbewegend.
Revo Uninstaller Pro - Uninstall Software, Remove Programs easily, Forced Uninstall, Leftovers Uninstaller
Versuch es mit Revo, danach kannste auch das PW wieder im Manager speichern lassen.



Nimm lieber Emsisoft.

Downloade Dir bitte TFC ( von Oldtimer ) und speichere die Datei auf dem Desktop.
Schließe nun alle offenen Programme und trenne Dich von dem Internet.
Doppelklick auf die TFC.exe und drücke auf Start.
Sollte TFC nicht alle Dateien löschen können wird es einen Neustart verlangen. Dies bitte zulassen.


Fertig :)

Die Reihenfolge ist hier entscheidend.

1. Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
2. Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
   • Windowstaste + R > Combofix /Uninstall (eingeben) > OK
   • Alternative: Combofix.exe in uninstall.exe umbenennen und starten
   • Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
3. Downloade Dir bitte auf jeden Fall DelFix auf deinen Desktop:
   • Schließe alle offenen Programme.
   • Starte die delfix.exe mit einem Doppelklick.
   • Setze vor jede Funktion ein Häkchen.
   • Klicke auf Start.
   • Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
   • Starte deinen Rechner abschließend neu.
4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

Hier noch ein paar Tipps zur Absicherung deines Systems.


Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.

• Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
• Windows Updates
  • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
  • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
• Gehe sicher das die automatischen Updates aktiviert sind.
• Software Updates
  Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
  Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.

Anti- Viren Software

• Gehe sicher immer eine Anti Viren Software installiert zu haben und das diese auch up to date ist. Es ist nämlich nutzlos wenn diese out of date sind.

Zusätzlicher Schutz

• MalwareBytes Anti Malware
  Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
  Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
  Ein Tutorial zur Verwendung findest Du hier.
• WinPatrol
  Diese Software macht einen Snapshot deines Systems und warnt dich vor eventuellen Änderungen. Downloade dir die Freeware Version von hier.

Sicheres Browsen

• SpywareBlaster
  Eine kurze Einführung findest du Hier
• MVPs hosts file
  Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
• WOT (Web of trust)
  Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.

Alternative Browser

Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.

• Opera
• Mozilla Firefox.
  • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
  • NoScript
    Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
    
  • AdblockPlus
    Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
    Es spart ausserdem Downloadkapazität.

Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )



Don'ts

• Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
• verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
• Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
• Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe

Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.

Hallo, Schrauber,

mal wieder ein großes Danke - glücklicherweise habe ich als Pensionär viiiiiel Zeit, all diese zeitaufwändigen, aber natürlich notwendigen Arbeiten am PC durchzuführen, und wenn einem das so klar und einfach vorgegeben wird wie von Dir, dann bringt es auch noch Spaß!

Ich hab nun alles wie in der letzten Nachricht von Dir vorgegeben erledigt, habe aber trotzdem noch ein paar "Problemchen":

1) Etwas "Merkwürdiges" passiert inzwischen: Wenn ich über Start -> Computer -> "Wechseldatenträger (G:)" mir den Inhalt meines (Sicherheits-)Sticks ansehen möchte, dann entdecke ich dort statt der tatsächlich vorhandenen Unterverzeichnisse nur entsprechende Verknüpfungen dorthin. Und wenn ich dann über diese Verknüpfungen in die Unterverzeichnisse will, bekomme ich die Meldung: "G:\\porn.exe konnte nicht gefunden werden. OK". (übrigens wirklich mit Doppel-Backslash!). Ich erinnere, dass wir irgendwo porn.exe gelöscht hatten (wohl einer der Hauptgründe für die Spam-Mails, oder?), aber wie bekomme ich jetzt wieder die normale Verzeichnisanzeige hin? (Zum Glück hab ich ja noch den "FreeCommander", und der funktioniert einwandfrei -also mal wieder ein Zeichen, dass "nur" Windows attackiert wurde.)

2) Ich hatte (Deiner Empfehlung entsprechend) "Combofix" benutzt, finde es jetzt aber nicht mehr auf meinem Rechner zum Deinstallieren. Kann es sein, dass wir es schon wieder deinstalliert hatten? Und was soll ich nun sicherheitshalber noch machen?


3) Folgendes hatte ich schon in der ersten Mail im 3. Punkt geschrieben, und wo Du jetzt Secunia ansprichst, will ich die Frage nochmals wiederholen:
*********************************************
3. "Problem" / Nachfrage zu "Secunia PSI":
Ihr hattet mir (im April/Mai) ja auch diese Software empfohlen, damit ich meine Programme immer auf dem aktuellen Status halten kann. Secunia PSI geht auch einwandfrei, gibt mir auch an, welche Programme aktualisiert werden müssen (z. B. mit der Meldung "Programm wird untersucht Infanview 4.x"), aber leider endet dieser Status des "wird untersucht" nie (mit der Überschrift "Secunia System Score: 91%") und ich finde keine Möglichkeit, diese Programme dann auch zu aktualisieren (z. B. durch Doppelklick oder anderes). Könnt Ihr mir da noch einen Tipp geben?
*********************************************
Du empfiehlst ja, "Secunia Online Software" zu nutzen; deshalb könnte es ja auch sein, dass Du eine andere Secunia-Software meinst. Wenn aber doch nicht, dann wäre ich dankbar, wenn Du mir die obige Frage beantworten kannst. Ich füge Dir zur Erläuterung auch noch einen Screenshot bei, dem Du mein Problem vielleicht noch besser entnehmen kannst.

Ansonsten aber scheint nun (endlich) alles wieder sauber zu sein, jedenfalls habe ich von Movistar keine weiteren "Klagen" gehört. Ich werde mich nun erst mal ausführlich mit EMSIS beschäftigen (als Alternative zu Avira); all die anderen Empfehlungen, die sich sicher aus mehrjähriger Erfahrung bei Euch insgesamt ergeben haben, werde ich Stück für Stück abarbeiten - der Ausdruck all Deiner Hinweise liegt erst mal fest neben meinem PC.

Wäre schön, wenn Du mir noch auf die o. a. 3 Punkte antworten könntest, so dass wir dann dieses Thema ad acta legen könnten. Danke also im Voraus!

Schönen Abend und schönes Wochenende schon mal wünscht Dir

Dr_thomas.

Normal nicht. Aber auch nicht schlimm, Delfix löscht es auch.
Wenn ich nicht irre ist in meiner anleitung auch ein Link. Installier Secunia einfach mal neu und teste wieder.
http://www.chip.de/downloads/Panda-U..._36368468.html

Installier das mal und lass es laufen, Stick muss dran sein, dann bitte ein frisches FRST log.

...oh nein!!!!!
Was ist denn jetzt los? Ich hab gerade eben eine Mail an meinen Hamburger provider geschickt und folgende Rückmeldung erhalten:
Danach soll noch immer Malware mit meinen Mails verschickt werden...

Was kann / sollte ich jetzt noch machen?

Danke im Voraus - und tut mir wirklich leid, dass offensichtlich noch immer nicht alles einwandfrei zu sein scheint. (Übrigens habe ich seit vorgestern lediglich das neue Thunderbird installiert - nach vorheriger Deinstallation natürlich -, und auch die Secunia PSI-Software neu installiert - auch vorher deinstalliert. Kann ich mir damit schon wieder etwas "eingefangen" haben?)

Schönen Abend erst mal wünscht dir

Dr_thomas

PandaUSBVaccine hab ich übrigens soeben laufen lassen - die Verzeichnisse auf dem Stick sind jetzt wieder normal erkennbar und auswählbar. Trotzdem wie gewünscht nachfolgend noch die beiden FRST-Dateien:
Erst das FRST-log.txt:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---


und nun noch die Addition-Datei:
Fällt Dir da noch irgendetwas auf?

Schöne Woche schon mal wünscht Dir

Dr_thomas

Brauchst du den Kram alles und kennst Du das?

Hallo, Schrauber,

also:
- DriverWhiz kenne ich nicht und habe es soeben deinstalliert; anbei die Windows Installer Deinstallationsdatei:
- Keytext nutze ich schon seit vielen Jahren und ist wirklich super (z. B. kann ich mit der Tastenkombination ALT+W und dann "B" meine komplette Anschrift mit Telefonnummern etc. schreiben lassen; es stellt also Textbausteione mit Kurzwahltasten zur Verfügung).

- Webshots gibt mir tolle Bildschirmschoner-Bilder; nutze ich auch schon seit vielen Jahren.

- WinZipper wird wohl oft für zip-Dateien gebraucht, oder? Das musste man z. B. auch für die von Avira gewünschte Datei AVSUPINF.zip benutzen, mit der sie die Desktop-Aktivierung überprüfen konnten. Soll ich das nicht lieber bestehen lassen? Oder hast Du ein alternatives zip-Programm?

Viele Grüße

Gottfried.