Hi Schrauber!

Damit der Suchlauf überhaupt komplett durchläuft, habe ich die Datei 'mal (zumindest vorübergehend) in die Quarantäne verschieben lassen. Von da konnte ich sie auch an AVIRA senden.

Für eine Code-Box ist das Log aber viel zu groß!

Selbst für einen Anhang ist das Log mit knapp 30 MB viel zu groß.

Ich schicke Dir jetzt 'n Link zu meiner Dropbox per PN... 'was besseres fällt mir spontan nicht ein...

Vielen Dank!

LG

olynt

Dann anders, sag mir einfach wo Avira die Datei noch anmeckert.

...okay... einmal hier, bei System 32:

DlProtectSvc.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/DProtect.125442

...und dann ganz unten, kurz vor'm Ende des Logs:

Beginne mit der Desinfektion:
C:\Windows\System32\
DlProtectSvc.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/DProtect.125442
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5e9d16cf.qua' verschoben!

Vielen Dank für Deine Geduld!

LG

olynt

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop.
SystemLook (64 bit)

• Doppelklicke auf die SystemLook_x64.exe, um das Tool zu starten.
• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
  
  Code:

  ---

  :filefind
*DlProtectSvc.exe*
:regfind
DlProtectSvc

  ---

• Klicke nun auf den Button Look, um den Scan zu starten.
• Der Suchlauf kann einige Zeit dauern.
• Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, poste diese in deinen Thread.
• Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

Hallo Schrauber!

Hier das Log von SystemLook:
LG

olynt

Kopiere den Text in der Codebox in deinen Editor (z.B. Notepad) und speichere es unter dem Namen regfix.reg (bei Dateityp bitte "alle Dateien" wählen)

Starte die regfix.reg duch Doppelklick.


Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Hi Schrauber!

...beim ersten Versuch hatte Avira irgendeinen Zugriff blockiert...

Also bin ich zum Wiederherstellungspunkt zurückgekehrt, den ich direkt vor der Aktion erstellt hatte, und habe es dann (mit deaktiviertem Avira) nochmal gemacht wie oben beschrieben... Die Kopie der Datei, die sich noch in der Quarantäne befand, nachdem ich die Datei nach der Aktion am 15.1. hatte wiederherstellen lassen, hatte ich entfernt (also die Kopie!)...

Hier das Fixlog:
Und nun?

...ich denke ich mache erstmal ein frisches FRST... das willst Du ja eigentlich immer haben...

Ich bin ja echt froh, dass Du Dich überhaupt noch mit mir beschäftigst!!!

Vielen Dank!

LG

olynt

FRST Teil 1:

FRST Teil 2:

FRST Teil 3:
Addition:
Weitere Aktionen...

Wahrscheinlich werde ich mir dafür einen Rüffel einhandeln... aber ich habe lauter Wiederherstellungspunkte gesetzt...

1. AdwCleaner findet folgenden "vermeintlich" leeren Ordner:
...zunächst so belassen...

2. JRT entfernt eben diesen Ordner:
3. Malwarebytes findet (erneut) gar nichts:
...bei MBAM befinden sich 56 Dateien in der Quarantäne... seit 7.1.2014... Kann/soll ich die löschen?

4. Avira (Bericht auf Standard heruntergesetzt) findet die besagte Datei nur noch in der Quarantäne von FRST (und nun in eigener Avira-Quarantäne, zwecks vollständigem Durchlauf - stelle ich wieder her):
Falls das alles 'ne $chei§-Idee gewesen sein sollte, könnte ich zu verschiedenen Wiederherstellungspunkten zurückkehren...

LG

olynt

Lass die Finger weg von den Wiederherstellungspunkten oder wir machen alles nochmal.

Hast Du aktuell noch Probleme ausser den beiden leeren Ordnern die gefunden werden?
MBA; Quarantäne kannste leeren.

Hi Schrauber!

Die alten Punkte hatte ich ja alle gelöscht! Ich habe nur gestern bzw. heute Nacht immer einen gesetzt, bevor ich etwas gemacht hatte...

Beide? Naja... war ja eigentlich nur ein und derselbe... und JRT hast ihn ja gelöscht...

Probleme?

Naja... augenscheinliche Auswirkungen hatte ich ja bisher nicht... außer dem Fund...

Okay! Jetzt gibt es den Fund nur noch in der Quarantäne von FRST...

Soll/kann die Datei da bleiben???

Was ist das überhaupt für 'ne Datei??? Kennst Du die??? Oder weißt Du wo sie her kommt bzw. kam? Braucht man die in unverseuchter Form für irgendetwas?

Eine meiner Sorgen war, dass ich etwas (also Malware etc.) z. B. per E-Mail weitergeben könnte...

Kann ich mein System jetzt als "clean" betrachten??? :o

Jedenfalls 'mal wieder herzlichen Dank für Deine Hilfe!!!

Liebe Grüße

olynt

Ja der Rechner ist jetzt sauber. Ändere alle Passwörter.


Fertig :)

Falls Du Lob oder Kritik loswerden möchtest kannst Du das hier tun :)


Die Reihenfolge ist hier entscheidend.

1. Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
2. Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
   • Windowstaste + R > Combofix /Uninstall (eingeben) > OK
   • Alternative: Combofix.exe in uninstall.exe umbenennen und starten
   • Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
3. Downloade Dir bitte auf jeden Fall DelFix auf deinen Desktop:
   • Schließe alle offenen Programme.
   • Starte die delfix.exe mit einem Doppelklick.
   • Setze vor jede Funktion ein Häkchen.
   • Klicke auf Start.
   • Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
   • Starte deinen Rechner abschließend neu.
4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

Hier noch ein paar Tipps zur Absicherung deines Systems.


Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.

• Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
• Windows Updates
  • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
  • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
• Gehe sicher das die automatischen Updates aktiviert sind.
• Software Updates
  Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
  Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.

Anti- Viren Software

• Gehe sicher immer eine Anti Viren Software installiert zu haben und das diese auch up to date ist. Es ist nämlich nutzlos wenn diese out of date sind.

Zusätzlicher Schutz

• MalwareBytes Anti Malware
  Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
  Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
  Ein Tutorial zur Verwendung findest Du hier.
• WinPatrol
  Diese Software macht einen Snapshot deines Systems und warnt dich vor eventuellen Änderungen. Downloade dir die Freeware Version von hier.

Sicheres Browsen

• SpywareBlaster
  Eine kurze Einführung findest du Hier
• MVPs hosts file
  Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
• WOT (Web of trust)
  Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.

Alternative Browser

Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.

• Opera
• Mozilla Firefox.
  • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
  • NoScript
    Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
    
  • AdblockPlus
    Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
    Es spart ausserdem Downloadkapazität.

Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )



Don'ts

• Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
• verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
• Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
• Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe

Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.

Lieber Schrauber!

Ganz herzlichen Dank für Deine Hilfe!!! :applaus:

Alle Passwörter??? :eek: ...auch die, für Logins in Browsern??? Oder nur hardwarebezogene?

...aber insgesamt bin ich wohl echt ein Unglücksrabe... :(

Denn nachdem ich nun endlich alle Daten auf dem Rechner hatte, habe ich den 15 Jahre alte XP-Rechner ausrangiert, und die Voll-Version von Avira auf dem aktuellen "Problem-Rechner" installiert.

Direkt nach Installation und Neustart macht das Avira dann immer eine schnelle Systemprüfung.

Doch noch bevor diese los ging, fragte es mich, ob ich folgende Verbindung freigeben würde: fdWNet64.exe

Da ich nicht sicher war, was das sein sollte, hatte ich danach geGOOGLEt... und upps... der erste Treffer bei GOOGLE war dieser Thread hier! :eek:

Und zwar steht es im FRST-Log (Teil 1 ) hinter einem Avira-Eintrag:

Also dachte ich mir: "Okay! Das gehört zu Avira und braucht 'ne Internet-Verbindung!" ...und habe zugestimmt... :(

Blöde Idee!!!

Denn nach ein paar Sekunden der schnellen Systemüberprüfung, noch mit Standard-Einstellungen, also bevor ich das Avira überhaupt "scharf" machen konnte, kam dann gleich die Meldung, dass ausgerechnet diese Datei verdächtig wäre!

Da ist mir natürlich die Kinnlade fast herausgefallen! :eek:

Avira wollte die Datei dann in die Avira-Cloud hochladen, was ich zuließ, und hat sie in die Quarantäne gepackt.

Wie auch immer...

Malwarebytes findet nichts!

AdwCleaner findet auch nichts!

Avira findet bei nun "scharfer" vollständiger Systemprüfung auch nichts (außer "unserer" alten dlprotect in der Quarantäne von FRST, weil ich DELFIX noch nicht gemacht hatte)...

...was ja schon 'mal gut ist! Denn sie ist ja bei Avira in Quarantäne...

Ich bin ja nur ein Laie! Aber ich habe eben nochmal den kompletten Thread durchgescrollt...

Und für mich sieht das so aus, als ob das ein Überbleibsel der V3RF1CK73N Ask-Toolbar wäre!!! Genauso, wie es DlProtectSvc.exe offensichtlich auch gewesen ist! ...was sich mir aber eben erst offenbart hat, nachdem ich in's erste FRST geschaut hatte... :(

Die Ask-Toolbar ist ja neulich schon durch irgendein Tool deaktiviert worden. Und ich hatte natürlich beides deinstalliert, und auch noch den AviraRegCleaner drüber geschickt (wie dringend empfohlen), um die "Reste" zu entfernen, bevor ich neu installiert hatte!

Das ist ja wohl echt ein schlechter Witz, dass Avira in der "Free-Version" Dateien verbreitet, die es selbst als potentielle Gefahr einstuft! Das DlProtectSvc.exe wurde ja schon von der Free-Version geFunden. Das fdWNet64.exe dann erst von der Vollversion (allerdings schon mit Standard-Einstellungen)...

Ich gehe jetzt erstmal hoffend von einem Fehlalarm aus!

Aber spätestens nach Ablauf der bestehenden Lizenz, werde ich Deiner Empfehlung bezüglich einer Antiviren-Software folgen, bzw. Dich erneut nach einer aktuellen Empfehlung fragen...

Und jetzt muss ich diesen 5CH31§ noch im Avira-Forum loswerden...!!!

Bin ich ein Verschwörungstheoretiker, wenn ich nun annehme, dass da für die eigene Existenz-Berechtigung vorgesorgt wird???? :pfui:

Das darf doch alles nicht wahr sein!!!

Nochmals herzlichen Dank!

Liebe Grüße

olynt

hxxp://forum.avira.com/wbb/index.php?page=Thread&threadID=158163

;)

...da bin ich wohl einem Irrglauben erlegen! (schäm)

Dadurch, dass die Einträge direkt hinter den Toolbar-Einträgen waren, ging ich davon aus, dass das alles zusammen gehört...

...ist aber wohl nicht so...

Den "Lesestoff" kenne ich schon! Ich weiß nicht mehr ob von Dir oder von einem anderen Member...

Zum Glück hat man ja bei der Vollversion auch dann einen Webguard, wenn man die blöde Toolbar nicht mitinstalliert...

Ich schiele schon zu Deiner Empfehlung... Aber da ich bei Emsisoft nichts über E-Mail-Schutz gefunden habe, habe ich erstmal 'ne Anfrage gestellt....

Den alten Rechner, der jetzt offline ist und bald in den Schrank wandert, hatte ich mit Avast bestückt...

Nochmal herzlichen Dank für Deine Hilfe!!!

Liebe Grüße

olynt


P. S.: Bisher gab's keine erkennbaren Probleme mit dem neuen Fund...

P. P. S.: Mit meinem ewas vorschnellen Post im Avira-Forum habe ich mir einen Rüffel eingehandelt wegen "Crosspostings"...