Auffälligkeiten b Firefox, kein Zugriff auf passwordgeschützte Worddatei etc.
 

Guten Morgen liebe Boardgemeinde,

seit ein paar Tagen, evtl. seit dem umfangreichen Pachttag von MS?, funktioniert mein PC nicht mehr so richtig. Er ist sehr langsam geworden und insbesondere Firefox (Standardbrowser) macht Probleme, die allerdings nur unter einem der beiden Nutzer auftreten, z. B.:
- Starten dauerst sehr, sehr lange, es blinkt ganz kurz die kplt. Seite auf, dann bleibt das Fenster weiß und erst eine ganz Weile später baut sich die Seite erst wieder auf. Gespeicherte Passworte sind weg und bei Ebay etc. muss häufig ein neuer Login erfolgen.
- bei STRG_F öffnet sich ein Suchfenster und nicht die Fußzeile.
- die Yahoo-Toolbar ist offenbar plötzlich englischsprachig
- Auswahl bei rechter Maustaste "Link in neuem Tab öffnen" fehlt und bei Auswahl "Link in neuem Fenster öffnen", öffnet sich ein neuer Tab.

Dann hat Word mich bei einer passwordgeschützten Datei ausgesperrt, Fehlermeldung ohne vorherige Passwordabfrage:
"Word kann das Dokument nicht öffnen: der Benutzer besitzt keine Zugriffsrecht"
Obwohl als der Benutzer angemeldet, unter dem ich die Datei erstellt und zig Mal geändert / abgespeichert habe.

Kann es sein, dass ich mir hier was Bösartiges eingefangen habe? Kplt.-Scan von AntiVir brachte zwar keinen Hinweis darauf aber irgendwo müssen die Auffälligkeiten ja her kommen, da ich in den letzen Wochen keinerlei Einstellungen verändert habe. Hier nun der HijackThis-Log vom neugebooteten System mit der Bitte um Hilfe!!!

Ganz, ganz lieben Dank sagt Pauline



HiJackthis Logfile:
--- --- ---

Hallo und :hallo:

bitte nen Vollscan mit malwarebytes machen und Log posten. Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Hallo du Winkelfunktion...;-)

ganz lieben Dank für deine schnelle Antwort. Hier der Logfile von Malwarebytes, OTL kommt dann anschließend:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4196

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

14.06.2010 12:24:57
mbam-log-2010-06-14 (12-24-57).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 136495
Laufzeit: 7 Minute(n), 35 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Ich wollte einen Vollscan sehen

so, hier nun der erste der beiden Logfiles von OTL:

OTL Logfile:
--- --- ---

upps, Tschuldigung Arne, hatte ich übersehen, war der Anleitung aus dem geposteten Link gefolgt...mache gleich noch einen Vollscan und poste ihn dann anschließend...

Hier schon mal der zweite der beiden Logfiles von OTL und hoffe, darin ist etwas zu erkennen...:

OTL EXTRAS Logfile:
--- --- ---

Hallo Arne,

noch eine Frage, damit ich's nicht wieder falsch mache: Soll ich, wenn Malwarebytes etwas findet, so wie in der Beschreibung (http://www.trojaner-board.de/51187-a...i-malware.html) verfahren
"Wenn der Scan beendet ist: lasse alles Gefundene löschen
klicke: "Scan Berichte" oder nur posten ohne zu löschen?

Nochmals ganz, ganz lieben DANK für deine Hilfe!!!

LG
Pauline

P.S. das Scannen wird noch ne Weile dauern, da das Progi noch nicht mal mit Laufwerk C: fertig ist....

Ja bitte alles löschen. Notfalls kann man es wiederherstellen.

Hallo lieber Arne,

Malwarebytes hat doch tat. ne ganze Menge böse Sachen gefunden. :pfui:
Hier die mbam-log, ist das schlimm??? Ganz, ganz lieben Dank für Tipps und Hilfen bei der Problembeseitigung!!!

Liebe Grüße

Pauline

Wie kommt ein "KeyGen" nach system32?? Du hast das Teil da nicht selbst reinkopiert oder?

Guten Morgen cosinus,

was ist ein "KeyGen"? "Backdoor.Bot" hört sich ganz schön gefährlich an, was ist denn das?

Keine Ahnung, ich glaube noch nie was nach C:\WINDOWS\system32 kopiert zu haben, zumindestens nicht wissentlich...:confused:

"Quarantined and deleted successfully" bedeutet, dass alle Schädlinge jetzt weg ist oder? Aber die unten beschriebenen Probleme bei Firefox sind alle noch da, auch der Zugriff auf die schreibgeschützte Worddatei klappt noch nicht... wie kann ich das in den Griff bekommen???

Liebe Grüße und herzlichen Dank

Pauline

Bei Keygens oder Cracks im Log ist hier normalerweise der Support beendet, aber das Teil scheint ein Schädling zu sein, der sich als keygen tarnt - der liegt zusammenhangslos im system32 Ordner!



Bitte mal CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lieber Anrne,

danke für die Infos, da hab ich wieder was dazu gelernt. Mein PC ist ja schon etwas älter, die meisten Programme auch aber zu allen habe ich Lizenzen. Sind zwar welche drunter die ich günstig gebraucht gekauft habe, aber immer mit Seriennummer, Siegel, Original-CD usw. oder halt kostenlose aus Computerzeitschriften o. ä. ... :daumenhoc

Ich bin deiner Anleitung gefolgt. Dabei ist mir folgendes aufgefallen: CCleaner hat 165,8 MB gefunden und entfernt, fast alles Temporäre Dateine vom Internet Explorer ... wobei ich den IE ja nie benutze oder wissentlich benutzt habe, sondern immer nur den Firefox...:confused:

Beim Start von ComboFix kommt jetzt der Hammer:
Ich kann antivirus nicht wirklich beenden :koch:
aus der Taskleiste ist er ganz normal weg, das Progi bleibt aber offenbar aktiv, auch wenn ich alles vorher deaktiviert habe... :snyper:

Dann habe ich versucht, mit dem TuneUP Process Manager Antivir zu beenden, geht nicht -> Fehler 5
Folgende Prozesse lassen sich nicht beenden:
- Antivir WebGuard Service
- Antivir Engine Service
- Antivir MailScanner Service
- Antivirus On-Access Service
- Antivirus Sheduler

Dann habe ich es mit dem Windows Task-Manager versucht, geht auch nicht: "Der Vorgang konnte nicht beendet werden. Zugriff verweigert."
- avwebgrd.exe
- avmailc.exe
- avguard.exe
- avesvc.exe

Übrigens ist mir dabei aufgefallen, dass die Tastenkombination STRG_ALT_Entf. ebenfalls nicht funktioniert. Ist es eigentlich normal, dass Firefox bei einem geöffneten Task mit dieser Seite 116.072 K Speicher benötigt und 57.267 K neu gestartet bei leerem Browserfenster?

ComboFix meldet: Achtung!!
Die obigen Real-Time-Scanner (da steht 3x "antivirus" untereinander) sind immer noch aktiv aber ComboFix wird trotzdem mit dem Suchlauf fortfahren. Bitte nehme zur Kenntnis, das dies auf eigener Verantwortung geschieht

Was mache ich jetzt ???
OK drücken???

Hoffentlich mach ich nix kaputt ... soll ich sicherheitshalber meine Daten besser erst sichern???

Liebe Grüße

Pauline

AntiVir hat da einen kleinen Fehler, hin und wieder wird es aktiv angezeigt, obwohl der Regenschirm eigentlich geschlossen ist. Wenn das so ist, kannst Du Combofix gefahrlos ausführen.

o.k., hier sind die Infos nach dem durchlaufen lassen von ComboFix, kannst du daraus was erkennen?

Combofix Logfile:
--- --- ---

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Hier nun die Logs mit GMER:


GMER Logfile:
--- --- ---

Und hier nun der Logfile von OSAM. Ich hoffe, du kannst daraus nun eine Lösung für meine Probleme finden... nochmals ganz, ganz lieben DANK für die Mühe, die ich dir mache...

Ich kann jetzt den Virenscanner und die Firewall wieder aktivieren, richtig?

LG

Pauline



OSAM Logfile:
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Bitte mit OSAM deaktivieren und löschen (delete from storage)
Virenscanner und Windows-Firewall kannst wieder aktivieren.

Herzlichen Dank für die Anweisung:

File "flacor.dat" im Fenster von OSAM gefunden, "Turn on" / "Turn off" möglich aber "delete from storage" ist hellgrau und kann nicht ausgewählt werden....:pfui:

Wo liegt das Problem, wie kann ichs lösen???

Dann lösch es so:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei File-Upload.net hochladen und hier verlinken

Guten Morgen lieber Arne,

war drei Tage weg, bin nun wieder zurück und habe deine Anweisung ausgeführt!
Hier der LogFile von Avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\Dokumente und Einstellungen\MP\Anwendungsdaten\Adobe\Update\flacor.dat" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


und hier der Link dazu: hxxp://www.file-upload.net/download-2611462/backup.zip.html


Bei jedem Neustart kommt die Fehlermedlung: RUNDLL "Fehler beim Laden von C:\Dokumente und Einstellungen\MP\Anwendungsdaten\Adobe\Update\flacor.dat Das angegebene Modul wurde nicht gefunden."

Außerdem war beim ersten Neustart das Symbol von AntiVir in der Taskleiste nicht zu sehen, jetzt ist es wieder da...


Ganz, ganz lieben Dank für deine Hilfe. Sag mir bitte Bescheid, wenn ich die Datei auf www.file-upload.net/ wieder löschen kann.

Viele Grüße und einen schönen Sonntag

Pauline


P.S. Das Notebook meiner Tochter ist ab und zu mit meinem PC über Netzwerk verbunden (gewesen), was muss / kann ich tun um feststellen, dass dort nich auch was Böses drauf geraden ist???

Die Fehlermeldung erscheint, weil die Schädlingsdatei entfernt wurde, den zugehörigen Autostarteintrag dazu aber nicht. Kümmern wir uns später drum.
Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hier das Log von Malwarebytes:


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4218

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

20.06.2010 22:57:28
mbam-log-2010-06-20 (22-57-28).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 734645
Laufzeit: 3 Stunde(n), 53 Minute(n), 21 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\getdo (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
F:\System Volume Information\_restore{BE27EB5A-ED57-48C1-A4FB-AE5A45D73CAE}\RP772\A0482655.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
F:\System Volume Information\_restore{BE27EB5A-ED57-48C1-A4FB-AE5A45D73CAE}\RP772\A0482656.exe (Backdoor.IRCbot) -> Quarantined and deleted successfully.
F:\System Volume Information\_restore{BE27EB5A-ED57-48C1-A4FB-AE5A45D73CAE}\RP772\A0482658.exe (Trojan.Bancos) -> Quarantined and deleted successfully.

Nachstehend nun auch das Logfile von SuperAntiSpyware. Die Fehlermeldung: RUNDLL "Fehler beim Laden von C:\Dokumente und Einstellungen\MP\Anwendungsdaten\Adobe\Update\flacor.dat Das angegebene Modul wurde nicht gefunden." kommt jetzt übrigens beim Neustart nicht mehr!

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 06/21/2010 at 06:44 AM

Application Version : 4.39.1002

Core Rules Database Version : 5093
Trace Rules Database Version: 2905

Scan type : Complete Scan
Total Scan Time : 07:30:57

Memory items scanned : 501
Memory threats detected : 0
Registry items scanned : 9273
Registry threats detected : 0
File items scanned : 615756
File threats detected : 130

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\MP\Cookies\mp@ad2.clickhype[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@ad.zanox[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@track.adform[3].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@ads.glispa[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@collective-media[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@xiti[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@ads.watchmygf[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@static.ads.crakmedia[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@apmebf[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@webmasterplan[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@track.adform[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@de.sitestat[3].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@advertiser.contextmatters[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@ads.crakmedia[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@ads.medienhaus[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@content.yieldmanager[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@statcounter[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@ads.creative-serving[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@ads[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@paypal.112.2o7[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@e-2dj6wmlokmajcco.stats.esomniture[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@adxpansion[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@fpsexgals[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@mediaplex[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@ads.zeusclicks[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@ad.adnet[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@eas.apm.emediate[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@ad.adserver01[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@ad.yieldmanager[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@zanox[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@trafficholder[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@im.banner.t-online[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@atdmt[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@de.sitestat[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@adinterax[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@2o7[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@counter.live4members[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@ww251.smartadserver[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@adtech[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@bs.serving-sys[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@serving-sys[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@zanox-affiliate[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@ads.whaleads[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@rotator.adjuggler[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@tracking.mlsat02[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@tracking.quisma[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@ihg.db.advertising[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@e-2dj6wnmikjdzkkq.stats.esomniture[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@rts.pgmediaserve[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@traffictrack[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@adbrite[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@de.sitestat[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@ad.adition[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@stats.paypal[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@tradedoubler[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@doubleclick[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@www.zanox-affiliate[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@revsci[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@fastclick[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@euros4click[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@ad2.doublepimp[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@adfarm1.adition[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@www.etracker[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@advertising[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@www.active-tracking[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@smartadserver[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@unitymedia[1].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@ads.allvatar[2].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@content.yieldmanager[3].txt
C:\Dokumente und Einstellungen\MP\Cookies\mp@partypoker[1].txt
naiadsystems.com [ D:\060326PIII500\060326_C\WIN98\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\S526WG59 ]

Trojan.Agent/Gen-Krpytik
D:\060326PIII500\031211PIII500_D\EIGENE DATEIEN\_NNN_\2002_NNN_-PRäSENTATION\BILDER\_NNN_-INTERN\_NNN_BILDER_INTERN.EXE
D:\060326PIII500\031211PIII500_D\EIGENE DATEIEN\_NNN_\2002_NNN_-PRäSENTATION\BILDER\_GRUPPE 02-ALPENEXPRESS\_NNN_BILDER.EXE
D:\060326PIII500\031211PIII500_D\EIGENE DATEIEN\_NNN_\_NNN_ BEI RVS\2002GEWINNSPIEL-NEC\BIKER.EXE
D:\060326PIII500\060326_C\PROGRAMME\AGFEO\TKSOFT\CO32.DLL
D:\060326PIII500\060326_C\PROGRAMME\TELEKOM\TKSOFT\CO32.DLL
D:\060326PIII500\060326_C\WIN98\SYSTEM\C4808XA2.DLL
D:\060326PIII500\060326_C\WIN98\SYSTEM\C4811XA2.DLL
D:\060326PIII500\060326_C\WIN98\SYSTEM\C7208XC2.DLL
D:\060326PIII500\060326_C\WIN98\SYSTEM\C8811XA2.DLL
D:\060326PIII500\060326_C\WIN98\SYSTEM\C9608XC2.DLL
D:\060326PIII500\060326_C\WIN98\SYSTEM\C9611XA2.DLL
D:\060326PIII500\060326_C\WIN98\SYSTEM\D4808XA2.DLL
D:\060326PIII500\060326_C\WIN98\SYSTEM\D4811XA2.DLL
D:\060326PIII500\060326_C\WIN98\SYSTEM\D7208XC2.DLL
D:\060326PIII500\060326_C\WIN98\SYSTEM\D8811XA2.DLL
D:\060326PIII500\060326_C\WIN98\SYSTEM\D9608XC2.DLL
D:\060326PIII500\060326_C\WIN98\SYSTEM\D9611XA2.DLL
D:\060326PIII500\060326_D\EIGENE DATEIEN\_NNN_\2002_NNN_-PRäSENTATION\BILDER\_NNN_-INTERN\_NNN_BILDER_INTERN.EXE
D:\060326PIII500\060326_D\EIGENE DATEIEN\_NNN_\2002_NNN_-PRäSENTATION\BILDER\_GRUPPE 02-ALPENEXPRESS\_NNN_BILDER.EXE
D:\PROGRAMME\AGFEO\TKREM\CO32.DLL
D:\PROGRAMME\AGFEO\TKSOFT\CO32.DLL
F:\SICHERUNGEN2\PIII500\060326_D\EIGENE DATEIEN\NNN\_NNN_ BEI RVS\2002GEWINNSPIEL-NEC\BIKER.EXE

Adware.Vundo/Variant-X32[Header]
D:\060326PIII500\060326_C\PROGRAMME\AGFEO\TKSOFT\TKMOD32.DLL
D:\060326PIII500\060326_C\PROGRAMME\AKADEMISCHE ARBEITSGEMEINSCHAFT\STEUERTIPPS PC 2000\DMQV32.DLL
D:\060326PIII500\060326_C\PROGRAMME\TELEKOM\TKSOFT\TKMOD32.DLL
D:\PROGRAMME\AGFEO\TKREM\TKMOD32.DLL
D:\PROGRAMME\AGFEO\TKSOFT\TKMOD32.DLL
F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMME\PMAIL\BCARDC32.DLL
F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMME\PMAIL\BCARDR32.DLL
F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMME\PMAIL\EVE32.DLL
F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMME\PMAIL\FINGER32.DLL
F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMME\PMAIL\FORMS\BCARD.DE\BCARDC32.DLL
F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMME\PMAIL\FORMS\BCARD.DE\BCARDR32.DLL
F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMME\PMAIL\FORMS\EVE.DE\EVE32.DLL
F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMME\PMAIL\FORMS\FINGER.DE\FINGER32.DLL
F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMME\PMAIL\FORMS\MAILMRGE.DE\MLMRGE32.DLL
F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMME\PMAIL\FORMS\MULTIPOP.DE\MLTPOP32.DLL
F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMME\PMAIL\FORMS\PH.DE\PH32.DLL
F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMME\PMAIL\FORMS\TPHONE.DE\TPHONE32.DLL
F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMME\PMAIL\MLMRGE32.DLL
F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMME\PMAIL\MLTPOP32.DLL
F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMME\PMAIL\ORDER32.DLL
F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMME\PMAIL\PH32.DLL
F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMME\PMAIL\TPHONE32.DLL
F:\SICHERUNGEN2\050309NOTEBOOK-NNN-KPLT\PROGRAMME\AKADEMISCHE ARBEITSGEMEINSCHAFT\STEUERTIPPS PC 2001\DMQV32.DLL

Trojan.Unclassified-Packed/Suspicious
D:\060326PIII500\060326_C\PROGRAMME\FWIN32\FW32O2K.DLL

Adware.NetPumper
D:\060326PIII500\060326_C\PROGRAMME\NETPUMPER\NPNETPUMPER_APPLICATION.DLL

Trojan.Dropper/Gen
D:\060326PIII500\060326_C\PROGRAMME\T-ONLINE\BSW4\DRELREST.EXE
D:\060326PIII500\060326_D\ARB-DISK\KOPIE VON T-ONLINE40\PROGRAMME\T-ONLINE\BSW4\DRELREST.EXE
D:\060326PIII500\060326_D\ARB-DISK\KOPIE VON TONLINE40\PROGRAMME\T-ONLINE\BSW4\DRELREST.EXE
D:\060326PIII500\060326_D\ARB-DISK\T-ONLINE40\PROGRAMME\T-ONLINE\BSW4\DRELREST.EXE
D:\060326PIII500\060326_D\ARB-DISK\TONLINE40\PROGRAMME\T-ONLINE\BSW4\DRELREST.EXE
F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMM\T_ONLINE\DRELREST.EXE
F:\SICHERUNGEN2\ATHLON2400+\060325_F_HD200_PROGRAMME\PROGRAMME\T-ONLINE\BSW4\DRELREST.EXE

Trojan.Downloader-Gen/Loader
D:\060326PIII500\060326_C\TEMP\GTECH\ALLG\LOADER.EXE

Trojan.Agent/Gen-ImageDocFake
D:\060326PIII500\060326_D\2004-NEU\NNN.DOC
D:\080819NOTEBOOK_C2\LOSTFILE\DIR76\14365692,TID=I,WXH=600-450-I7VR23[1].JPG
F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_D\EIGENE DATEIEN\NNN\99SCHULANFäNGER.DOC

Trojan.Agent/Gen-Koobface[Bonkers]
F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\991226SICHERUNG G\PROGRAMME\ICONEDIT6\REGISTER.EXE

Also SASW hat da aber noch einiges gefunden!
Kannst Du die Dateien, die SASW anzeigt, zuordnen? zB diese hier:

D:\060326PIII500\060326_C\PROGRAMME\AGFEO\TKSOFT\TKMOD32.DLL
D:\060326PIII500\060326_C\PROGRAMME\AKADEMISCHE ARBEITSGEMEINSCHAFT\STEUERTIPPS PC 2000\DMQV32.DLL
D:\060326PIII500\060326_C\PROGRAMME\TELEKOM\TKSOFT\TKMOD32.DLL
D:\PROGRAMME\AGFEO\TKREM\TKMOD32.DLL
D:\PROGRAMME\AGFEO\TKSOFT\TKMOD32.DLL
F:\SICHERN\061031PC_NNN\HD1_PART3_SICHERUNGEN\P166\060324HD2_E\990130D-SICHERUNG\PROGRAMME\PMAIL\BCARDC32.DLL

Ja, sind teils Sicherungskopien / Backups von nem alten PC aus 2006, das Letzte mit ner Sicherung aus 1999...;-).

Von den Verzeichnissen her gehören die Dateien zur (Konfigurations-)Software der Telefonanlage, zum Progi für die Steuererklärung und nem alten Mailprogramm. Glaube nicht, dass das Schädlinge sind...

Bei den Dateien, die "Bilder" im Verzeichnisbaum haben, handelt es sich um selbstentpackende Archive mit Bildern... müssten aus 2002 sein...

Was soll ich nun als nächstes tun?

Dann entfern nur die Funde, die nicht in den Sicherungsordnern sind. Es sei denn Du brauchst garnix mehr davon, dann kann alles weg.

*brr* wenn ich was von selbstentpackenden Bilderarchiven lese, klappen sich meine Fußnägel hoch :balla:
Bilder sind eine rel. ungefährliche Sache. Es macht keinen Sinn, diese in ein generell bedenkliches Format (exe) zu gießen, v.a. weil Bilder idR schon komprimiert sind (jpg, png) und man keinen Platzvorteil dadurch hat!!

Einen wunder schönen guten Morgen lieber Arne.

Vor 10 Jahren war es ja noch nicht selbstverständlich, dass jeder Archive entpacken konnte, da war das mit selbstentpackenden schon ne feine Sache... ausführen fertig...:party: Außerdem dienen Archive ja nicht nur der Kompression sondern auch um viele kleine Dateien in einer zur verpacken und bei Modemübertragung oder auf Disketten war frau ja froh für jedes verkleinerte Byte... heute würde man das natürlich keinesfalls mehr machen :pfui:

SUPERAntiSpyware hat alle Funde in Quarantäne gepackt. Die Dateien, die ich für ungefährlich halte also wieder herstellen und den Rest Entfernen, richtig?

Dann versucht der Adobe Updater gerade den Acrobat 8 Professional auf Acrobat 8.1.4 (KB408682) zu aktualisieren und Adobe Flash Player ein Update auf 10.1 zu erstellen. Kann ich das bedenkenlos zulassen?
:confused:

Wie gehts dann weiter?

Liebe Grüße

Pauline

Naja, ausführen fertig und schwuppdiwupp kann die Kiste infiziert sein. :D
Packer waren schon immer recht verbreitet. WinZip hab ich damals als erstes benutzt (unter Windows um 1997 herum). Davor zu DOS-Zeiten schon hin und wieder das Kommandozeilentool ARJ benutzt.

Dann müssen das aber wirklich kleine Bilder gewesen sein, denn erst bei vielen vielen winzigen Dateien lohnt sich ein Zusammenfassen in eine ZIP-Containerdatei. Und Grafikkformate lassen sich üblicherweise schlecht zippen, d.h. die Platzersparnis durch das verlustfreie Komprimieren mit zip geht gegen Null. :rolleyes:

Ja, wenn das Deine Sicherungen sind? Es sei denn Du brauchst sie nicht mehr.

Ja, Updates sollte man immer regelmäßig einspielen. Hier nochmal mein Leitfaden/Standardtext dazu, Rechner ist doch wieder normal unauffällig?

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Herzlichen Dank, auch für die Tipps zu Updates. Der PC scheint deutlich schneller geworden zu sein, aber die Ursprungsfehler sind noch da :confused:

Firefox (Standardbrowser) macht Probleme, die allerdings nur unter einem der beiden Nutzer auftreten, z. B.:
- bei STRG_F öffnet sich ein Suchfenster und nicht die Fußzeile.
- Auswahl bei rechter Maustaste "Link in neuem Tab öffnen" fehlt und bei Auswahl "Link in neuem Fenster öffnen", öffnet sich ein neuer Tab.

Dann hat Word mich bei einer passwordgeschützten Datei ausgesperrt, Fehlermeldung ohne vorherige Passwordabfrage:
"Word kann das Dokument nicht öffnen: der Benutzer besitzt keine Zugriffsrecht"
Obwohl als der Benutzer angemeldet, unter dem ich die Datei erstellt und zig Mal geändert / abgespeichert habe.

Soll ich Firefox (3.6.3) einfach mal de- und dann neu installieren?

Wie komme ich wieder an meine passwordgeschützte Worddatei?


Den PDF-Reader haber ich deinstalliert und lasse ich auch ganz weg. Habe mir ja mal für teuer Geld die Adobe Master Collection CS3 zugelegt und Acrobat 8 Professional ist ja jetzt wieder aktuell (8.1.5). Der Adobe Updater sorgt ja schon dafür, dass immer alles aktuell ist, richtig?

Alle Java-Updates habe ich ebenfalls deinstalliert und lade die neueste Version dann runter. Flashplayer ist ebenfalls aktuell.

Dann habe ich überall die Passwords geändert, sicher ist sicher, richtig?

Ganz, ganz lieben Dank wenn du mir noch dabei helfen könntest, das Wordproblem zu lösen

Wie schon mal geschrieben, ist das Notebook meiner Tochter ab und zu mit meinem PC über Netzwerk verbunden (gewesen), was muss / kann ich tun um feststellen, dass dort nicht auch was Böses drauf geraden ist??? Oder brauch ich mir hier keine Gedanken zu machen?

Liebe Grüße

Pauline

Hilft meist nicht. Besser ist ein test im abegsicherten Modus oder notfalls ein neues Profil.

Word kann das Dokument nicht öffnen: der Benutzer besitzt kein Zugriffsrecht

Test im Abgesicherten Modus ist negativ verlaufen, zwar ist trotz starten mit Netzwerktreibern kein Internet verfügbar aber aber bei dem Angezeigten Hyperlink fehlt "Link in neuem Tab öffnen" und bei Auswahl "Link in neuem Fenster öffnen", öffnet sich ein neuer Tab.

Auch die Worddatei lässt sich im abgesicherten Modus nicht öffenen weder mit dem Benutzer, mit dem ich die Datei erstellt habe noch mit dem von WIN bei der Installtion angelegten "Administrator". Die Datei hat unter Verschlüsselungsdetails folgenden Eintrag "Benutzer, die unerkannt auf die Datei zugreifen können einen Eintrag:
Benutzername MP(MP@sempron3400) mit nem ellenlangen Zertifikatfingerabdruck...

Ich meinte auch den Safe-Mode von Firefox, nicht von Windows. => Abgesicherter Modus - FirefoxWiki

Kannst Du die Worddatei zB auf einem USB-Stick kopieren, klappt das?

Danke mit dem Tipp zu Safe-Mode von Firefox. Habe die Einstellungen alle zurück gesetzt und alles ist wie vorher :taenzer: :dankeschoen:

Allerdings siehts bei der Worddatei nicht so gut aus :mad:

Ich kann die Datei weder kopieren, verschieben per E-Mail versenden oder archivieren, packen usw... :mad:

Hast du evtl. dazu noch ne Idee??? Zumindestens erstmal eine Kopie erstellen, damit ich an den Sicherheitseinstellungen (nur im abgesicherten Modus vorhanden) unter Eigenschaften mal spielen kann...

Probiers über eine Live-CD wie Knoppix => http://www.trojaner-board.de/75619-a...x-live-cd.html
Kopier es dann auf einen USB-Stick oder so.

Hallo cosinus,

habe die letzten Tage gem. der Anleitungen mit der Knoppix LIVE-CD ALLES probiert...leider erfolglos. Die Worddatei wird zwar kopiert, allerdings auf dem Zieldatenträger ohne Inhalt, mit 0 KB abgespeichert.

Öffnen der Originaldatei mit den Hilfmitteln der Knoppix LIVE-CD leider auch nicht möglich...;-(

Es ist zum Haare ausreißen... ich brauche die Infos, die in der Datei stehen unbedingt, hast du evtl. noch einen Tipp oder eine Idee???

Ganz, ganz lieben Dank

Pauline

Dann ist die Datei kaputt.
Unter Knoppix kann nichts die Datei blockieren, wie das im installierten Windows der Fall wäre. Lassen sich denn andere Dateien unter Knoppix auf den Stick kopieren und dann öffnen?