Virenfunde mit Bitdefender Internet Security 2013, u.a. Wsusscn2.cab (bereinigt, Computer angeblich virenfrei)
 

Hallo Trojaner-Board-Team,

ich bin mir nicht sicher, ob und wie ich hohes Vertrauen in meiner Rechner zurückgewinnen kann und bitte um Hilfe.

Ich nutze u.a. seit drei Wochen Bitdefender Internet Security 2013 (lässt sich bekanntlich nicht temporär deaktivieren), Tune Up Utilities 2011 und den CCleaner (Registrierung wurde also vielfach analysiert und Einträge automatisch von diesen Programmen bearbeitet bzw. gelöscht; habe gelesen, dass das von euch nicht empfohlen wird).
Frühere Virenschutzprogramme habe ich inzwischen deinstalliert (Kaspersky, MS Security Essentials)

Mein Rechner aus 2009-10 verhält sich, v.a. nach dem Hochfahren, zunächst sehr träge. Nach ca. 5-10 Minuten ist die Performance ok.

Nach wenigen Virenfunden (< 10) durch den o.g. BD 2013 vor drei Wochen blieben nach den Scans (nur) noch rd. 240 nicht gescannte passwortgeschützte Dateien (--> v.a. aus alten Virenschutzprogrammen wie Spybot) und Volume-Information-Dateien, die nicht gefunden werden konnten. Die geschützten Dateien habe ich nun entweder gelöscht bzw. die alten Wiederherstellungspunkte gelöscht.

Zuletzt war da noch die Datei "wsusscn2.cab", die aufgrund der starken Komprimierung nicht gescannt werden konnte:

File: C:\Users\Admin\AppData\Local\Microsoft\MBSA\2.1.1\Cache\wsusscn2.cab=>package22.cab=>c\4805470 Overcompressed Not scanned (file was overcompressed)

Zwei Mal gab es hierzu allerdings auch folgenden Warnhinweis:
"Die Datei C:\Users\Admin\AppData\Local\Microsoft\MBSA\2.1.1\Cache\wsusscn2.cab wurde als infiziert erkannt. Bitdefender hat das Objekt desinfiziert. Ihr Computer ist Virenfrei. Virusname: " ###(--> kein Name angegeben, ob das ein Fehlalarm ist, kann ich nicht sagen; nach meiner online-Recherche scheint dies möglich)

Die Datei stammt vermutlich aus dem MS Baseline Security Analyzer. Der letzte inhaltliche Zugriff auf die Dateien in dem Cache-Ordner war angeblich am 03.03.2012 (angeblich deshalb, weil am 12. und 29. April jeweils der obige Warnhinweis kam). Ich habe die Cabinet-Datei dann mal auf einem USB-Stick entpackt und dort neu mit BD 2013 gescannt. Kein Alarm. Ich traue mich aber nicht, den ganzen Pfad "MBSA\2.1.1\Cache" zu löschen (und weiß auch nicht, ob so etwas Sinn macht). Ich "Update" meinen Rechner nur an sich online.
Auch möchte ich die Datei nicht einfach vom Scan ausschließen.

Adobe-Programme habe ich momentan alle deinstalliert. Die möchte ich auch zur Sicherheit neu aufsetzen.

Ist der Aufwand, ein System aus der recovery-Partition neu aufzusetzen geringer und/oder v.a. auch sicherer, als einen aufwändigen Bereinigungsprozess durchzuführen?


Was kann/soll ich nun aus Sicht der Profis tun? :glaskugel:
Ich bin nur Anwender und wahrlich kein PC-Profi. Deswegen kann ich auch nicht sagen, welche Dienste etwa unnötig bei mir laufen.

Vielen Dank im Voraus!
PanTau

Hallo und :hallo:

Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner, sind die jemals fündig geworden?
Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs posten!

Hallo Cosinus,

danke für deine Nachricht und - im Voraus - für deine Hilfe!

Nein, weitere Scans mit ESET, Malewarebytes und Co. habe ich noch nicht durchgeführt. Bitdefender erstellt zwar ein Ergebnisprotokoll, aber kein LOG-File, wie ich es hier im Forum sehe.

BitDefender Log File


Product : Bitdefender Internet Security 2013
Scanning task : System-Scan
Log date : Montag, 29. April 2013 00:25:29
Log path : C:\ProgramData\Bitdefender\Desktop\Profiles\Logs\dcf483c4-26d0-4e6f-ba28-6a53a00adae1\1367158135_1_01.xml

Scan Paths:
Path : C:\
Path : D:\
Path : E:\

[-]Scan Results
[-]Objects that were not scanned:Object Path Reason Final Status
File: C:\Users\Admin\AppData\Local\Microsoft\MBSA\2.1.1\Cache\wsusscn2.cab=>package22.cab=>c\4805470 Overcompressed Not scanned (file was overcompressed)

[-]Detailed Scan Summary
[-]Basic
Scanned items : 3170345
Infected items : 0 (no infected items have been detected)
Suspicious items : 0 (no suspected items have been detected)
Resolved items : 0 (no threats have been detected during this scan)
Unresolved items : 0 (no issues remained unresolved)

[-]Advanced
Scan time : 08: 16: 35
Files per second : 106
Skipped items : 69785
Password-protected items : 0
Overcompressed items : 1
Scanned archives : 489
Input-output errors : 0
Scanned boot sectors : 31
Scanned processes : 2804
Infected processes : 0
Scanned registry keys : 6190
Infected registry keys : 0
Scanned cookies : 2
Infected cookies : 0

[-]Scan Options
[-]Target Threat Types:
Scan for viruses : Yes
Scan for adware : Yes
Scan for spyware : Yes
Scan for applications : Yes
Scan for dialers : Yes
Scan for rootkits : Yes
Scan for keyloggers : Yes

[-]Target Selection Options:
Scan registry keys : Yes
Scan cookies : Yes
Scan boot sectors : Yes
Scan memory processes : Yes
Scan archives : Yes
Scan runtime packers : Yes
Scan emails : Yes
Scan all files : Yes
Heuristic Scan : Yes
Scanned extensions : none configured
Excluded extensions : none configured

[-]Target Processing:
Default primary action for infected objects : Disinfect
Default secondary action for infected objects : Move to Quarantine
Default primary action for suspicious objects : Move to Quarantine
Default secondary action for suspicious objects : None
Default action for hidden objects : Disinfect
Default action for password-protected objects : Log as not scanned

[-]Scan engines summary
Number of virus signatures : 9692686

Die obige Datei (wsusscn2.cab) verursachte aber am 06.05. wieder den bereits unten zitierten Warnhinweis:
"Die Datei C:\Users\Admin\AppData\Local\Microsoft\MBSA\2.1.1\Cache\wsusscn2.cab wurde als infiziert erkannt. Bitdefender hat das Objekt desinfiziert. Ihr Computer ist Virenfrei. Virusname: " ###(--> kein Name angegeben, ob das ein Fehlalarm ist, kann ich nicht sagen; nach meiner online-Recherche scheint dies möglich)

Weiter habe ich separat die recovery-Partition mit BD gescannt, mit folgendem Ergebnis:
BitDefender Log File


Product : Bitdefender Internet Security 2013
Scanning task : Kontext-Scan
Log date : Samstag, 4. Mai 2013 12:59:00
Log path : C:\Users\Admin\AppData\Roaming\Bitdefender\Desktop\Profiles\Logs\2ab858ed-450b-4bb6-b67c-8e3c45ec13ac\1367665008_1_01.xml

Scan Paths:
Path : E:\

[-]Detailed Scan Summary
[-]Basic
Scanned items : 47087
Infected items : 0 (no infected items have been detected)
Suspicious items : 0 (no suspected items have been detected)
Resolved items : 0 (no threats have been detected during this scan)
Unresolved items : 0 (no issues remained unresolved)

[-]Advanced
Scan time : 00: 02: 11
Files per second : 359
Skipped items : 5
Password-protected items : 0
Overcompressed items : 0
Scanned archives : 2
Input-output errors : 0
Scanned boot sectors : 0
Scanned processes : 0
Infected processes : 0
Scanned registry keys : 0
Infected registry keys : 0
Scanned cookies : 0
Infected cookies : 0

[-]Scan Options
[-]Target Threat Types:
Scan for viruses : Yes
Scan for adware : Yes
Scan for spyware : Yes
Scan for applications : Yes
Scan for dialers : Yes
Scan for rootkits : No
Scan for keyloggers : Yes

[-]Target Selection Options:
Scan registry keys : No
Scan cookies : No
Scan boot sectors : No
Scan memory processes : No
Scan archives : Yes
Scan runtime packers : Yes
Scan emails : Yes
Scan all files : Yes
Heuristic Scan : Yes
Scanned extensions : none configured
Excluded extensions : none configured

[-]Target Processing:
Default primary action for infected objects : None
Default secondary action for infected objects : None
Default primary action for suspicious objects : None
Default secondary action for suspicious objects : None
Default action for hidden objects : None
Default action for password-protected objects : Prompt for password

[-]Scan engines summary
Number of virus signatures : 9674696

Insofern frage ich mich auch, ob das Neu-Aufsetzen eines Rechners von der recovery-Partition überhaupt Sinn macht?

Gruß

PanTau

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.
  
  
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
  
  
• Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!
  
  
• Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!
  
  
• Die Logs der aufgegebenen Tools wie zB Malwarebytes sind immer zu posten - egal ob ein Fund dabei war oder nicht!
  
  
• Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.


Erstmal eine Kontrolle mit OTL bitte:

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in CODE-Tags in den Thread.