HEUR/HTML.Malware und andere Problemchen ...
 

Hallo zusammen,

habe mir gestern Abend einen neuen Rechner gekauft .. und heute morgen, nachdem ich ihn eingeschalten habe, bekam ich gleich eine nette Meldung von AntiVir:

http://www.abload.de/thumb/antivirjddm.png

Hab natürlich alles gleich in die Quarantäne verschoben und gegoogelt, aber muss gestehen, dass überall nur steht ich solle mein Cache löschen - hab ich mehrmals getan, auch den Tempordner geleert aber die Meldungen häufen sich.

Mein Hijackthis Log zeigt aber noch ein anderes Problem:

MC Afee ist übrigens nicht aktiv, hab da nur ne 60 Tage Probeversion am PC, die ich aber noch nicht aktiviert habe, dh. irgendwelche Interferenzen mit AntiVir sollte es eigentlich nicht geben



Hijackthis zeigt jetzt also folgende schädliche Einträge:

O2 - BHO: Partner BHO Class - {83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4} - C:\ProgramData\Partner\Partner.dll

O23 - Service: Partner Service - Google Inc. - C:\ProgramData\Partner\Partner.exe


Fixe ich diese Einträge, erhalte ich nachdem Neustart des Rechners und von Hiackthis aber die Meldung, dass ich keine Einträge mehr fixen kann, weil genau diese Partner.dll Datei fehlt ... was tun? :aufsmaul:


Habe den Rechner noch nicht einmal einen Tag und die einzigen Seiten die ich mit dem IE besucht hatte waren die von Mozilla, um mir FireFox und Thunderbird zu ziehen und zuvor die Seite von AntiVir ... wie kommt also so ein Müll in mein Cache, der sich nicht mehr löschen lässt?



Vielen Dank schon Mal im Vorhinein :)


lg

update:
den HEUR/HTML.Malware bin ich los, aber den Partner.dll/Partner.exe Abschaum leider nicht :killpc:

hoffe jemand weiß Rat.

Diesen HTML Quatsch den Antivir manchmal ausgibt ist meistens falscher Alarm. Da hat mal iiiiirgendwann, iiirrrgendwer ne Javascript Funktion in nem Virus verwendet und nun schlägt Antivir schon Alarm, wenn er irgendwo auch nur diese Funtkion riecht! Also mach Dir da mal keine Platte.

Auf jeden Fall gilt. Benutze Windows mit dem aktuellen Service Pack und allen Sicherheitsupdates um online zu gehen. Gehe NIEMALS mit einem nackten Windows online!

Was die Partner.exe angeht. Das scheint tatsächlich ein Virus zu sein. Weg kriegen solltest Du den so:

Starte Windoof im Abgesicherten Modus (F8 während des Bootens drücken, am besten mehrmals, bis Du so ein Auswahlmenü bekommst, wo dann "Windows im Abgesicherten Modus starten" steht)

Im Abgesicherten Modus gehst Du auf Start->Ausführen und gibst regedit ein. Folgende Einträge suchen und löschen:

HKEY_CLASSES_ROOT\TypeLib\{86676e13-d6d8-4652-9fcf-f2047f1fb000}
HKEY_CLASSES_ROOT\CLSID\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\partner service
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\partner service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\partner service

Danach löschst Du am besten gleich den ganzen Ordner unter:
C:\ProgramData\Partner\
Also den Ordner "Partner" löschen. Nicht ProgramData löschen, außer es ist da nix anderes drin, dann kannst Du auch ProgramData löschen!

Danach startest Du den Rechner abermals im Abgesicherten Modus neu.

Geh dann unter Start->Ausführen und gib msconfig ein

Schau dort mal unter Systemstart, ob da noch irgendwas mit Partner.exe oder Partner.dll oder Partner irgendwas drin steht...Rein theoretisch dürfte nix mehr drin stehen. Wenn da doch nochwas drin steht, check mal ob der gelöschte Ordner wieder da ist. Wenn ja, dann ist da noch irgendein Prozess, der den Müll wieder herstellt. Dann müssen wir nochmal gucken...

Mach erstmal was ich oben schrieb!

hallo und danke für deine Antwort :)

Habe gemacht was du gesagt hast, konnte aber keinen einzigen der fünf genannten Registryeinträge finden, die gibt es bei mir alle nicht.

Gibt es für Win 7 überhaupt schon ein Serive Pack? Hatte bisher immer XP und Ubuntu verwendet, daher kenn ich mich mit dem neuen Windoof noch null aus ^^;
Allerdings wundert es mich wirklich, dass ich mir beim Download meines Antivirenprogramms gleich einen unerwünschten Besucher eingefangen habe .... vorinstalliert wird das Programm ja sicher nicht gewesen sein, oder? Zumindest stimmt das Erstellungsdatum des Ordners auch nicht mit den anderen überein, die schon auf der Festplatte waren ..

Was wäre die nächste Möglichkeit?

Erneutes Update:
Hijackthis findet die besagten Dateien zwar bei der Auswertung, allerdings scheinen sie bei den Dingen die ich Fixen kann nicht mehr auf :killpc:

Jetzt bin ich völlig ratlos =/

Was den unerwünschten Besucher angeht: Ich hatte vor ein paar Tagen auch einen netten "Gast" und der war so freundlich mich gleich ohne mein Zutun, beim Besuch einer Seite mit Infos über RSS Feeds zu überfallen, ohne das ich irgendetwas gemacht habe. Ich hatte SP3 und jedes Sicherheitsupdate drauf und trotzdem infizierte ich mich ohne zutun. Ob Du Dir also das Programm tatsächlich beim Downloaden eines Antiviren Programms eingefangen hast, oder ob vielleicht die Webseite gehackt wurde etc., weiß man nicht wirklich!

Was die Meldung von HiJackThis angeht, bezieht sich das Programm oft auf Registrierungsschlüssel für den Systemstart. Auf die Weise kann das Tool feststellen was beim Systemstart geladen wird! Das "entfernen" von bösartiger Software hat bei mir mit HiJackThis nie funktioniert, schon alleine weil sich viele Viren absichern. Löscht man eine Datei des Virus, stellt sie ein anderer Prozess wieder her, außerdem kann man laufende Prozesse ohnehin nicht ohne weiteres löschen. Deshalb der Abgesicherte Modus!

Schau mal ob sich besagte Dateien noch auf Deiner Platte befinden!

Ansonsten starte nochmals im Abgesicherten Modus, starte Regedit und markiere im Regedit den Arbeitsplatz in der linken Spalte ganz oben an. Danach geh auf "Suchen" und suche nach der partner.exe. Lösche alle einträge im Zusammenhang mit partner.exe. Danach das selbe Spiel mit der partner.dll!

Ein Service Pack für Win 7 existiert noch nicht. Soll wohl erst im Sommer 2010 kommen!

Das schlimme an diesen Microdoof Programmen ist einerseits die Registry und die unzureichende Rechteadministration (wie beispielsweise bei Linux).

Auch wenn das jetzt übel klingt. Bei Trojanerbefall würde ich dazu tendieren das System neu aufzusetzen, da man nie weiß was dieses Teil so alles mit installiert hat! In meinem Falle war die Infektion schon ziemlich Hardcore. Der Trojaner hat mir gleich noch Treiber und Systemdienste installiert, die man nicht im Task Manager sieht usw. Ich hab den Rechner neu aufgesetzt und gehe jetzt blos noch mit einem eingeschränkten Benutzerkonto online. Somit fängt man sich zumindestens diese sich automatisch installierenden Trojaner nicht ein. Desweiteren habe ich hier "Security Task Manager" und das integrierte Programm "Spy Protector" laufen, was verhindert, dass sich Prozesse ohne mein Wissen in den Autostart schreiben. Ich weiß aber nicht ob das unter Win 7 funtkioniert.

Also wie gesagt - Schau mal ob die Dateien, die Du löschen solltest wirklich weg sind (versichere Dich, dass Du alle versteckten Dateien einblendest) und kill dann im abgesicherten Modus in der Registry einfach alle Einträge zu partner.dll und partner.exe in der Registry!

dankeschön, das beruhigt mich .. denn die meisten Leute sind ja der festen Meinung, dass man bei Trojaner/Viren/Malware-Befall immer selbst dran schuld sei =/

Was ich jetzt noch rausgefunden hab ist, dass Acer (von denen ist mein neuer Rechner) dieses partner.exe Zeug oft mitinstalliert, als Teil von irgendner Google Software .. es war ja wirklich ne Menge vorinstallierter Müll am PC den ich erst löschen musste, aber bei dem Partner-Programm handelt es sich angeblich wirklich um etwas von Google, das allerdings versteckte Informationen sendet.

Ich bin im Vorhinein halt schon so vorgegangen, dass ich wie gesagt alles vorinstallierte gelöscht habe - dabei auch alles von Google und seitdem sind die Dateien auch nicht mehr auf meinem Rechner (zumindest nicht unter dem üblichen Pfad). Also hab ich wohl nur noch irgendwelche Registryrückstände sitzen, die Hijackthis erkennt, wie du bereits gesagt hast.

Ich werd jetzt mal die Registry nach partner.exe und partner.dll durchforsten und melde mich dann gleich nochmal, vielen Dank :)

Edit: nichts gefunden ..


Edit #2:
Hab's wohl doch geschafft das Zeug loszuwerden :D


hab in der registry noch alles gelöscht, was mit vorinstallierten Inhalten von Google zusammenhing, CCleaner drüberlaufen lassen und nun scheint es als wäre ich die ungewünschten Plagegeister losgeworden.

Soll ich sicherheitshalber noch irgendetwas machen?

O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files (x86)\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
hab ich noch gefixt

Hmm ja diese Partner Sch... wird bei Acer Notebooks wohl mitinstalliert. Also wirklich nen Trojaner scheinst Du wohl nicht gehabt zu haben. Ich würde Dir mal den Security Task Manager empfehlen, der hat so nen "Spy Protector" mit drin, der Dich unter anderem warnt, wenn sich Programme in den Autostart schieben wollen. Wenn sowas ganz plötzlich passiert, wäre ich da immer skepisch! Auf jeden Fall schiebt sich ja jeder sch.... in den Autostart. Quicktime, Acrobat Reader usw. Braucht kein Mensch! Und um langfristig mit dem System "sicher" arbeiten zu können, immer in einem Benutzerkonto surfen!

Also laut Deiner HiJackThis log scheint alles ok zu sein!