Aktivwerdung von Plagegeist verhindert?
 

Einen schönen guten Abend allerseits! :-)

Mir ist vorhin folgendes passiert: Beim Chat in Facebook tauchte plötzlich folgender Link auf: h**p://w*w.faceb**k.tiitacs.com/facebook_image.php?image=IMG002508902010.JPG
Normalerweise bin ich in solchen Fällen etwas skeptisch. Da sich der Chat aber um das Auto eines Freundes drehte, dachte ich, mein Freund wolle mir ein Foto des Autos senden. Also nahm ich die Datei in gutem Glauben an. Der Firefox-Download-Manager speicherte die Datei in C:/Downloads. Dort fand ich die Datei mit Namen IMG002508902010.JPG.scr vor, was mich ein wenig stutzig machte. Ich änderte den Dateinamen in IMG002508902010.JPG und öffnete die Datei über das Kontextmenü mittels "Vorschau" (=Windows Bild- und Faxanzeige). Es erschien die Meldung "Keine Vorschau verfügbar". Ich löschte die Datei.
Mittlerweile habe ich herausgefunden, dass es sich dabei um Schadsoftware handelt.

Meine Frage ist nun: Habe ich durch meine Verfahrensweise verhindert, dass der Plagegeist aktiv geworden ist? Bisher habe ich keine Veränderung an meinem System bemerkt. Luke Filewalker hat mir ebenso keine negative Meldung gebracht.

Ich hoffe und bitte, dass diese vermeintlich einfache Frage beantwortet wird, auch ohne dass ich mir die für dieses Forum eigentlich erforderliche Software herunterlade und installiere... :-)

Viele Grüße und danke schon im Voraus,
Michael :dankeschoen:

HijackThis Logfileauswertung
downloade hijackthis, klicke scan and safe log und poste das hier.

Hallo Markus,
danke für deine Antwort.
Hier die Logfile, die mir HijackThis geliefert hat:

HiJackthis Logfile:
--- --- ---

avira
http://www.trojaner-board.de/54192-a...tellungen.html
avira 10 so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm.
klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten.

Okay. Habe jetzt AntiVir im abgesicherten Modus deinstalliert, neu installiert, ein Update der Virendefinitionsdatei gemacht und AntiVir laut Beschreibung konfiguriert.
Im Anschluss habe ich über "Lokaler Schutz" --> "Lokale Laufwerke" --> "Suchlauf starten" eine Überprüfung durchgeführt, die folgendes Ergebnis geliefert hat:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 27. September 2010 15:43

Es wird nach 2880372 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : m***i
Computername : K***03

Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 2010/04/19 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 2010/04/01 11:37:35
AVSCAN.DLL : 10.0.3.0 56168 Bytes 2010/03/30 10:42:16
LUKE.DLL : 10.0.2.3 104296 Bytes 2010/03/07 17:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 2010/01/14 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 2009/11/06 08:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 2009/11/19 18:27:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 2010/01/20 16:37:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 2010/01/26 15:37:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 2010/03/05 10:29:03
VBASE005.VDF : 7.10.6.82 2494464 Bytes 2010/04/15 13:40:26
VBASE006.VDF : 7.10.7.218 2294784 Bytes 2010/06/02 13:40:28
VBASE007.VDF : 7.10.9.165 4840960 Bytes 2010/07/23 13:40:31
VBASE008.VDF : 7.10.11.133 3454464 Bytes 2010/09/13 13:40:33
VBASE009.VDF : 7.10.11.134 2048 Bytes 2010/09/13 13:40:33
VBASE010.VDF : 7.10.11.135 2048 Bytes 2010/09/13 13:40:33
VBASE011.VDF : 7.10.11.136 2048 Bytes 2010/09/13 13:40:33
VBASE012.VDF : 7.10.11.137 2048 Bytes 2010/09/13 13:40:33
VBASE013.VDF : 7.10.11.165 172032 Bytes 2010/09/15 13:40:33
VBASE014.VDF : 7.10.11.202 144384 Bytes 2010/09/18 13:40:34
VBASE015.VDF : 7.10.11.231 129024 Bytes 2010/09/21 13:40:34
VBASE016.VDF : 7.10.12.4 126464 Bytes 2010/09/23 13:40:34
VBASE017.VDF : 7.10.12.38 146944 Bytes 2010/09/27 13:40:34
VBASE018.VDF : 7.10.12.39 2048 Bytes 2010/09/27 13:40:34
VBASE019.VDF : 7.10.12.40 2048 Bytes 2010/09/27 13:40:34
VBASE020.VDF : 7.10.12.41 2048 Bytes 2010/09/27 13:40:34
VBASE021.VDF : 7.10.12.42 2048 Bytes 2010/09/27 13:40:34
VBASE022.VDF : 7.10.12.43 2048 Bytes 2010/09/27 13:40:34
VBASE023.VDF : 7.10.12.44 2048 Bytes 2010/09/27 13:40:34
VBASE024.VDF : 7.10.12.45 2048 Bytes 2010/09/27 13:40:34
VBASE025.VDF : 7.10.12.46 2048 Bytes 2010/09/27 13:40:34
VBASE026.VDF : 7.10.12.47 2048 Bytes 2010/09/27 13:40:34
VBASE027.VDF : 7.10.12.48 2048 Bytes 2010/09/27 13:40:34
VBASE028.VDF : 7.10.12.49 2048 Bytes 2010/09/27 13:40:34
VBASE029.VDF : 7.10.12.50 2048 Bytes 2010/09/27 13:40:34
VBASE030.VDF : 7.10.12.51 2048 Bytes 2010/09/27 13:40:35
VBASE031.VDF : 7.10.12.52 2048 Bytes 2010/09/27 13:40:35
Engineversion : 8.2.4.66
AEVDF.DLL : 8.1.2.1 106868 Bytes 2010/09/27 13:40:38
AESCRIPT.DLL : 8.1.3.45 1368443 Bytes 2010/09/27 13:40:37
AESCN.DLL : 8.1.6.1 127347 Bytes 2010/09/27 13:40:37
AESBX.DLL : 8.1.3.1 254324 Bytes 2010/09/27 13:40:38
AERDL.DLL : 8.1.9.2 635252 Bytes 2010/09/27 13:40:37
AEPACK.DLL : 8.2.3.7 471413 Bytes 2010/09/27 13:40:37
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 2010/09/27 13:40:37
AEHEUR.DLL : 8.1.2.27 2933110 Bytes 2010/09/27 13:40:36
AEHELP.DLL : 8.1.13.4 242038 Bytes 2010/09/27 13:40:35
AEGEN.DLL : 8.1.3.22 401780 Bytes 2010/09/27 13:40:35
AEEMU.DLL : 8.1.2.0 393588 Bytes 2010/09/27 13:40:35
AECORE.DLL : 8.1.17.0 196982 Bytes 2010/09/27 13:40:35
AEBB.DLL : 8.1.1.0 53618 Bytes 2010/09/27 13:40:35
AVWINLL.DLL : 10.0.0.0 19304 Bytes 2010/01/14 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 2010/01/14 10:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 2010/02/18 15:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 2010/04/01 11:35:44
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 2010/04/01 11:39:49
AVARKT.DLL : 10.0.0.14 227176 Bytes 2010/04/01 11:22:11
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 2010/01/26 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 2010/01/28 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 2010/03/16 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 2010/02/19 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 2010/01/28 12:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 2010/04/09 13:14:28

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\alldrives.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, N:, E:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 10
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +PCK,+PFS,+SPR,

Beginn des Suchlaufs: Montag, 27. September 2010 15:43

Der Suchlauf nach versteckten Objekten wird begonnen.
c:\programme\gemeinsame dateien\microsoft shared\works shared\wkscal.exe
c:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WksCal.exe
[HINWEIS] Der Prozess ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'conime.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Apntex.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HidFind.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PhonerLite.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wkcalrem.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Apoint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'quickset.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiptaxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLTRAY.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WTGService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NICCONFIGSVC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvpnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'brss01a.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'brsvc01a.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'bcmwltry.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLTRYSVC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'N:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '407' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\m***i\Anwendungsdaten\Thunderbird\Profiles\qh0lt0ev.default\Mail\pop3.arcor-1.de\Inbox
[0] Archivtyp: Netscape/Mozilla Mailbox
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> Mailbox_[Subject: Aktivieren Sie Ihr paypal Konto][From: Pay Pal <acctt@acpp.ws>][Message-ID: <20100519174152.B961FD4ED2@astonshell.com>]302.mim
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> file0.html
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
[WARNUNG] Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht.
C:\Dokumente und Einstellungen\m***i\Anwendungsdaten\Thunderbird\Profiles\qh0lt0ev.default\Mail\pop3.arcor-1.de\Trash
[0] Archivtyp: Netscape/Mozilla Mailbox
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> Mailbox_[Subject: Aktivieren Sie Ihr paypal Konto][From: Pay Pal <acctt@acpp.ws>][Message-ID: <20100519174152.B961FD4ED2@astonshell.com>]242.mim
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> file0.html
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
[WARNUNG] Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht.
Beginne mit der Suche in 'N:\' <N>
Beginne mit der Suche in 'E:\'
Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\m***i\Anwendungsdaten\Thunderbird\Profiles\qh0lt0ev.default\Mail\pop3.arcor-1.de\Trash
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49e2107c.qua erstellt ( QUARANTÄNE )
C:\Dokumente und Einstellungen\m***i\Anwendungsdaten\Thunderbird\Profiles\qh0lt0ev.default\Mail\pop3.arcor-1.de\Inbox
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 51763fd2.qua erstellt ( QUARANTÄNE )


Ende des Suchlaufs: Montag, 27. September 2010 17:12
Benötigte Zeit: 1:17:45 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

7559 Verzeichnisse wurden überprüft
415902 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
415898 Dateien ohne Befall
18038 Archive wurden durchsucht
2 Warnungen
2 Hinweise
50976 Objekte wurden beim Rootkitscan durchsucht
1 Versteckte Objekte wurden gefunden

öffne thunderbird, lösche alle unnötigen mails auch aus den spam ordnern, wähle dann ordner komprimieren
Ordner komprimieren ? Thunderbird Mail DE
download den atf cleaner:
ATF-Cleaner.exe - www.atribune.org
öffnen, hake alles an, auch unter dem tap firefox, klicke empty selected, nachfrage bestätigen.
rechtsklick arbeitsplatz, eigenschaften, systemwiederherstellung, deaktivieren, übernehmen/ok
dann 5 min warten, wieder einschalten. führe erneut einen avira scan aus. log posten.

Die unnötigen Mails in Thunderbird habe ich gelöscht und daraufhin alle Ordner komprimiert.

Den ATF-Cleaner hab ich ebenso benutzt.

Was ich jetzt aber irgendwie nicht machen möchte, ist, die Systemwiederherstellung zu deaktivieren. Muss das sein? Kann ich nicht auch so einen Avira-Scan durchführen?? :wtf:

deine trojaner datei befindet sich evtl. da drinn, also je nach dem wohin du sie geladen hast. außerdem wird doch nach dem einschalten ein neuer punkt erstellt, dass reicht doch, falls du zurück setzen müsstest.

Hm...

Seit ich den ATF-Cleaner benutzt habe, kann ich plötzlich weder auf meine Facebook-Nachrichten zugreifen, noch öffnet sich FarmVille...

du musst dich neu einloggen

Ich hab jetzt ganz neu gestartet.
Firefox liefert mir bei immer noch ein leeres Fenster, wenn ich auf "Nachrichten" klicke. Auch bei FarmVille tut sich weiterhin nix.
Jetzt hab ich den IE8 wieder rausgeholt und mit dem klappt's. Nur lustigerweise musste ich mich dort ja einloggen - mit Benutzernamen (E-Mail-Adresse) und Passwort --- UND: Es wurden mir drei mögliche E-Mail-Adressen vorgeschlagen (von dieser Auto-Insert-Funktion, oder wie das heißt) - dabei dachte ich, der ATF-Cleaner hätte alle Temporären Dateien, Cookies, etc. gelöscht...

nutzt du noscript oder ähnliches? welche firefox version nutzt du?

Firefox 3.6.10

Noscript? Nicht dass ich wüsste...

das ist aber merkwürdig ich hab noch nie von so nem problem nach atf cleaner gehört, versuchs noch mal mit dem einloggen, ist da ne komplett leere seite. gibts evtl. ne fehlermeldung, sollte man im firefox fenster sehen

Hab mich ausgeloggt und wieder eingeloggt.

Keine Fehlermeldung, keine komplett leere Seite. Links das übliche Menü, oben der vertraute blaue Rand...