Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Crypt/XPACK.Gen2 entfernt nach load.exe-Anleitung. - Jetzt sicher? (https://www.trojaner-board.de/91427-tr-crypt-xpack-gen2-entfernt-load-exe-anleitung-sicher.html)

JakobF 03.10.2010 17:56
TR/Crypt/XPACK.Gen2 entfernt nach load.exe-Anleitung. - Jetzt sicher?
 
Hallo zusammen,

ich hatte Trojanermeldungen von Antivir bzgl des Trojaners TR/Crypt/XPACK.Gen2.
Diese Meldungen bekam ich bei Neustart des Rechners (Windows 7) 5 mal hintereinander bzgl. 6 verschiedener Dateien. (tauchten später entsprechend beim Anti-Malware Scan auf->siehe log)

Ich hab ähnliche Probleme hier im Forum gefunden und hab die vorgeschlagenen Lösungen angeschaut.

Ich habe dann nach der Anleitung zur load.exe (larusso) alle Schritte durchgearbeitet (die logs hängen unten dran).
1. TFC.exe
2. ERUNT Sicherung
3. Anti-Malware
4. defogger.exe
5. Gmer.exe
6. OTL.exe

Ich möchte jetzt nur sicher gehen, das wirklich alles entfernt ist. Könnt ihr mir helfen?
Ich habe durchaus wichtige Daten und viele Programme auf dem Rechner und mache auch online Banking und will unbedingt ein neu aufsetzen des ganzen Rechners vermeiden.

Wenn ich irgendetwas vergessen habe, dann sagt Bescheid, ich versuche das dann nachzubessern.

Beste Grüße
Jakob

EDIT: Die log-Dateien waren zu groß, ich musste editieren und alles als zip anfügen.

cosinus 04.10.2010 09:33
Zitat:
Art des Suchlaufs: Quick-Scan
Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

JakobF 04.10.2010 11:25
Hallo,

ich hatte gestern nach der beschriebenen Vorgehensweise (s.o.) auch noch einen Komplettscan mit Anti-Malware gemacht. Hier das Ergebnis:

Code:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4736

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

03.10.2010 19:35:22
mbam-log-2010-10-03 (19-35-22).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 225338
Laufzeit: 48 Minute(n), 29 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Danke schonmal fürs Feedback.
Jakob

cosinus 04.10.2010 17:28
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
DRV - (funfrm) -- C:\windows\System32\drivers\funfrm.sys ()
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
[2010.10.01 00:19:43 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Local\{5488AF18-82BC-4417-AEDD-618BF86C4D21}
[2010.10.01 09:57:58 | 000,000,120 | ---- | C] () -- C:\Users\***\AppData\Local\Jsuxof.dat
[2010.10.01 09:57:58 | 000,000,000 | ---- | C] () -- C:\Users\***\AppData\Local\Oyuwamavesazuy.bin
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

JakobF 04.10.2010 18:13
Hallo,

also wie beschrieben durchgeführt (*** durch entspr. Pfad ersetzt).
Hier das Ergebnis:
Code:
All processes killed
========== OTL ==========
Error: Unable to stop service funfrm!
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\funfrm deleted successfully.
C:\Windows\System32\drivers\funfrm.sys moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.
C:\Users\***\AppData\Local\{5488AF18-82BC-4417-AEDD-618BF86C4D21}\chrome\content folder moved successfully.
C:\Users\***\AppData\Local\{5488AF18-82BC-4417-AEDD-618BF86C4D21}\chrome folder moved successfully.
C:\Users\***\AppData\Local\{5488AF18-82BC-4417-AEDD-618BF86C4D21} folder moved successfully.
C:\Users\***\AppData\Local\Jsuxof.dat moved successfully.
C:\Users\***\AppData\Local\Oyuwamavesazuy.bin moved successfully.
========== COMMANDS ==========
C:\windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
[EMPTYTEMP]
 
User: All Users
 
User: ***
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: ***
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: ***
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: ***
 
User: ***
->Temp folder emptied: 3901 bytes
->Temporary Internet Files folder emptied: 156324 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 10020 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 0,00 mb
 
 
OTL by OldTimer - Version 3.2.14.1 log created on 10042010_184443

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
Gruß
Jakob

cosinus 04.10.2010 18:30
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

JakobF 04.10.2010 20:27
Hier das Ergebnis von ComboFix:
Code:
ComboFix 10-10-03.03 - *** 04.10.2010  21:10:32.1.2 - x86
Microsoft Windows 7 Home Premium  6.1.7600.0.1252.49.1031.18.3033.2202 [GMT 2:00]
ausgeführt von:: c:\users\***\Desktop\cofi.exe
.

(((((((((((((((((((((((  Dateien erstellt von 2010-09-04 bis 2010-10-04  ))))))))))))))))))))))))))))))
.

2010-10-04 19:15 . 2010-10-04 19:15        --------        d-----w-        c:\users\***\AppData\Local\temp
2010-10-04 19:15 . 2010-10-04 19:15        --------        d-----w-        c:\users\Default\AppData\Local\temp
2010-10-03 13:08 . 2010-10-03 13:09        --------        d-----w-        c:\program files\ERUNT
2010-10-03 12:20 . 2010-10-03 12:20        --------        d-----w-        c:\users\***\AppData\Roaming\Malwarebytes
2010-10-03 12:19 . 2010-04-29 13:39        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-03 12:19 . 2010-10-03 12:19        --------        d-----w-        c:\programdata\Malwarebytes
2010-10-03 12:19 . 2010-10-03 12:19        --------        d-----w-        c:\program files\Malwarebytes' Anti-Malware
2010-10-03 12:19 . 2010-04-29 13:39        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2010-09-29 09:46 . 2010-06-19 06:15        2048        ----a-w-        c:\windows\system32\tzres.dll
2010-09-22 17:05 . 2010-09-30 20:42        57344        ----a-w-        c:\programdata\DivX\RunAsUser\RUNASUSERPROCESS.dll
2010-09-22 17:05 . 2010-09-24 21:48        --------        d-----w-        c:\users\***\AppData\Roaming\DivX
2010-09-22 17:04 . 2010-09-30 20:39        --------        d-----w-        c:\program files\Common Files\PX Storage Engine
2010-09-22 17:01 . 2010-09-30 20:39        --------        d-----w-        c:\program files\DivX
2010-09-22 17:01 . 2010-09-30 20:35        144696        ----a-w-        c:\programdata\DivX\RunAsUser\RUNASUSERPROCESS.exe
2010-09-22 17:01 . 2010-09-30 20:39        --------        d-----w-        c:\programdata\DivX
2010-09-15 08:36 . 2010-08-21 05:32        316928        ----a-w-        c:\windows\system32\spoolsv.exe
2010-09-13 19:44 . 2010-09-13 19:44        2300696        ----a-w-        c:\programdata\Microsoft\eHome\Packages\MCEClientUX\UpdateableMarkup\markup.dll
2010-09-13 19:33 . 2010-09-13 19:33        42776        ----a-w-        c:\programdata\Microsoft\eHome\Packages\MCEClientUX\dSM\StartResources.dll
2010-09-13 19:33 . 2010-09-13 19:33        1113408        ----a-w-        c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-04 18:41 . 2010-10-04 18:41        --------        d-----w-        c:\program files\CCleaner
2010-10-04 16:55 . 2009-09-14 10:42        654166        ----a-w-        c:\windows\system32\perfh007.dat
2010-10-04 16:55 . 2009-09-14 10:42        130006        ----a-w-        c:\windows\system32\perfc007.dat
2010-10-02 20:28 . 2010-01-30 00:54        --------        d-----w-        c:\program files\StarMoney 6.0 S-Edition
2010-09-30 21:30 . 2010-09-30 21:30        --------        d-----w-        c:\users\***\AppData\Roaming\Apple Computer
2010-09-30 20:47 . 2010-01-29 23:11        --------        d-----w-        c:\program files\wertpapieranalyse
2010-09-28 18:11 . 2010-06-19 20:30        --------        d-----w-        c:\users\***\AppData\Roaming\vlc
2010-09-22 17:05 . 2010-01-29 22:17        --------        d-----w-        c:\program files\Mozilla Thunderbird
2010-08-17 21:04 . 2010-02-07 01:08        --------        d-----w-        c:\users\***\AppData\Roaming\dvdcss
2010-07-29 06:30 . 2010-08-11 15:24        197632        ----a-w-        c:\windows\system32\ir32_32.dll
2010-07-29 06:30 . 2010-08-11 15:24        82944        ----a-w-        c:\windows\system32\iccvid.dll
2009-06-10 21:26 . 2009-07-14 02:04        9633792        --sha-r-        c:\windows\Fonts\StaticCache.dat
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1173504]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2009-06-04 186904]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2008-03-26 163840]
"UpdateP2GShortCut"="c:\program files\Lenovo\Power2Go\MUITransfer\MUIStartMenu.exe" [2008-12-03 218408]
"EnergyUtility"="c:\program files\Lenovo\Energy Management\utility.exe" [2009-07-15 4081480]
"Energy Management"="c:\program files\Lenovo\Energy Management\Energy Management.exe" [2009-06-25 5064520]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"BrMfcWnd"="c:\program files\Brother\Brmfcmon\BrMfcWnd.exe" [2009-05-26 1159168]
"ControlCenter3"="c:\program files\Brother\ControlCenter3\brctrcen.exe" [2008-12-24 114688]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-03-25 142120]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-04-21 136216]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-04-21 171032]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-04-21 169496]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
FRITZ!DSL Startcenter.lnk - c:\windows\Installer\{2457326B-C110-40C3-89B0-889CC913871A}\Icon2457326B4.exe [2010-3-29 29184]
Quicken 2003 Zahlungserinnerung.lnk - c:\program files\Quicken2003\billmind.exe [2002-3-28 36864]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R3 Bridge0;Bridge0;c:\windows\system32\drivers\WDBridge.sys [2009-07-28 63240]
R3 BrSerIb;Brother MFC Serial Interface Driver(WDM);c:\windows\system32\DRIVERS\BrSerIb.sys [2009-07-14 265088]
R3 BrUsbSIb;Brother MFC Serial USB Driver(WDM);c:\windows\system32\DRIVERS\BrUsbSIb.sys [2009-07-13 11904]
R3 GigasetGenericUSB;GigasetGenericUSB;c:\windows\system32\DRIVERS\GigasetGenericUSB.sys [2009-02-20 44032]
R3 k57nd60x;Broadcom NetLink (TM) Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\k57nd60x.sys [2009-07-13 229888]
R3 Lenovo ReadyComm AppSvc;Lenovo ReadyComm AppSvc;c:\program files\Lenovo\ReadyComm\AppSvc.exe [2009-07-28 414984]
R3 Lenovo ReadyComm ConnSvc;Lenovo ReadyComm ConnSvc;c:\program files\Lenovo\ReadyComm\ConnSvc.exe [2009-07-28 472328]
R3 netw5v32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit;c:\windows\system32\DRIVERS\netw5v32.sys [2009-07-13 4231168]
R3 PS_MDP;ReadyComm Presentation Space Helper Service;c:\windows\System32\IgrsSvcs.exe [2009-07-14 20992]
R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\System32\Drivers\RtsUStor.sys [2009-07-30 171520]
R3 RtsUIR;Realtek IR Driver;c:\windows\system32\DRIVERS\Rts516xIR.sys [x]
R3 wsvd;wsvd;c:\windows\system32\DRIVERS\wsvd.sys [2009-07-21 81704]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
S2 IGDCTRL;AVM IGD CTRL Service;c:\program files\FRITZ!DSL\IGDCTRL.EXE [2007-09-04 87344]
S2 IGRS;IGRS;c:\program files\Lenovo\ReadyComm\common\IGRS.exe [2009-07-14 38152]
S2 ReadyComm.DirectRouter;ReadyComm.DirectRouter;c:\windows\System32\IgrsSvcs.exe [2009-07-14 20992]
S3 ACPIVPC;Lenovo Virtual Power Controller Driver;c:\windows\system32\DRIVERS\AcpiVpc.sys [2010-01-20 23136]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-13 14336]
S3 wdmirror;wdmirror;c:\windows\system32\DRIVERS\WDMirror.sys [2009-07-16 11792]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation        REG_MULTI_SZ          SSDPSRV upnphost SCardSvr TBS FontCache fdrespub AppIDSvc QWAVE wcncsvc SensrSvc Mcx2Svc
IgrsSvcs        REG_MULTI_SZ          ReadyComm.DirectRouter PS_MDP
.
Inhalt des "geplante Tasks" Ordners

2010-10-04 c:\windows\Tasks\Auf Updates für Windows Live Toolbar prüfen.job
- c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-02-12 15:54]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2431245
mStart Page = hxxp://lenovo.live.com/
uInternet Settings,ProxyOverride = *.local
IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\users\***\AppData\Roaming\Mozilla\Firefox\Profiles\fpscgxvl.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/

---- FIREFOX Richtlinien ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-snp2uvc - c:\windows\vsnp2uvc.exe
HKLM-Run-PLFSetL - c:\windows\PLFSetL.exe
HKLM-Run-VeriFaceManager - c:\program files\Lenovo\VeriFace\PManage.exe
SafeBoot-mcmscsvc
SafeBoot-MCODS


.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2010-10-04  21:16:45
ComboFix-quarantined-files.txt  2010-10-04 19:16

Vor Suchlauf: 8 Verzeichnis(se), 137.030.217.728 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 136.942.497.792 Bytes frei

- - End Of File - - 5485F3F5A9085A62DB1B45BF7E6B1937
Jakob

cosinus 05.10.2010 18:56
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

JakobF 05.10.2010 20:02
Hallo Arne,

im Anhang sind als zip wieder die gewünschten logs. Sind das Routine Scans, oder bin ich noch nicht auf der sicheren Seite?

Grüße und Danke
Jakob

cosinus 05.10.2010 20:12
Das sind Routinescans, wenn man muss schon möglichst alles checken ;)
Sieht bei Dir aber alles ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

JakobF 05.10.2010 22:42
Hallo,

hier nochmal die gewünschten Dateien im Anhang.

Ich gehe beim einzigen Fund von SUPERAntiSpyware davon aus, dass es ein false positive ist. Die Datei gehört zu einem Belegungsplaner. Soll ich vielleicht die kleine Softwareschmiede kontaktieren, von der das Programm kommt, oder davon ausgehen, dass das so in Ordnung ist? (Ich erwarte natürlich keine verbindliche Antwort, nur eine Einschätzung - kommt das oft vor?)

Grüße
Jakob

cosinus 06.10.2010 10:18
Sieht ok aus, das eine ist ganz offensichtlich ein FP
Noch Probleme oder weitere Funde in der Zwischenzeit?

JakobF 06.10.2010 11:28
Hi Arne,

nein, keine weiteren Funde mehr. Ich hoffe jetzt bin ich erstmal durch damit. Jetzt heißts wohl Passwörter ändern!

Nochmal vielen vielen Dank für deine Mühe und Hilfe. Hat mir sehr gefallen! Das ist ein tolles Projekt hier. Werde ich weiterempfehlen.

Beste Grüße
Jakob

cosinus 06.10.2010 14:40
Wir sind dann durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

JakobF 06.10.2010 16:06
Alles erledigt, nochmals vielen Dank!


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:12 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19