Antivir Meldung TR/PSW.LdPinch.L etc. - ist alles entfernt/wieder sicher?
 

Hallo alle Zusammen,

heute meldete der Anti-Viren Guard den TR/PSW.LdPinch.L.. Ich habe auf "löschen" geklickt.
Beim anschließenden Virenscan mit Avira Antivir personal wurde dann noch JAVA/Agent.2212 gefunden. Auch ihn habe ich gelöscht.

Ist mein Computer nun wieder sicher? ICh bin nicht gerade ein Computerspezialist, aber ich habe gehöhrt, dass das Löschen den Trojaner etc. nicht immer sicher entfernt, bzw dass vorher schon beträchtlicher Schaden entstanden seien kann.

Daher habe ich mal die ganzen Log Files erstellt.

Könnt ihr mir sagen, ob da etwas nicht stimmt?

Große Probleme hatte ich bissher eigendlich nicht. Aber ein paar Dinge waren auffällig. (Bitte nicht lachen, ich drücke es mal mit meinen Laienworten aus.)
In letzter Zeit hatte ich ein paar kleinere Probleme. z.B. ist war mein Computer mehrmals von einem Moment zum anderen wie "eingefroren". er reagierte überhaupt auf nichts mehr. Ich mußte ihn ganz vom Strom nehmen, damit wieder alles lief.
Dann ist er manchmal plötzlich extrem langsam. Da hilft dann auch nur runterfahren und neu starten.
Ja und ungewöhnlich war auch, dass ich schon länger keinerlei Aktion am Computer mehr gemacht hatte, und dann fing er plötzlich extrem an zu arbeiten, ohne dass ich irgendwas gemacht habe.

so, dann mal die fils:

______________________________________________

______________________________________________

_________________________________________

________________________________________________

___________________________________


So, das war alles. Ich hoffe, ich hab alles richtig gemacht und ihr könnt mir sagen, ob alles in Ordnung und mein Computer sicher ist.

Liebe Grüße
Christiane

Pfadangaben fehlen! Poste das Log von AntiVir mit den Funden!
Hat malwarebytes tatsächlich nichts gefunden oder hast du nur das Log ohne Funde gepostet?

Hallo Cosinus,
danke für deinen Hinweis auf fehlende Angaben!

Meintest du das mit Pfad?

In der Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AYM6S7ZQ\12[1].exe'
wurde ein Virus oder unerwünschtes Programm 'TR/PSW.LdPinch.L' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

In der Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\14.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/PSW.LdPinch.L' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

Die Datei 'C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\58\788bfa7a-5911cfce'
enthielt einen Virus oder unerwünschtes Programm 'JAVA/Agent.2212' [virus].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d23b0f1.qua' verschoben!

1. JAVA/Agent.2212

2. Der TR/PSW.LdPinch.L wurde vom Gard gefunden, nicht beim Suchlauf von Antivir und ich habe direkt gelöscht. Einen Log File konnte ich da nicht finden.

Hab gerade nicht mehr Zeit, in ca. einer Stunde schaue ich noch mal malwarebytes an, ob ich etwas vergessen habe zu posten.

Bis später, liebe Grüße
Christiane

So, da bin ich wieder.

Und nun habe ich doch noch etwas über den Fund vom AntiVir Guard gefunden:


Hm, das gepostete ist die ganze Logdatei. Ich habe nichts daran verändert. Stehen die Funde denn woanders? Die Quarantäne ist auch leer. Oder was meintest du?

Liebe Grüße
Christiane

Schau mal in malwarebytes im Reiter Logdatein nach. Für jeden Durchgang gibt es ein Log. Musst du wissen wie viele Durchgänge du mit MBAM schon gemacht hast und ob diese Anzahl mit der der aufgelisteten Logfiles übereinstimmt. Wenn du nur einen Durchgang mit MBAM gemacht hast ist das schon so ok.

Hallo Arne,

O.K. ich habe bisher nur einen Durchgang gemacht.

LG
Christiane

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Hier das Ergebniss des Vollscans (Aktualisierung habe ich vorher vorgenommen):

LG
Christiane

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Kurze Zwischenfrage:

Da werde ich gefragt: "Änderungen in der Registry sicher?" wenn ich auf "Fehler beheben" klicke.

Soll ich ja oder nein anklicken?

LG
Christiane

Ja mach das ruhig. Damit wird nur ein backup erzeugt, damit man die gelöschten Einträge aus der Registry notfalls wiederherstellen kann.

Guten Morgen,
gestern war ich einfach zu müde, um Combofix noch laufen zu lassen.
Daher erst heute das Ergebnis:

LG
Christiane

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Hallo,

hier die Log von Gmer


Der Download von Osam ist eine .rar Datei. Die kann ich nicht entpacken. Ich kann nur .zip Dateien entpacken.
hm...was soll ich tun ?

Liebe Grüße
Christiane

Hallo nochmal,

jetzt habe ich mir die Testversion von WinRar besorgt und osam entpackt.

Hier das Ergebnis:

MBRCheck erledige ich jetzt als nächstes.

LG
Christiane

so, nun MBRCheck

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hi Cosinus,

Hier die neuen Log's:

LG
Christiane

Sieht ok aus, da wurden nur Cookies gefunden und drei Fehlalarme gab es.
Noch Probleme oder weitere Funde in der Zwischenzeit?

Hallo Cosinus,

es gab keine weiteren Funde mehr und auch sonst keine Probleme. Ja, und mein Compi ist deutlich schneller als vor all den Dingen, die du mich angeleitet hast:daumenhoc.

Ich bin extrem erleichtert, dass offensichtlich alles in Ordnung ist. Für deine super Anleitung und Hilfe möchte ich dir noch ganz, ganz herzlich danken. Toll, dass es Helfer wie dich gibt!!!!!:bussi: Ein Lob auch an denjenigen, der die Anleitungen geschrieben hat. Die sind wirklich auch für so computertermäßig Ungeübte wie mich sehr gut umsetzbar!

Könntest du mir bitte noch ein paar kleine Fragen beantworten?

1. Ist es 100% sicher, dass das Fehlalarme sind? Die angegebenen Dateien sind Sicherungen der E-Mails und T-online-Daten von meiner alten Festplatte.
2007 wurde mein Computer ganz neu aufgesetzt, nachdem er dauernt Probleme machte, eine Fehlermeldung nach der anderen kam, ein Bluscreen nach dem anderen und er sich dann letztlich gar nicht mehr hochfahren ließ. Mein Bruder sagte, die Festplatte sei kaput und wir haben sie ausgetauscht.
Die Ordner wurden nie wieder geöffnet. Wenn nicht 100% sicher ist, dass dass Fehlalarme sind, würde ich überlegen, ob ich sie inzwischen nicht einfach löschen kann.

2. Soll ich bei "defogger" nun wieder auf Re-enable gehen?

3. Was mache ich denn jetzt mit diesen vielen neuen Programmen auf meinem Desktop (Defogger, Gmer, MFtools, Malwarebytes, Erunt, cofi, ccleaner, osam, superAntiSpyware, ...) ? Soll ich die alle wieder deinstalieren? Oder soll ich alle oder das eine oder andere behalten? Dann einfach nur in einen anderen Ordner verschieben?

Viele liebe Grüße
Christiane

100% Sicherheit gibt es zwar nicht, aber die Funde von SASW war irgendwas von T-Online, da bin ich überzeugt, dass dies keine Schädlinge sind.


Kannst du tun

Wenn du willst können die alle deinstalliert werden, an für sich stören die aber nicht.



Ansonsten wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Hallo Arne,

ich hätte da noch mal ein kleines Problem

Habe nun die Punkte deiner letzten Mail noch abgearbeitet um meinen Compi sicherer zu machen. Beim Java Update kam dann folgende Meldung:

"dekomprimieren der Core-Dateien fehlgeschlagen"

und das Update brach ab.


Hm....was nun? Wo liegt das Problem? Kannst du mir da weiterhelfen?

Ich hatte zuvor die alten Versionen gelöscht mit javara. Übrig blieb java6u17
Update war auf java6u22

11:20 Uhr
Hilfe! Noch ein größeres Problem: Jetzt wollte ich endlich meine Bankgeschäfte machen, die ich die ganzen Tage aufgeschoben habe wg. des Trojanerverdachts und nun öffnet er mir mein Bankingprogramm nicht mehr mit der Fehlermeldung:
"Pfanangabe zur Datei smoney.ini nicht gefunden"

Was ist denn nun los? Was soll ich machen?



Liebe Grüße
Christiane

Vollständiges Setup von Java heruntergeladen?

Starmoney? Musste wohl neu installieren.

Hi,

es kam keine Anzeige, dass es nicht vollständig heruntergeladen wurde. Wie kann ich dass den feststellen?

StarmoneyBuisnes Deutsche Bank Edition. Aber wo ist die Datei denn plötzlich hin?
In dem Program sind meine ganzen Kundendaten drin. Kann ich die in die Neuinstalation rüberretten?

besorgte Grüße
Christiane

ja und dann wunderst du dich darüber dass das Setup nicht richtig läuft wenn die Datei fehlerhaft übertragen wurde? :stirn:

Weiß ich nicht, ich kenn das Programm nicht. Bei einer Business-Edition wirst ja wohl auch vom Hersteller exzellenten Support bekommen... :pfeiff:

Hä....verstehe ich jetzt nicht.....stehe ich jetzt auf der Leitung oder du?

Ich mache mal aus der doppelten Verneinung die positive Aussage:):
Es war beim Download alles in Ordnung! Keinerlei Auffälligkeiten. Keine Fehlerhafte Übertragung. Zumindest keine, die mir angezeigt wurde.

Aber da ich ja vermutlich dennoch nicht drumherum komme, werde ich es noch mal wiederholen.

Zur Info:
Mit dem Support meiner Bank habe ich inzwischen schon telefoniert. Auskunft: Leider neigen einige Virenscanner dazu, die .ini Dateien von Bankingprogrammen zu löschen. Passiert öfter.
Sie haben mich angeleitet, die Daten zu sichern und das Programm neu zu instalieren. Da sitze ich jetzt schon seit Stunden dran, bin aber fast fertig:kaffee:.

Hast du eventuell eine Ahnung, welches der ausgeführten Programme diese böse Angewohnheit hat, Banking-Programme außer Gefecht zu setzen? Gab es das hier schon öfter bzw. gibt es da Erfahrungswerte?
Wenn ich wüßte, welches Program das war, würde ich es in Zukunft wenn irgend möglich versuchen, nicht mehr auszuführen.

Liebe Grüße
Christiane

ok dann hab ich es falsch verstanden weil es unglücklich ausgedrückt wurde, sry :D
Hast du nun das komplette Setup für Java runtergeladen oder nur den online installer?

Das hier hatte ich runtergeladen:

re-6u22-windows-i586

von der von dir angegebenen Adresse: hxxp://www.oracle.com/technetwork/java/javase/downloads/index.html

Grüßle
Christiane

Also das voll Paket mit ner Größe von 15 MB?

So isses! 15.698 KB steht dahinter.

Ich habe heute einfach noch mal die Datei ausgeführt und siehe da, heute ging es völlig problemlos :pfeiff:.
hm,....mit ganz viel weiblicher Logig behaupte ich jetzt einfach mal, das mein Computer ein wenig launisch ist und die letzten 2 Tage einfach keine Lust auf Java hatte. Nun habe ich ihm ein Bisschen gut zugeredet und seine ansonsten tolle Arbeit gelobt und ping....schon geht's. Was doch so ein Bisschen positive Bestärkung so alles ausrichtet ;):rofl:.

Ich danke dir für deine Geduld Arne.
Tschüssi
Christiane

Hallo Christiane,

bezugnehmend auf deine PN: Dein kompletter Name sollte hier nicht mehr stehen oder? :confused: denn unsere Admins DaGuru/Sunny reagieren immer schnell und zuverlässig! ;)

Hi Arne,

genau, hier war gemeint. Bisher ist aber alles beim Alten:heulen:...soll ich noch ne Pn schreiben:confused:? Oder ist es hier nicht üblich, in solch einem Fall eine PN an einen Admin zu senden.
Um nicht noch unnötig mehr Leute darauf aufmerksam zu machen, hatte ich bisher nicht öffentlich im Thread geschrieben.....

LG
Christiane

Melde einfach den betroffenen Beitrag. Klick im Infobereich auf das http://www.trojaner-board.de/images/buttons/report.gif-Symbol

Danke für den Hinweis! Auf die Idee bin ich gar nicht gekommen. Hab ich nun gleich gemacht.

LG
Christiane

Jau hat geklappt :D