Hallo Forum,

nachdem ich mich einigermaßen schlau gemacht, und vorsichtshalber mein Online-Banking gesperrt habe, melde ich mich hier mit meinem Problem. Ich hoffe Ihr könnt mir behilflich sein.

Vor ein paar Tagen ist mir aufgefallen, dass ich immer doppelte ´´ schreibe. Ich kann dabei nicht sagen, ob´s mir vorher nur nicht aufgefallen ist, weil ich sie nicht benutzt habe, oder ob´s vorher einfach nicht aufgetreten ist. Jedenfalls merkte ich am Wochenende, dass MS Silverlight (Maxdome) ständig abstürzt. Das ist auch kein Indiz, weil ich länger nicht auf Maxdome war. Außerdem bekam ich eine System-Meldung über einen Trojaner, ich würde behaupten von Windows, aber ich war gewissermaßen im Halbschlaf und kann nicht mehr genau sagen wo das herkam, was genau drin stand und wann genau das war. Das alles hat mich dann darauf gebracht, da mal ein Update zu fahren. Dabei musste ich feststellen, dass ie nicht mehr funktioniert, auch nach dem Update. Standardmäßig verwende ich Firefox, gelegentlich seit Neuerem auch Chrome.

Und ich bekam beim Hochfahren Meldungen wie: GfxUI funktioniert nicht mehr, das Pogramm wird beendet. Da das Updaten von Silverlight und ie nicht half habe ich dann einen Viren Scan vorgenommen. Dazu hab ich mir zuerst Avira runtergeladen, und dann einen Vollscan durchgeführt. Dabei kam heraus, dass sich der Trojaner TR/Obfuscate.OH.19 bei mir eingenistet hatte. Nachdem Avira den unter Quarantäne gestellt hatte funktionierte Silverlight jedenfalls wieder stabil. Danach bekam ich beim Hochfahren die Meldung: Das Profil wurde nicht gefunden, oder erkannt. Das hab ich dann nach kurzer Recherche mit Avira in Verbindung gebracht. Darum habe ich nochmal einen MBAM Vollscan durchgeführt. Der kam dann mit dem Ergebnis trojan.spyeyes zurück. Spätestens danach hörten auch die doppelten `` wieder auf.

Ich habe zwar schon seit mehreren Monaten kein Online-Banking mehr gemacht, und auch keine irregulären Tan-Abfragen oder Abbuchungen gehabt, aber ich habe definitiv in der Zeit des ``-Problems meine Kreditkarte online benutzt, so dass ich diese und vorsichtshalber Online-Banking gesperrt habe. Auch habe ich mich definitiv bei verschiedenen Sites eingeloggt, wie zB fb, email, Maxdome usw.

Ich bräuchte Euren Rat, was ich jetzt zur Absicherung meines Systems machen muss, ob eine Säuberung noch Sinn macht oder ich besser gleich neu aufsetze. Ich hab Vista 32bit, und irgendwo müssen noch die Boot-CDs sein, die Vista mich beim ersten Hochfahren zu erstellen, glücklicherweise, gezwungen hat, wenn ich mich recht erinnere. Außerdem fänd ich´s spitze, wenn Ihr mir sagen könntet ob und wie ich herausfinden kann wann sich die Trojaner bei mir eingenistet haben. Würde mir vielleicht ein besseres Gefühl geben, wenn´s noch nicht so lange her ist könnte ich jedenfalls davon ausgehen, dass mein Rechner wenn überhaupt dann noch nicht lange im Botnetz hängt, und mein Online-Banking nicht kompromittiert wurde.

Die Log-Files von Avira und MBAM häng ich an, und fang am besten gleich nochmal einen Vollscan an.

Schon mal im Voraus vielen Dank
und lg
Marc

P.S.: Ich hab im Verlauf von Windows Defender noch was gefunden:


Beschreibung:
Das Verhalten dieses Programms ist potenziell unerwünscht.

Empfehlung:
Lassen Sie dieses entdeckte Element nur zu, wenn Sie dem Programm oder dem Softwareherausgeber vertrauen.

Ressourcen:
regkey:
HKCU@S-1-5-21-2270810218-2394552768-2579885175-1000\Software\Microsoft\Windows\CurrentVersion\Run\\{0BE7E296-C8B8-A923-0456-1678E2BE344C}

runkey:
HKCU@S-1-5-21-2270810218-2394552768-2579885175-1000\Software\Microsoft\Windows\CurrentVersion\Run\\{0BE7E296-C8B8-A923-0456-1678E2BE344C}

file:
C:\Users\***\AppData\Roaming\Hohyi\ruxo.exe

Kategorie:
Noch nicht klassifiziert


Dazu steht in der Liste:
Name: Unbekannt Warnstufe: Unbekannt Ausgeführte Aktion: Zulassen Datum: 03.05.2011 18:31 Status: Erfolgreich

Außerdem noch mit Datum vom 22.05.2011 um 06:52, aber das ist wohl hoffentlich eine "Fehlmeldung" (weil Defender Avira nicht mag?):
Beschreibung:
Das Verhalten dieses Programms ist potenziell unerwünscht.

Empfehlung:
Lassen Sie dieses entdeckte Element nur zu, wenn Sie dem Programm oder dem Softwareherausgeber vertrauen.

Ressourcen:
clsid:
HKLM\SOFTWARE\CLASSES\CLSID\{45AC2688-0253-4ED8-97DE-B5370FA7D48A}

regkey:
HKLM\SOFTWARE\CLASSES\CLSID\{45AC2688-0253-4ED8-97DE-B5370FA7D48A}

regkey:
HKLM\Software\Classes\*\shellex\ContextMenuHandlers\Shell Extension for Malware scanning

contextmenu:
HKLM\Software\Classes\*\shellex\ContextMenuHandlers\Shell Extension for Malware scanning

file:
C:\Program Files\Avira\AntiVir Desktop\shlext.dll

Kategorie:
Noch nicht klassifiziert

In der Liste steht, abgesehen vom Datum, das selbe wie oben auch

Hallo,
hier nochmal ein aktuelles MBAM Log, jetzt sauber.
VG,
Marc

Zitat:

nachdem ich mich einigermaßen schlau gemacht, und vorsichtshalber mein Online-Banking gesperrt habe

Wenn du Onlinebanking machst, solltest du generell überlegen, ob eine Bereinigung bei dem Risiko noch Sinn macht - sicherer entfernst du mit format c: und Neuinstallation. Willst du bereinigen oder neu installieren?

Hi,

nachdem ich im McAfee Archiv (OEM-Antivirus) noch ein paar ältere Eindringlinge gefunden habe, habe ich mich eigentlich schon fürs Neuaufsetzen entschieden. Ist glaub ich im Endeffekt sogar einfacher, und sicherer allemal. Vielen Dank für die Antwort.

Dazu wären natürlich ein paar Tips fürs bessere Absichern des System ganz gut, aber ich denke, da kann ich mich auch durchs Forum klicken und was finden.

Lg, Marc

Zitat:

Dazu wären natürlich ein paar Tips fürs bessere Absichern des System ganz gut, aber ich denke, da kann ich mich auch durchs Forum klicken und was finden.

Halte Dich am besten grob an diese Regeln:

1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2) Halte Windows und alle verwendeten Programme immer aktuell
3) Führe regelmäßig Backups auf externe Medien durch
4) Arbeite mit eingeschränkten Rechten
5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen
6) automatische Wiedergabe von allen Laufwerken komplett deaktivieren, denn das ist ein unnötiges Sicherheitsrisiko

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?