Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Facebook scr.datei; jetzt Firewall deaktiviert

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 24.10.2011, 12:31   #1
malika_
 
Facebook scr.datei; jetzt Firewall deaktiviert - Standard

Facebook scr.datei; jetzt Firewall deaktiviert



Hallo,

das Problem mit den FB-Virus haben ja anscheinend einige. Ich auch

Ich habe also diese Datei, die sich als jpg tarnt angeklickt. Daraufhin hat mich mein Windows Security Center (habe Windows 7) gewarnt, dies sei ein Wurm. Ich habe entfernen geklickt.

Kurz darauf fragte mich der PC beharrlich, ob ich zulassen will, dass das Programm taskmgr.exe Änderungen an meinem Computer vornimmt.
[Windows 7 fragt ja generell bei jeder .exe Datei nach)
Ich habe "Nein" gewählt. Daraufhin verschwand das Fenster, öffnete sich aber quasi sofort erneut. Nach ungefähr 50x "Nein" hab ich dann entnervt "Ja" geklickt (wahrs ein Fehler..)
Zunächst geschah nichts, dann bekam ich die meldung meine Firewall sei deaktiviert.

Will ich meine Firewall manuell wieder aktivieren erscheint die Meldung "Einige der Einstellungen können von der Windows Firewall nicht geändert werden. Fehlercode 0x8007042c."

Daraufhin habe ich gegoogelt, es wurde empfohlen die Firewall über "Dienste" zu starten. Ich habe dies versucht, folgende Meldung: "fehler 1068. Der Abhängigkeitsdienst oder die Abhängigkeitsgruppe konnten nicht gestartet werden."

Ich habe nun Malwarebytes heruntergeladen und einen Scan druchgeführt, Report folgt am Ende.
Der Scan ergab mehrer "backdoors" die ich entfernen ließ. zeitgleich findet mein Sophos Antivir quasi alle minuten Mal/Iframe-gen oder andere viren die ich zwar nach anleitung entferne die aber immer wieder kommen.

In einem anderen Forum bekam ich den Rat Winows zu deinstallieren und das System komplett neu aufzusetzen

Ist es wirklich so schlimm? Besteht überhaupt keine Chance den laptop so wie er ist zu retten?

malwarbytes:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8005

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

23.10.2011 17:14:48
scan

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 185548
Laufzeit: 4 Minute(n), 37 Sekunde(n)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
c:\Users\Lisa\m-1-52-5782-8752-5245\winsvc.exe (Backdoor.IRCBot) -> 2528 -> No action taken.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft® Windows Update (Backdoor.IRCBot) -> Value: Microsoft® Windows Update -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\Lisa\m-1-52-5782-8752-5245\winsvc.exe (Backdoor.IRCBot) -> No action taken.
c:\Users\Lisa\AppData\Local\Temp\54086.exe (Backdoor.IRCBot) -> No action taken.


Und hier noch ein neuerer komplett Scan:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8005

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

23.10.2011 17:26:51
mbam-log-2011-10-23 (17-26-51).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 185526
Laufzeit: 5 Minute(n), 28 Sekunde(n)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
c:\Users\Lisa\m-1-52-5782-8752-5245\winsvc.exe (Backdoor.IRCBot) -> 2528 -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft® Windows Update (Backdoor.IRCBot) -> Value: Microsoft® Windows Update -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\Lisa\m-1-52-5782-8752-5245\winsvc.exe (Backdoor.IRCBot) -> Quarantined and deleted successfully.
c:\Users\Lisa\AppData\Local\Temp\54086.exe (Backdoor.IRCBot) -> Quarantined and deleted successfully.



Tausend Dank für eure Hilfe!

Leicht verzweifelte grüße

malika

EDIT: Hier noch das Antiviren Protokoll von sophos Antivir:

****************** Sophos Anti-Virus Protokoll - 24.10.2011 11:48:10 **************

...
20111024 052512 Die Erkennungsdatenversion 4.70G (Detection Engine 3.24.3) wird verwendet. Diese Version kann 2958783 Objekte erkennen.
20111024 052513 Benutzer (NT-AUTORITÄT\LOKALER DIENST) hat den On-Access-Scan auf diesem Computer gestartet.
20111024 053056 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer abgebrochen.
20111024 053057 Die Erkennungsdatenversion 4.70G (Detection Engine 3.24.3) wird verwendet. Diese Version kann 2958787 Objekte erkennen.
20111024 053057 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer gestartet.
20111024 053531 Der Scan von 'C:\Windows\Logs\CBS\CBS.log' führte zu SAV Interface-Fehler 0xa0040202: Scan fehlgeschlagen.
20111024 053702 Der Scan von 'C:\Windows\Prefetch\ETDCTRLHELPER.EXE-D7582779.pf' führte zu SAV Interface-Fehler 0xa0040202: Scan fehlgeschlagen.
20111024 053705 Der Scan von 'C:\Users\Lisa\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat' führte zu SAV Interface-Fehler 0xa0040202: Scan fehlgeschlagen.
20111024 053847 Der Scan von 'C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat' führte zu SAV Interface-Fehler 0xa0040202: Scan fehlgeschlagen.
20111024 053849 Der Scan von 'C:\Users\Lisa\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\index.dat' führte zu SAV Interface-Fehler 0xa0040202: Scan fehlgeschlagen.
20111024 083209 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer abgebrochen.
20111024 083210 Die Erkennungsdatenversion 4.70G (Detection Engine 3.24.3) wird verwendet. Diese Version kann 2958798 Objekte erkennen.
20111024 083210 Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer gestartet.
20111024 084926 Der Scan von 'C:\Users\Lisa\AppData\Roaming\Mozilla\Firefox\Profiles\66kmxzni.default\formhistory.sqlite' führte zu SAV Interface-Fehler 0xa0040202: Scan fehlgeschlagen.
20111024 084931 Der Scan von 'C:\Users\Lisa\AppData\Local\Temp\~DF33BC900C1D2E28D7.TMP' führte zu SAV Interface-Fehler 0xa0040202: Scan fehlgeschlagen.
20111024 084935 Der Scan von 'C:\Users\Lisa\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat' führte zu SAV Interface-Fehler 0xa0040202: Scan fehlgeschlagen.
20111024 084953 Der Scan von 'C:\Users\Lisa\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat' führte zu SAV Interface-Fehler 0xa0040202: Scan fehlgeschlagen.
20111024 084959 Der Scan von 'C:\Users\Lisa\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat' führte zu SAV Interface-Fehler 0xa0040202: Scan fehlgeschlagen.
20111024 085116 Die Erkennungsdatenversion 4.70G (Detection Engine 3.24.3) wird verwendet. Diese Version kann 2958798 Objekte erkennen.
20111024 085117 Benutzer (NT-AUTORITÄT\LOKALER DIENST) hat den On-Access-Scan auf diesem Computer gestartet.
20111024 090458 Der Scan von 'C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat' führte zu SAV Interface-Fehler 0xa0040202: Scan fehlgeschlagen.
20111024 105902 Datei "C:\Windows\Temp\jar_cache7809884066362607435.tmp" gehört zu Virus/Spyware 'Mal/JavaJar-A'.
20111024 105902 On-Access-Scanner hat den Zugriff auf den Speicherort "C:\Windows\Temp\jar_cache7809884066362607435.tmp" für folgenden Benutzer verweigert: NT-AUTORITÄT\SYSTEM
20111024 105906 Datei "C:\Windows\Temp\jar_cache3183999870496935994.tmp" gehört zu Virus/Spyware 'Mal/JavaJar-A'.
20111024 105906 On-Access-Scanner hat den Zugriff auf den Speicherort "C:\Windows\Temp\jar_cache3183999870496935994.tmp" für folgenden Benutzer verweigert: NT-AUTORITÄT\SYSTEM
20111024 105906 Datei "C:\Windows\Temp\jar_cache3183999870496935994.tmp" gehört zu Virus/Spyware 'Mal/JavaJar-A'.
20111024 105908 Datei "C:\Windows\Temp\jar_cache3183999870496935994.tmp" gehört zu Virus/Spyware 'Mal/JavaJar-A'.
20111024 105909 Datei "C:\Windows\Temp\jar_cache7809884066362607435.tmp" gehört zu Virus/Spyware 'Mal/JavaJar-A'.
20111024 105910 Datei "C:\Windows\Temp\jar_cache5962784164280033648.tmp" gehört zu Virus/Spyware 'Mal/JavaJar-A'.
20111024 105910 On-Access-Scanner hat den Zugriff auf den Speicherort "C:\Windows\Temp\jar_cache5962784164280033648.tmp" für folgenden Benutzer verweigert: NT-AUTORITÄT\SYSTEM
20111024 105910 Datei "C:\Windows\Temp\jar_cache3183999870496935994.tmp" wurde bereinigt.
20111024 105910 Datei "C:\Windows\Temp\jar_cache5962784164280033648.tmp" gehört zu Virus/Spyware 'Mal/JavaJar-A'.
20111024 105911 Datei "C:\Windows\Temp\jar_cache7809884066362607435.tmp" wurde bereinigt.
20111024 105911 Virus/Spyware 'Mal/JavaJar-A' entfernt.
20111024 105911 Der Scan von 'C:\Windows\Prefetch\SAVMAIN.EXE-F977AB4F.pf' führte zu SAV Interface-Fehler 0xa0040202: Scan fehlgeschlagen.
20111024 105912 Datei "C:\Windows\Temp\jar_cache5810299038354648083.tmp" gehört zu Virus/Spyware 'Mal/JavaJar-A'.
20111024 105912 On-Access-Scanner hat den Zugriff auf den Speicherort "C:\Windows\Temp\jar_cache5810299038354648083.tmp" für folgenden Benutzer verweigert: NT-AUTORITÄT\SYSTEM
20111024 105915 Der Scan von 'C:\Windows\Prefetch\SAVMAIN.EXE-F977AB4F.pf' führte zu SAV Interface-Fehler 0xa0040202: Scan fehlgeschlagen.
20111024 105918 Datei "C:\Windows\Temp\jar_cache5810299038354648083.tmp" gehört zu Virus/Spyware 'Mal/JavaJar-A'.
20111024 105919 Datei "C:\Windows\Temp\jar_cache5810299038354648083.tmp" wurde bereinigt.
20111024 105919 Virus/Spyware 'Mal/JavaJar-A' entfernt.
20111024 105926 Der Scan von 'C:\Windows\Prefetch\SAVMAIN.EXE-F977AB4F.pf' führte zu SAV Interface-Fehler 0xa0040202: Scan fehlgeschlagen.
20111024 111344 Datei "C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\5FLHOJKN\field[1].swf" gehört zu Virus/Spyware 'Troj/SWFExp-AI'.
20111024 111344 On-Access-Scanner hat den Zugriff auf den Speicherort "C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\5FLHOJKN\field[1].swf" für folgenden Benutzer verweigert: NT-AUTORITÄT\SYSTEM
20111024 111345 Datei "C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\5FLHOJKN\field[1].swf" gehört zu Virus/Spyware 'Troj/SWFExp-AI'.
20111024 111346 Datei "C:\Windows\SysWOW64\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\24fac7a-5e1b326d-temp" gehört zu Virus/Spyware 'Mal/JavaJar-A'.
20111024 111346 On-Access-Scanner hat den Zugriff auf den Speicherort "C:\Windows\SysWOW64\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\24fac7a-5e1b326d-temp" für folgenden Benutzer verweigert: NT-AUTORITÄT\SYSTEM
20111024 111347 Datei "C:\Windows\SysWOW64\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\24fac7a-5e1b326d-temp" gehört zu Virus/Spyware 'Mal/JavaJar-A'.
20111024 111348 Datei "C:\Windows\Temp\jar_cache1511951832031101667.tmp" gehört zu Virus/Spyware 'Mal/JavaJar-A'.
20111024 111348 On-Access-Scanner hat den Zugriff auf den Speicherort "C:\Windows\Temp\jar_cache1511951832031101667.tmp" für folgenden Benutzer verweigert: NT-AUTORITÄT\SYSTEM
20111024 111348 Datei "C:\Windows\SysWOW64\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\24fac7a-6e215f0f-temp" gehört zu Virus/Spyware 'Mal/JavaJar-A'.
20111024 111348 On-Access-Scanner hat den Zugriff auf den Speicherort "C:\Windows\SysWOW64\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\24fac7a-6e215f0f-temp" für folgenden Benutzer verweigert: NT-AUTORITÄT\SYSTEM
20111024 111349 Datei "C:\Windows\SysWOW64\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\24fac7a-6e215f0f-temp" gehört zu Virus/Spyware 'Mal/JavaJar-A'.
20111024 111349 Datei "C:\Windows\Temp\jar_cache1511951832031101667.tmp" gehört zu Virus/Spyware 'Mal/JavaJar-A'.
20111024 111349 Datei "C:\Windows\Temp\jar_cache5594143668072660981.tmp" gehört zu Virus/Spyware 'Mal/JavaJar-A'.
20111024 111349 On-Access-Scanner hat den Zugriff auf den Speicherort "C:\Windows\Temp\jar_cache5594143668072660981.tmp" für folgenden Benutzer verweigert: NT-AUTORITÄT\SYSTEM
20111024 111349 Datei "C:\Windows\SysWOW64\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\24fac7a-782353d8-temp" gehört zu Virus/Spyware 'Mal/JavaJar-A'.
20111024 111349 On-Access-Scanner hat den Zugriff auf den Speicherort "C:\Windows\SysWOW64\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\24fac7a-782353d8-temp" für folgenden Benutzer verweigert: NT-AUTORITÄT\SYSTEM
20111024 111350 Datei "C:\Windows\SysWOW64\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\24fac7a-782353d8-temp" gehört zu Virus/Spyware 'Mal/JavaJar-A'.
20111024 111350 Datei "C:\Windows\Temp\jar_cache5594143668072660981.tmp" gehört zu Virus/Spyware 'Mal/JavaJar-A'.
20111024 111350 Datei "C:\Windows\SysWOW64\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\24fac7a-39dca592-temp" gehört zu Virus/Spyware 'Mal/JavaJar-A'.
20111024 111350 On-Access-Scanner hat den Zugriff auf den Speicherort "C:\Windows\SysWOW64\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\24fac7a-39dca592-temp" für folgenden Benutzer verweigert: NT-AUTORITÄT\SYSTEM
20111024 111351 Datei "C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\5FLHOJKN\field[1].swf" gehört zu Virus/Spyware 'Troj/SWFExp-AI'.
20111024 111351 Datei "C:\Windows\SysWOW64\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\24fac7a-39dca592-temp" gehört zu Virus/Spyware 'Mal/JavaJar-A'.
20111024 111351 Datei "C:\Windows\Temp\jar_cache6814449413367570577.tmp" gehört zu Virus/Spyware 'Mal/JavaJar-A'.
20111024 111351 On-Access-Scanner hat den Zugriff auf den Speicherort "C:\Windows\Temp\jar_cache6814449413367570577.tmp" für folgenden Benutzer verweigert: NT-AUTORITÄT\SYSTEM
20111024 111351 Datei "C:\Windows\SysWOW64\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\24fac7a-34afed51-temp" gehört zu Virus/Spyware 'Mal/JavaJar-A'.
20111024 111351 On-Access-Scanner hat den Zugriff auf den Speicherort "C:\Windows\SysWOW64\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\24fac7a-34afed51-temp" für folgenden Benutzer verweigert: NT-AUTORITÄT\SYSTEM
20111024 111352 Datei "C:\Windows\SysWOW64\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\24fac7a-34afed51-temp" gehört zu Virus/Spyware 'Mal/JavaJar-A'.
20111024 111352 Datei "C:\Windows\Temp\jar_cache6814449413367570577.tmp" gehört zu Virus/Spyware 'Mal/JavaJar-A'.
20111024 111352 Datei "C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\5FLHOJKN\field[1].swf" wurde bereinigt.
20111024 111352 Virus/Spyware 'Troj/SWFExp-AI' entfernt.
20111024 111352 Datei "C:\Windows\Temp\jar_cache6803460888727090086.tmp" gehört zu Virus/Spyware 'Mal/JavaJar-A'.
20111024 111352 On-Access-Scanner hat den Zugriff auf den Speicherort "C:\Windows\Temp\jar_cache6803460888727090086.tmp" für folgenden Benutzer verweigert: NT-AUTORITÄT\SYSTEM
20111024 111352 Datei "C:\Windows\SysWOW64\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\24fac7a-408fc5af-temp" gehört zu Virus/Spyware 'Mal/JavaJar-A'.
20111024 111352 On-Access-Scanner hat den Zugriff auf den Speicherort "C:\Windows\SysWOW64\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\24fac7a-408fc5af-temp" für folgenden Benutzer verweigert: NT-AUTORITÄT\SYSTEM
20111024 111353 Datei "C:\Windows\SysWOW64\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\24fac7a-408fc5af-temp" gehört zu Virus/Spyware 'Mal/JavaJar-A'.
20111024 111353 Datei "C:\Windows\Temp\jar_cache6803460888727090086.tmp" gehört zu Virus/Spyware 'Mal/JavaJar-A'.
20111024 111353 Datei "C:\Windows\SysWOW64\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\24fac7a-34afed51-temp" gehört zu Virus/Spyware 'Mal/JavaJar-A'.
20111024 111354 Datei "C:\Windows\SysWOW64\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\24fac7a-782353d8-temp" gehört zu Virus/Spyware 'Mal/JavaJar-A'.
20111024 111356 Datei "C:\Windows\Temp\jar_cache1511951832031101667.tmp" gehört zu Virus/Spyware 'Mal/JavaJar-A'.
20111024 111357 Datei "C:\Windows\Temp\jar_cache6814449413367570577.tmp" gehört zu Virus/Spyware 'Mal/JavaJar-A'.
20111024 111358 Datei "C:\Windows\SysWOW64\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\24fac7a-39dca592-temp" gehört zu Virus/Spyware 'Mal/JavaJar-A'.
20111024 111359 Datei "C:\Windows\SysWOW64\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\24fac7a-5e1b326d-temp" gehört zu Virus/Spyware 'Mal/JavaJar-A'.
20111024 111401 Datei "C:\Windows\SysWOW64\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\24fac7a-6e215f0f-temp" gehört zu Virus/Spyware 'Mal/JavaJar-A'.
20111024 111402 Datei "C:\Windows\Temp\jar_cache5594143668072660981.tmp" gehört zu Virus/Spyware 'Mal/JavaJar-A'.
20111024 111402 Der Versuch, eine Maßnahme an einem bereits bearbeiteten Objekt durchzuführen, wurde ignoriert.
20111024 111403 Datei "C:\Windows\SysWOW64\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\24fac7a-34afed51-temp" wurde bereinigt.
20111024 111404 Datei "C:\Windows\SysWOW64\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\24fac7a-782353d8-temp" wurde bereinigt.
20111024 111405 Datei "C:\Windows\Temp\jar_cache1511951832031101667.tmp" wurde bereinigt.
20111024 111407 Datei "C:\Windows\Temp\jar_cache6814449413367570577.tmp" wurde bereinigt.
20111024 111408 Datei "C:\Windows\SysWOW64\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\24fac7a-39dca592-temp" wurde bereinigt.
20111024 111409 Datei "C:\Windows\SysWOW64\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\24fac7a-5e1b326d-temp" wurde bereinigt.
20111024 111410 Datei "C:\Windows\SysWOW64\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\24fac7a-6e215f0f-temp" wurde bereinigt.
20111024 111411 Datei "C:\Windows\Temp\jar_cache5594143668072660981.tmp" wurde bereinigt.
20111024 111411 Virus/Spyware 'Mal/JavaJar-A' entfernt.
20111024 111515 Datei "C:\Windows\Temp\jar_cache6803460888727090086.tmp" gehört zu Virus/Spyware 'Mal/JavaJar-A'.
20111024 111515 On-Access-Scanner hat den Zugriff auf den Speicherort "C:\Windows\Temp\jar_cache6803460888727090086.tmp" für folgenden Benutzer verweigert: NT-AUTORITÄT\SYSTEM
20111024 111521 Datei "C:\Windows\Temp\jar_cache6803460888727090086.tmp" gehört zu Virus/Spyware 'Mal/JavaJar-A'.
20111024 111522 Datei "C:\Windows\Temp\jar_cache6803460888727090086.tmp" wurde bereinigt.
20111024 111522 Virus/Spyware 'Mal/JavaJar-A' entfernt.
(101 Objekte)

Geändert von malika_ (24.10.2011 um 12:48 Uhr) Grund: Protokoll ergänzt

Alt 24.10.2011, 12:58   #2
markusg
/// Malware-holic
 
Facebook scr.datei; jetzt Firewall deaktiviert - Standard

Facebook scr.datei; jetzt Firewall deaktiviert



hi,
1. bitte schau mal in facebook und sende mir den link zu, als private nachicht.
2. du verteilst warscheinlich malware links, überprüfe dass und sende mir alle links zu.
3. informiere den absender der nachicht, er ist mit malware infiziert. er sollte sich hier melden, und er muss jeden seiner kontakte informieren.
jeder der diesen link geöffnet hatt, muss seine kontakte informieren, usw. usw.
also informiere auch du deine kontakte.
__________________

__________________

Alt 24.10.2011, 15:08   #3
malika_
 
Facebook scr.datei; jetzt Firewall deaktiviert - Standard

Facebook scr.datei; jetzt Firewall deaktiviert



Hallo,

auf facebook sind alle informiert. Bis jetzt hat sich noch niemand bei mir gemeldet der von mir einen Link bekommen hätte, und ich selbst konnte auch noch nichts derartiges feststellen.

Link hast du per PN. Mir wärs nur echt wichtig zu wissen ob dieser "backdoor"virus von facebook kommt, und wie ich ihn loswerde (oder ob ich wirklich windows neu aufspielen muss)


edit:Mein sophos meldet mir zZ ständig dass es den thread "Mal/JavaJar-A" in Quarantäne verschoben hat..von dort entfernt es ihn dan allerdings so schnell dass ich ihn nichtmal mehr zu gesicht bekomme. Hängt das alles zusammen?

Im protokoll steht dazu folgende Meldung:

****************** Sophos Anti-Virus Protokoll - 24.10.2011 14:24:15 **************

...
20111024 141944 On-Access-Scanner hat den Zugriff auf den Speicherort "C:\Windows\Temp\jar_cache431422279900127265.tmp" für folgenden Benutzer verweigert: NT-AUTORITÄT\SYSTEM
20111024 141945 Datei "C:\Windows\Temp\jar_cache431422279900127265.tmp" gehört zu Virus/Spyware 'Mal/JavaJar-A'.
...
(2 Objekte)

Besonders das kursiv gedruckte versteh ich nicht.

__________________

Geändert von malika_ (24.10.2011 um 15:25 Uhr)

Alt 24.10.2011, 15:36   #4
markusg
/// Malware-holic
 
Facebook scr.datei; jetzt Firewall deaktiviert - Standard

Facebook scr.datei; jetzt Firewall deaktiviert



hi,
den link habe ich, und der kommt nicht von facebook sondern von einem user der mit malware infiziert ist.
machst du denn mit diesem pc onlinebanking einkäufe oder sonst was wichtiges? bei nem backdoor befall bleibt immer, auch nach reinigung ein gewisses rest risiko.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 24.10.2011, 15:39   #5
malika_
 
Facebook scr.datei; jetzt Firewall deaktiviert - Standard

Facebook scr.datei; jetzt Firewall deaktiviert



Hallo,

nein, online-banking betreibe ich nicht. EInkäufe? Naja, h&m, amazon solche sachen eben..

Du meinst das ist gar kein FB-Virus? aber eig viele meiner freunde haben denselben über fb bekommen (also denselben link).

Naja ist ja egal.

Was soll ich jetzt tun? Und warum findet mein Sophos Antivir ständig irgendwelche JavaJar-A oder sonstwas?

Danke für deine Hilfe!


Alt 24.10.2011, 16:05   #6
markusg
/// Malware-holic
 
Facebook scr.datei; jetzt Firewall deaktiviert - Standard

Facebook scr.datei; jetzt Firewall deaktiviert



nur weil der über facebook kam, heißt es ja nicht das er von facebook selbst gesendet wurde.
diese malware hat automatische verbreitungs mechanissmen, sie wird also automatisch von den infizierten pcs aus über soziale netzwerke oder messenger verteilt.
du kaufst online ein, dann würde ich neu aufsetzen nach daten sicherung
__________________
--> Facebook scr.datei; jetzt Firewall deaktiviert

Alt 24.10.2011, 16:17   #7
malika_
 
Facebook scr.datei; jetzt Firewall deaktiviert - Standard

Facebook scr.datei; jetzt Firewall deaktiviert



Okay, hätte mich auch gewundert wenn mark zuckerberg da viren rumschickt

Und was soll ich jetzt ganz konkret tun?

(neu aufsetzen: genügt passwortänderung?)

Alt 24.10.2011, 16:37   #8
markusg
/// Malware-holic
 
Facebook scr.datei; jetzt Firewall deaktiviert - Standard

Facebook scr.datei; jetzt Firewall deaktiviert



nein, neu aufsetzen heißt windows nach formatierung des pcs neu aufzuspielen, also musst du vorher bilder, dokumente, musik und vidios extern sichern.
passwörter endern macht ja von nem infizierten pc aus keinen sinn
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 24.10.2011, 18:31   #9
malika_
 
Facebook scr.datei; jetzt Firewall deaktiviert - Standard

Facebook scr.datei; jetzt Firewall deaktiviert



Also. Ich muss quasi Windows komplett neu aufspielen, ggf. vorher Dateien sichern.

Bin ich danach sicher wieder virenfrei?
Und was wäre, wenn ich jetzt einfach "nichts" tue? Mein Pc läuft ja so eigentlich normal

edit: ein grade durchgeführter malwarbytes quickscan hat keine infizierten Dateien mehr gezeigt..bin ich den mist also los?


Alt 24.10.2011, 18:33   #10
markusg
/// Malware-holic
 
Facebook scr.datei; jetzt Firewall deaktiviert - Standard

Facebook scr.datei; jetzt Firewall deaktiviert



dann könnte es passieren dass irgendwann jemand in deinem namen einkauft oder sonstige infos von dir abfängt, dein pc zum spam versand oder anderen straftaten verwendet wird etc.
nach dem neu aufsetzen ist man malware frei.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 24.10.2011, 18:50   #11
malika_
 
Facebook scr.datei; jetzt Firewall deaktiviert - Standard

Facebook scr.datei; jetzt Firewall deaktiviert



Oh man ich frag mich echt wer sich so nen mist ausdenkt

Meinst du ich kann es noch riskieren bis Ende der Woche so weiterzumachen?

Hat der ergebnislose Malwarbytes-Scan überhaupt was auszusagen?

Ich könnt mich so ärgern den Link angeklickt zu haben

trotzdem nochmal danke..

also auf meinem PC ist Windows schon vorinstalliert. Neu aufsetzen geht hier glaube ich über die Samsung recovery Solution.

Ich würde folgende Option wählen:

Mit [Vollständige Wiederherstellung] wird Laufwerk C vollständig mit einem Sicherungsabbild überschrieben, um den Computer völlig neu wiederherzustellen.

Mit dieser Funktion wird das Laufwerk C vollständig zum Ursprungs- oder Sicherungszustand des Computers wiederhergestellt. Alle Daten auf Laufwerk C werden gelöscht.

Geändert von malika_ (24.10.2011 um 19:30 Uhr)

Alt 24.10.2011, 19:28   #12
markusg
/// Malware-holic
 
Facebook scr.datei; jetzt Firewall deaktiviert - Standard

Facebook scr.datei; jetzt Firewall deaktiviert



dein Malwarebytes scan war doch nicht ergebniss los.
bis zum ende der woche, ja, aber kein einkaufen mehr.
ich erkläre dir dann alles schritt für schritt
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 24.10.2011, 20:20   #13
markusg
/// Malware-holic
 
Facebook scr.datei; jetzt Firewall deaktiviert - Standard

Facebook scr.datei; jetzt Firewall deaktiviert



hier schon mal die anleitung um die du gebeten hattest.

http://www.trojaner-board.de/96344-a...-rechners.html
Starte bitte mit der Passage, Windows Vista und Windows 7
Bitte beginne damit, Windows Updates zu instalieren.
Am besten geht dies, wenn du über Start, Suchen gehst, und dort Windows Updates eingibst.
Prüfe unter "Einstellungen ändern" dass folgendes ausgewählt ist:
- Updates automatisch Instalieren,
- Täglich
- Uhrzeit wählen
- Bitte den gesammten rest anhaken, außer:
- detailierte benachichtungen anzeigen, wenn neue Microsoft software verfügbar ist.
Klicke jetzt die Schaltfläche "OK"
Klicke jetzt "nach Updates suchen".
Bitte instaliere uzunächst wichtige Updates.
Es wird nötig sein, den PC zwischendurch neu zu starten. falls dies der Fall ist, musst du erneut über Start, Suchen, Windows Update aufrufen, auf Updates suchen klicken und die nächsten instalieren.
Mache das selbe bitte mit den optionalen Updates.
Bitte übernimm den rest so, wie es im Abschnitt windows 7 / Vista zu lesen ist.

Als nächstes kommen wir zu dem Antimalware Programm.
Dieses ist ein wichtiger Bestandteil des Sicherheitskonzeptes, deswegen sollte man sich gut überlegen, welche Wahl man trifft.
Bei den kostenlosen Scannern halte ich Persönlich Avast! für die beste Wahl.
Als kostenpflichtiges würde ich Emsisoft empfehlen
Meine Antivirus-Empfehlung: Emsisoft Anti-Malware
Weitere Vertreter .
kaspersky:
Kaspersky Lab: Antivirus software
Symantec (Norton)
Symantec - AntiVirus, Anti-Spyware, Endpoint Security, Backup, Storage Solutions

Browserwahl:
Da wir häufig mit dem Browser arbeiten, ist diese Wahl natürlich ebenfalls wichtig, die wichtigen Vertreter befinden sich in dem Verlinktem Thema.
In punkto Sicherheit, geschwindigkeit und Komfort ist der Opera weit vorne,
Sandboxie
Die devinition einer Sandbox ist hier nachzulesen:
Sandbox
Kurz gesagt, man kann Programme fast 100 %ig isuliert vom System ausführen.

Der Vorteil liegt klar auf der Hand, wenn über den Browser Schadcode eingeschläust wird, kann dieser nicht nach außen dringen.
Download Link:
http://www.trojaner-board.de/71542-a...sandboxie.html
Wie du evtl. schon gesehen hast, kannst du einige Funktionen nicht nutzen.
Dies ist nur in der Vollversion nötig, zu deren Kauf ich dir rate.
Du kannst zb unter "Erzwungene Programmstarts" festlegen, dass alle Browser in der Sandbox starten.
Ansonsten musst du immer auf "Sandboxed webbrowser" klicken bzw Rechtsklick, in Sandboxie starten.
Eine lebenslange Lizenz kostet 30 €, und ist auf allen deinen PC's nutzbar.

Weiter mit:
- Autorun deaktivieren,
- Update checker instalieren.

Backup Programm:
in meiner Anleitung ist bereits ein Backup Programm verlinkt, als Alternative bietet sich auch das Windows eigene Backup Programm an:
Anleitung: Backup mit Windows 7-Bordmitteln - NETZWELT
Dies ist aber leider nur für Windows 7 Nutzer vernünftig nutzbar.
Alle Anderen sollten sich aber auf jeden fall auch ein Backup Programm instalieren, denn dies kann unter Umständen sehr wichtig sein, zum Beispiel, wenn die Festplatte einmal kaputt ist.

Zum Schluss, die allgemeinen sicherheitstipps beachten, wenn es dich betrifft, den Tipp zum Onlinebanking beachten und alle Passwörter ändern
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 30.10.2011, 14:41   #14
malika_
 
Facebook scr.datei; jetzt Firewall deaktiviert - Standard

Facebook scr.datei; jetzt Firewall deaktiviert



Hallo,

also pc ist jetzt neu aufgesetzt, das hat super geklappt.
Emsisoft ist in der Testversion installiert und hat bei den Scans auch keine schadhaften Dateien mehr gefunden.

Das einzige was mich wundert, ich habe den PC jetzt zum zweiten Mal nach der Installation von Emsisoft gestartet. Dieses fragte mich jetzt gleich wieder ob ich die "Testversion" nutzen will, oder einen Lizenzkey habe. Soweit ja okay, aber muss ich das jetzt wirklich bei jedem neustart bestätigen? Anschließend sucht es nach Updates und scannt den PC erneut.. quasi genauso wie bei der "Erstinstallation".

Zum Backup bin ich leider noch nicht gekommen. Standardbenutzerkonto ist eingerichtet; Windows Updates sind auf dem neuesten Stand.
Als Browser habe ich jetzt Opera.
Als nächstes wollte ich jetzt SEHOP aktivieren und dann morgen (heute hauts zeitlich nicht mehr hin) den Backup der machen (hab aber eh kaum daten drauf zur Zeit .

Ist mein vorgehen soweit okay?

Nochmal vielen dank für die Hilfe

p.s @markus: Leider sind in deiner pn die einstellungen nicht einsehbar für mich. also sie stehen nicht drin

Alt 30.10.2011, 14:54   #15
markusg
/// Malware-holic
 
Facebook scr.datei; jetzt Firewall deaktiviert - Standard

Facebook scr.datei; jetzt Firewall deaktiviert



hi, wir müssen erst mal schauen dass wir das mit emsisoft hinbekommen.
1. lade das neueste setup von der homepage.
2. deinstaliere emsisoft, neustart.
3. nutze dieses tool, neustart
http://tmp.emsisoft.com/fw/emsiclean.exe
4. gehe sicher das du als admin angemeldet bist.
mache nen rechtsklick auf emsisoft, als admin starten, instalation durchführen.
5. neustarten und berichten ob das problem noch auftritt.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Antwort

Themen zu Facebook scr.datei; jetzt Firewall deaktiviert
abhängigkeitsdienst, abhängigkeitsgruppe, antivir, cbs.log, computer, dateien, einstellungen, entfernen, explorer, firewall, forum, jpg, laptop, malwarebytes, maßnahme, microsoft, prefetch, problem, programm, scan, schlimm?, scr.datei, security, software, sophos, system, temp, update, viren, windows, windows firewall



Ähnliche Themen: Facebook scr.datei; jetzt Firewall deaktiviert


  1. Firewall deaktiviert , Fehler 0x80070422
    Log-Analyse und Auswertung - 24.10.2015 (9)
  2. Firewall deaktiviert sich selbstständig
    Plagegeister aller Art und deren Bekämpfung - 21.08.2015 (4)
  3. WIN XP-Nach der Anmeldung ist kurz die Firewall deaktiviert.
    Antiviren-, Firewall- und andere Schutzprogramme - 24.11.2013 (16)
  4. Windows 7: Firewall plötzlich deaktiviert?
    Netzwerk und Hardware - 20.04.2012 (1)
  5. Kaspersky und Firewall Automatisch deaktiviert!
    Plagegeister aller Art und deren Bekämpfung - 30.11.2011 (7)
  6. Kaspersky und Firewall Automatisch deaktiviert!
    Antiviren-, Firewall- und andere Schutzprogramme - 30.11.2011 (2)
  7. csrss.exe Virus? Firewall deaktiviert und gesperrt
    Plagegeister aller Art und deren Bekämpfung - 19.07.2011 (17)
  8. Firewall deaktiviert und div. andere probleme
    Log-Analyse und Auswertung - 25.09.2010 (1)
  9. Firewall deaktiviert. Mehrere Trojaner gefunden.
    Log-Analyse und Auswertung - 11.05.2010 (2)
  10. Firewall beim Start IMMER deaktiviert
    Plagegeister aller Art und deren Bekämpfung - 12.11.2009 (35)
  11. Firewall und Virenscanner werden deaktiviert
    Log-Analyse und Auswertung - 02.03.2009 (0)
  12. Anti Vir Guard deaktiviert, Windows Firewall deaktiviert und andere Miseren...
    Log-Analyse und Auswertung - 24.01.2009 (13)
  13. Firewall AntiSPy, Antivirus automatisch deaktiviert: HELP plz
    Log-Analyse und Auswertung - 13.01.2007 (1)
  14. SP2 Firewall ist deaktiviert!
    Antiviren-, Firewall- und andere Schutzprogramme - 01.11.2006 (21)
  15. Einstellungen für WinXp Firewall deaktiviert
    Alles rund um Windows - 04.07.2005 (4)
  16. Windows Firewall nach Trojanerbefall deaktiviert
    Alles rund um Windows - 08.04.2005 (2)
  17. unerkannter Trojaner, der firewall deaktiviert
    Log-Analyse und Auswertung - 06.01.2005 (1)

Zum Thema Facebook scr.datei; jetzt Firewall deaktiviert - Hallo, das Problem mit den FB-Virus haben ja anscheinend einige. Ich auch Ich habe also diese Datei, die sich als jpg tarnt angeklickt. Daraufhin hat mich mein Windows Security Center - Facebook scr.datei; jetzt Firewall deaktiviert...
Archiv
Du betrachtest: Facebook scr.datei; jetzt Firewall deaktiviert auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.