Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Eventuell Informationen zum GEMA Virus

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 28.03.2012, 07:33   #1
StaySharp
 
Eventuell Informationen zum GEMA Virus - Standard

Eventuell Informationen zum GEMA Virus



Wie am Titel zu erkennen ist habe ich mir vor kurzem den GEMA virus eingefangen, auch wenn das nicht mein Grund ist hier zu posten da ich mit dem Virus zurecht komme, gehe ich mal kurz darauf ein.

Ich ging um etwa 1:00 heute ins Bett um für etwa 4 stunden zu schlafen, als ich dann um etwa 5:10 meinen Bildschirm angemacht habe hab ich auch schon den Virus mit der GEMA zu sehen bekommen. Da ich keinen anderen Internetfähigen PC bei mir hatte habe ich erstmal einen reset durchgeführt, und den PC normal wieder gestartet. Anschließend habe ich den Task-Manager gestartet und den gema Prozess (welcher sehr offensichtlich als solcher zu sehen war) abgeschossen bevor er etwas sperren konnte (hat 1 mal versucht sich wieder zu starten, aber dann "aufgegeben"). Nun habe ich mir schnell im Internet alle Informationen zu dem Virus gesucht die ich auf die schnelle finden konnte und hier im forum 2 Verzeichnisse dabei gefunden in denen das Programm war:
C:\ProgramData\gema\gema.exe
C:\Users\X\AppData\Roaming\gema\gema.exe
Also erstmal endgültig gelöscht damit mein einziger verwendbarer PC nicht vor meinen Augen die fliege macht.

Ich habe Avast und konnte bestätigen das es momentan noch nicht in der Lage ist den Virus zu erkennen, entsprechend war der echtzeitschutz relativ unnütz. Allerdings konnte ich den log von Avast mit dem erstellungsdatum der oben genannten Datei nutzen um die Datei ausfindig zu machen von denen der Virus nach ProgramData kopiert wurde:
C:\Users\X\AppData\Local\Temp\cgs8h0.exe

Ich würde wenn möglich gerne dazu beitragen zu verstehen wie man sich den Virus einfängt. 100% sicher bin ich mir nicht aber ich denke ich kann einiges auschließen.
Der Virus wurde um 1:12 installiert.
Die letzte Webseite die ich besucht habe war dict.cc (online-Wörterbuch) um 1:00, und 90 minuten davor war ich auf youtube, lediglich ein einzelner Seitenaufruf. Ich glaube aber das diese Seiten damit nix zu tun haben, dafür gibt es einfach keine Anzeichen. Der letzte (zumindest bewusst getätigte) download liegt auch einige Stunden zurück, und da das nix suspektes oder auch nur unbekanntes war geh ich mal schwer davon aus das es das auch nicht war. Ich bin zwar nicht extrem erfahren was Viren angeht aber ich würde schon sagen das ich ne Menge mehr davon verstehe als der durchschnittliche User. Mein letzter Virus den ich hatte ist schon etwa 4 Jahre her, was dafür spricht das ich weiß mich von allen gefährlichen quellen für Viren fernzuhalten.

Nun zum eigentlichen Teil und hoffentlich interessanten Teil. Ich habe vor kurzem den VLC Media Player aktualisiert habe und siehe an was ich in oben besagter cgs8h0.exe in der Beschreibung finde:

Datei: cgs8h0.exe
Firma: the VideoLAN Team

was sich von der Beschreibung des VLC selbst nur minimal unterscheidet:

Datei: vlc.exe
Firma: VideoLAN

Ich bin mir ja sicher das die Leute von VLC den virus nicht programmiert haben aber dem nach zu schließen wird es vermutlich irgendwas mit dem VLC zu tun gehabt haben. Jener war zu der Zeit zwar geschlossen, aber wenn es eine sicherheitslücke im VLC gibt schätze ich mal hätte man den internen downloader des VLC missbrauchen können.
Nun meine frage: irgendeine Idee wie ich herausfinden kann ob VLC der täter ist und was es mit dieser doch sehr auffälligen "Firma" in der Beschreibung zu tun haben könnte?

Alt 28.03.2012, 12:52   #2
markusg
/// Malware-holic
 
Eventuell Informationen zum GEMA Virus - Standard

Eventuell Informationen zum GEMA Virus



hi,
hast du die datei noch?
falls ja, mal hochladen bitte:
Trojaner-Board Upload Channel
und bescheid geben wenn dies erledigt wurde
__________________

__________________

Alt 29.03.2012, 02:56   #3
StaySharp
 
Eventuell Informationen zum GEMA Virus - Standard

Eventuell Informationen zum GEMA Virus



Es ist nicht die cgs8h0.exe aber ich habe eine der 2 gema.exe'n archiviert und habe sie hochgeladen. Alle drei dateien hatten die selbe größe, das selbe symbol und auch sonst überschneidende Eigenschaften, ich gehe also auch davon aus das alle 3 gleich sind abgesehen vom namen. Finde dort ebenfalls VideoLAN in in der vermeintlichen Firma. Ich musste die Datei allerdings wiederherstellen da obwohl ich sie bereits archivieren wollte sie nach äußerer Ablenkung schön gelöscht habe. Avast ist jetzt allerdings in der lage den Virus zu erkennen und ist auch sofort drauf angesprungen also ist die Datei wohl im Ursprungszustand.
__________________

Alt 29.03.2012, 12:03   #4
markusg
/// Malware-holic
 
Eventuell Informationen zum GEMA Virus - Standard

Eventuell Informationen zum GEMA Virus



eingefangen hast du es dir evtl. über sicherheitslücken.
mal schauen.
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.
Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 29.03.2012, 17:21   #5
StaySharp
 
Eventuell Informationen zum GEMA Virus - Standard

Eventuell Informationen zum GEMA Virus



So hab Combofix wie genannt ausgeführt, Komplikationen gab es keine. Hab selbst mal einen neugierigen blick in den log geworfen aber wie zu erwarten nix ungewöhnliches gefunden, abseits vielleicht von ein paar Programmen und Treibern die ich wiedererkannt habe.

Combofix hat allerdings noch eine gema.exe in system32 gefunden. Im nachhinein wundere ich mich das ich da nicht schon selbst nachgeschaut habe. Die Datei habe ich mir mal in der Qoobox kurz angeschaut, gleicher name, gleiche größe und gleiches Erstelldatum. Also vermutlich nicht mehr als die 4te Kopie.
Zu den anderen gelöschten Dateien kann ich nichts sagen ausser das ich mich schon ein bisschen wundere das er AppLocale gelöscht hat.

Nebenbei erwähnt sei schonmal das ich immer mit dem Haupt Administrator Konto arbeite, eine Entscheidung mit Risiken und Vorteilen die ich für mich selbst abgewägt habe. Ich habe in anderen Themen gelesen das bei ihnen der Task-Manager gesperrt wurde was bei mir nicht der fall war, könnte das daran liegen?

Naja hier der log:
Code:
ATTFilter
ComboFix 12-03-29.02 - Administrator 29.03.2012  16:09:30.1.4 - x64
Microsoft Windows 7 Ultimate   6.1.7601.1.1252.49.1031.18.12221.6902 [GMT 2:00]
ausgeführt von:: c:\users\Administrator\Desktop\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}
SP: avast! Antivirus *Disabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Administrator\AppData\Local\assembly\tmp
c:\users\Administrator\AppData\Roaming\logs.dat
c:\windows\apppatch\AppLoc.exe
c:\windows\AppPatch\Custom\{deb7008b-681e-4a4a-8aae-cc833e8216ce}.sdb
c:\windows\IsUn0407.exe
c:\windows\system32\gema.exe
F:\install.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-02-28 bis 2012-03-29  ))))))))))))))))))))))))))))))
.
.
2012-03-29 14:14 . 2012-03-29 14:14	--------	d-----w-	c:\users\Default\AppData\Local\temp
2012-03-28 03:39 . 2012-03-14 03:27	8669240	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{2999B6BA-4CBB-4124-B08F-14A82BA23267}\mpengine.dll
2012-03-28 03:27 . 2012-03-06 23:02	53080	----a-w-	c:\windows\system32\drivers\aswRdr2.sys
2012-03-21 00:15 . 2012-03-21 00:15	--------	d-----w-	c:\program files (x86)\AVIConverter
2012-03-20 07:59 . 2012-03-20 07:59	592824	----a-w-	c:\program files (x86)\Mozilla Firefox\gkmedias.dll
2012-03-20 07:59 . 2012-03-20 07:59	44472	----a-w-	c:\program files (x86)\Mozilla Firefox\mozglue.dll
2012-03-17 11:59 . 2011-11-19 15:20	5559152	----a-w-	c:\windows\system32\ntoskrnl.exe
2012-03-17 11:59 . 2011-11-19 14:50	3968368	----a-w-	c:\windows\SysWow64\ntkrnlpa.exe
2012-03-17 11:59 . 2011-11-19 14:50	3913584	----a-w-	c:\windows\SysWow64\ntoskrnl.exe
2012-03-13 20:02 . 2012-02-03 04:34	3145728	----a-w-	c:\windows\system32\win32k.sys
2012-03-13 20:02 . 2012-02-10 06:36	1544192	----a-w-	c:\windows\system32\DWrite.dll
2012-03-13 20:02 . 2012-02-10 05:38	1077248	----a-w-	c:\windows\SysWow64\DWrite.dll
2012-03-13 17:25 . 2012-01-25 06:38	149504	----a-w-	c:\windows\system32\rdpcorekmts.dll
2012-03-13 17:25 . 2012-01-25 06:33	9216	----a-w-	c:\windows\system32\rdrmemptylst.exe
2012-03-13 17:25 . 2012-01-25 06:38	77312	----a-w-	c:\windows\system32\rdpwsx.dll
2012-03-13 17:25 . 2012-02-17 06:38	1112064	----a-w-	c:\windows\system32\rdpcorets.dll
2012-03-13 17:25 . 2012-02-17 06:38	1031680	----a-w-	c:\windows\system32\rdpcore.dll
2012-03-13 17:25 . 2012-02-17 05:34	826880	----a-w-	c:\windows\SysWow64\rdpcore.dll
2012-03-13 17:25 . 2012-02-17 04:58	210944	----a-w-	c:\windows\system32\drivers\rdpwd.sys
2012-03-13 17:25 . 2012-02-17 04:57	23552	----a-w-	c:\windows\system32\drivers\tdtcp.sys
2012-03-12 19:56 . 2012-01-04 10:44	509952	----a-w-	c:\windows\system32\ntshrui.dll
2012-03-12 19:56 . 2012-01-04 08:58	442880	----a-w-	c:\windows\SysWow64\ntshrui.dll
2012-03-12 19:56 . 2011-12-30 06:26	515584	----a-w-	c:\windows\system32\timedate.cpl
2012-03-12 19:56 . 2011-12-30 05:27	478720	----a-w-	c:\windows\SysWow64\timedate.cpl
2012-03-12 19:56 . 2011-12-28 03:59	498688	----a-w-	c:\windows\system32\drivers\afd.sys
2012-03-12 19:55 . 2011-12-16 08:46	634880	----a-w-	c:\windows\system32\msvcrt.dll
2012-03-12 19:55 . 2011-12-16 07:52	690688	----a-w-	c:\windows\SysWow64\msvcrt.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-03-18 15:22 . 2011-08-27 02:18	414368	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-03-06 23:15 . 2011-08-28 13:00	41184	----a-w-	c:\windows\avastSS.scr
2012-03-06 23:15 . 2011-08-28 13:00	201352	----a-w-	c:\windows\SysWow64\aswBoot.exe
2012-03-06 23:15 . 2011-08-28 13:00	258520	----a-w-	c:\windows\system32\aswBoot.exe
2012-03-06 23:04 . 2011-08-28 13:01	819032	----a-w-	c:\windows\system32\drivers\aswSnx.sys
2012-03-06 23:04 . 2011-08-28 13:01	337240	----a-w-	c:\windows\system32\drivers\aswSP.sys
2012-03-06 23:01 . 2011-08-28 13:01	59224	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2012-03-06 23:01 . 2011-08-28 13:00	69976	----a-w-	c:\windows\system32\drivers\aswMonFlt.sys
2012-03-06 23:01 . 2011-08-28 13:01	24408	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2012-02-23 08:18 . 2009-10-14 05:13	279656	------w-	c:\windows\system32\MpSigStub.exe
2012-01-27 14:18 . 2011-08-27 02:49	188128	----a-w-	c:\programdata\Microsoft\VCSExpress\10.0\1033\ResourceCache.dll
2012-01-19 04:25 . 2012-01-19 04:25	40960	----a-r-	c:\users\Administrator\AppData\Roaming\Microsoft\Installer\{F5DCB11C-8F09-4C71-B952-B96DBB4E6584}\NewShortcut1_F5DCB11C8F094C71B952B96DBB4E6584_2.exe
2006-05-03 10:06	163328	--sha-r-	c:\windows\SysWOW64\flvDX.dll
2007-02-21 11:47	31232	--sha-r-	c:\windows\SysWOW64\msfDX.dll
2008-03-16 13:30	216064	--sha-r-	c:\windows\SysWOW64\nbDX.dll
2010-01-06 22:00	107520	--sha-r-	c:\windows\SysWOW64\TAKDSDecoder.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Steam"="c:\program files (x86)\Steam\Steam.exe" [2011-08-29 1242448]
"Miranda Fusion"="c:\program files (x86)\MirandaFusion\fusiontools\mfstart.exe" [2011-03-28 967508]
"DAEMON Tools Lite"="c:\program files (x86)\DAEMON Tools Lite\DTLite.exe" [2011-11-10 3514176]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"SwitchBoard"="c:\program files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe" [2010-02-19 517096]
"AdobeCS5ServiceManager"="c:\program files (x86)\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" [2010-02-22 406992]
"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2012-03-06 4241512]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"adm_tray.exe"="c:\program files (x86)\Acronis\DriveMonitor\adm_tray.exe" [2011-02-24 470120]
"APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2011-10-24 421888]
"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2011-12-05 343168]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\program files\Microsoft Office\Office14\GROOVE.EXE [2011-06-12 51740536]
R3 ose64;Office 64 Source Engine;c:\program files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2010-01-09 174440]
R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4925184]
R3 pwdrvio;pwdrvio;c:\windows\system32\pwdrvio.sys [x]
R3 pwdspio;pwdspio;c:\windows\system32\pwdspio.sys [x]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [x]
R3 SwitchBoard;SwitchBoard;c:\program files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [2010-02-19 517096]
R3 Synth3dVsc;Synth3dVsc;c:\windows\system32\drivers\synth3dvsc.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 tsusbhub;tsusbhub;c:\windows\system32\drivers\tsusbhub.sys [x]
R3 VGPU;VGPU;c:\windows\system32\drivers\rdvgkmd.sys [x]
S0 ahcix64s;ahcix64s;c:\windows\system32\DRIVERS\ahcix64s.sys [x]
S0 sptd;sptd;c:\windows\\SystemRoot\System32\Drivers\sptd.sys [x]
S1 aswSnx;aswSnx; [x]
S1 aswSP;aswSP; [x]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-01-03 63928]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]
S2 AMD FUEL Service;AMD FUEL Service;c:\program files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe [2011-12-05 361984]
S2 AMD_RAIDXpert;AMD RAIDXpert;c:\program files (x86)\AMD\RAIDXpert\bin\RAIDXpertService.exe [2011-02-15 128904]
S2 AODDriver4.01;AODDriver4.01;c:\program files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [2011-06-24 55424]
S2 Apache2.2;Apache2.2;c:\xampp\apache\bin\httpd.exe [2011-09-10 18432]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [x]
S2 HWSuperPowerTablet;HWSuperPowerTablet;c:\windows\jwpen.exe [2010-02-05 77016]
S3 amdiox64;AMD IO Driver;c:\windows\system32\DRIVERS\amdiox64.sys [x]
S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [x]
S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [x]
S3 AtiHDAudioService;AMD Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdW76.sys [x]
S3 EtronHub3;Etron USB 3.0 Extensible Hub Driver;c:\windows\system32\Drivers\EtronHub3.sys [x]
S3 EtronXHCI;Etron USB 3.0 Extensible Host Controller Driver;c:\windows\system32\Drivers\EtronXHCI.sys [x]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [x]
S3 usbfilter;AMD USB Filter Driver;c:\windows\system32\DRIVERS\usbfilter.sys [x]
S3 VHWDrawing;HanWang Drawing Tablet;c:\windows\system32\DRIVERS\HWDrawing.sys [x]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2012-03-06 23:15	135408	----a-w-	c:\program files\AVAST Software\Avast\ashShA64.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AdobeAAMUpdater-1.0"="c:\program files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2010-03-06 500208]
"BCSSync"="c:\program files\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 112512]
"Acronis Scheduler2 Service"="c:\program files (x86)\Common Files\Acronis\Schedule2\schedhlp.exe" [2011-02-12 462400]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: An OneNote s&enden - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105
IE: Nach Microsoft E&xcel exportieren - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000
IE: Sothink SWF Catcher - c:\program files (x86)\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\bm1wixgw.default\
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?sourceid=navclient&hl=de&q=
FF - prefs.js: network.proxy.http - accessthoseblocked.info
FF - prefs.js: network.proxy.type - 0
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Wow6432Node-HKCU-Run-Cobian Backup 9 - e:\program files (x86)\Cobian Backup 9\Cobian.exe
Wow6432Node-HKCU-Run-AdobeBridge - (no file)
Wow6432Node-HKCU-Run-gema - c:\users\Administrator\AppData\Roaming\gema\gema.exe
Wow6432Node-HKLM-Run-gema. - c:\programdata\gema\gema.exe
AddRemove-Adobe Shockwave Player - c:\windows\system32\Adobe\Shockwave 11\uninstaller.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1884003260-2218531522-139460113-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,29,df,ed,4f,a3,6a,32,43,85,92,29,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,29,df,ed,4f,a3,6a,32,43,85,92,29,\
.
[HKEY_USERS\S-1-5-21-1884003260-2218531522-139460113-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.001\UserChoice]
@Denied: (2) (Administrator)
"Progid"="Applications\\7zFM.exe"
.
[HKEY_USERS\S-1-5-21-1884003260-2218531522-139460113-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.bmp\UserChoice]
@Denied: (2) (Administrator)
"Progid"="PhotoViewer.FileAssoc.Bitmap"
.
[HKEY_USERS\S-1-5-21-1884003260-2218531522-139460113-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.bz2\UserChoice]
@Denied: (2) (Administrator)
"Progid"="WinRAR"
.
[HKEY_USERS\S-1-5-21-1884003260-2218531522-139460113-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.det\UserChoice]
@Denied: (2) (Administrator)
"Progid"="Applications\\NOTEPAD.EXE"
.
[HKEY_USERS\S-1-5-21-1884003260-2218531522-139460113-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.dll\UserChoice]
@Denied: (2) (Administrator)
"Progid"="Applications\\VCSExpress.exe"
.
[HKEY_USERS\S-1-5-21-1884003260-2218531522-139460113-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.gif\UserChoice]
@Denied: (2) (Administrator)
@Denied: (2) (Administrator)
"Progid"="Applications\\photoviewer.dll"
.
[HKEY_USERS\S-1-5-21-1884003260-2218531522-139460113-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.gz\UserChoice]
@Denied: (2) (Administrator)
"Progid"="WinRAR"
.
[HKEY_USERS\S-1-5-21-1884003260-2218531522-139460113-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.htm\UserChoice]
@Denied: (2) (Administrator)
@Denied: (2) (Administrator)
"Progid"="FirefoxHTML"
.
[HKEY_USERS\S-1-5-21-1884003260-2218531522-139460113-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html\UserChoice]
@Denied: (2) (Administrator)
@Denied: (2) (Administrator)
"Progid"="FirefoxHTML"
.
[HKEY_USERS\S-1-5-21-1884003260-2218531522-139460113-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jpg\UserChoice]
@Denied: (2) (Administrator)
"Progid"="jpegfile"
.
[HKEY_USERS\S-1-5-21-1884003260-2218531522-139460113-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.mov\UserChoice]
@Denied: (2) (Administrator)
"Progid"="VLC.mov"
.
[HKEY_USERS\S-1-5-21-1884003260-2218531522-139460113-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.mp3\UserChoice]
@Denied: (2) (Administrator)
"Progid"="Winamp.File.MP3"
.
[HKEY_USERS\S-1-5-21-1884003260-2218531522-139460113-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.mp4\UserChoice]
@Denied: (2) (Administrator)
"Progid"="VLC.mp4"
.
[HKEY_USERS\S-1-5-21-1884003260-2218531522-139460113-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.nfo\UserChoice]
@Denied: (2) (Administrator)
"Progid"="Applications\\notepad.exe"
.
[HKEY_USERS\S-1-5-21-1884003260-2218531522-139460113-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ogg\UserChoice]
@Denied: (2) (Administrator)
"Progid"="Winamp.File.OGG"
.
[HKEY_USERS\S-1-5-21-1884003260-2218531522-139460113-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.php\UserChoice]
@Denied: (2) (Administrator)
"Progid"="Applications\\wordpad.exe"
.
[HKEY_USERS\S-1-5-21-1884003260-2218531522-139460113-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.png\UserChoice]
@Denied: (2) (Administrator)
"Progid"="PhotoViewer.FileAssoc.Png"
.
[HKEY_USERS\S-1-5-21-1884003260-2218531522-139460113-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.shtml\UserChoice]
@Denied: (2) (Administrator)
@Denied: (2) (Administrator)
"Progid"="FirefoxHTML"
.
[HKEY_USERS\S-1-5-21-1884003260-2218531522-139460113-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.swf\UserChoice]
@Denied: (2) (Administrator)
"Progid"="swf_auto_file"
.
[HKEY_USERS\S-1-5-21-1884003260-2218531522-139460113-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.wma\UserChoice]
@Denied: (2) (Administrator)
"Progid"="Winamp.File.WMA"
.
[HKEY_USERS\S-1-5-21-1884003260-2218531522-139460113-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xht\UserChoice]
@Denied: (2) (Administrator)
@Denied: (2) (Administrator)
"Progid"="FirefoxHTML"
.
[HKEY_USERS\S-1-5-21-1884003260-2218531522-139460113-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xhtml\UserChoice]
@Denied: (2) (Administrator)
@Denied: (2) (Administrator)
"Progid"="FirefoxHTML"
.
[HKEY_USERS\S-1-5-21-1884003260-2218531522-139460113-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xml\UserChoice]
@Denied: (2) (Administrator)
"Progid"="Applications\\NOTEPAD.EXE"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files\AVAST Software\Avast\AvastSvc.exe
c:\program files (x86)\AMD\RAIDXpert\bin\RAIDXpert.exe
c:\windows\SysWOW64\srvany.exe
c:\windows\KMService.exe
c:\program files (x86)\Common Files\Microsoft Shared\Ink\TabTip32.exe
c:\program files (x86)\MirandaFusion\miranda32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-03-29  16:23:17 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-03-29 14:23
.
Vor Suchlauf: 12 Verzeichnis(se), 337.957.146.624 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 340.012.404.736 Bytes frei
.
- - End Of File - - 2077B0B8ADFF69D091EDC03952D1C657
         
Noch ne kleine Frage, falls die beantwortbar ist: was macht denn dieses "FF - prefs.js: network.proxy.http - accessthoseblocked.info" unter der Kategore "Zusätzlicher Suchlauf" da? Klingt für den Laien jetzt gerade etwas suspekt.


Alt 29.03.2012, 20:20   #6
markusg
/// Malware-holic
 
Eventuell Informationen zum GEMA Virus - Standard

Eventuell Informationen zum GEMA Virus



malwarebytes:
Downloade Dir bitte Malwarebytes
  • Installiere
    das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche
    nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet
    ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste
    das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.
__________________
--> Eventuell Informationen zum GEMA Virus

Alt 30.03.2012, 02:15   #7
StaySharp
 
Eventuell Informationen zum GEMA Virus - Standard

Eventuell Informationen zum GEMA Virus



Naja, da ist nun mal nichts neues bei rumgekommen:
Code:
ATTFilter
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.03.29.07

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Administrator :: DARK_OUTPOST [Administrator]

30.03.2012 00:49:33
mbam-log-2012-03-30 (02-09-04).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 408409
Laufzeit: 1 Stunde(n), 3 Minute(n), 10 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Qoobox\Quarantine\C\Windows\System32\gema.exe.vir (Backdoor.Agent) -> Keine Aktion durchgeführt.

(Ende)
         
Das einzigste was er also gefunden hat ist die bereits in Quarantäne verschobene letzte Instanz des Virus, nichts anderes. Naja es sieht nicht so aus als ob ich noch rausfinden würde wo genau ich mir den eingefangen hab. Sauberer werde ich den PC wohl auch nicht mehr bekommen.
Übrigens, da steht zwar keine Aktion durchgeführt, aber auch lediglich weil ich den Virus nach erstellen des logs endgültig gelöscht habe.

Gibt es da sonst noch möglichkeiten rauszufinden wo der her kam?

Alt 30.03.2012, 12:32   #8
markusg
/// Malware-holic
 
Eventuell Informationen zum GEMA Virus - Standard

Eventuell Informationen zum GEMA Virus



durch sicherheitslücken, die wir jetzt schließen.

lade den CCleaner standard:
CCleaner Download - CCleaner 3.17.1689
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 30.03.2012, 15:13   #9
StaySharp
 
Eventuell Informationen zum GEMA Virus - Standard

Eventuell Informationen zum GEMA Virus



Das sollte ja nicht unnötig kompliziert werden da sich in dieser Liste keine mir unbekannten Programme aufhalten.

Code:
ATTFilter
Bekannt - Erwünscht/Benötigt

7-PDF Maker Version 1.3.0 (Build 148)	7-PDF, Germany - Thorsten Hodes	27.01.2012	60,1MB	7-PDF Maker - Version 1.3.0 (Build 148)
7-PDF Split & Merge Version 2.0.2 (Build 234)	7-PDF, Germany - Thorsten Hodes	27.01.2012	3,74MB	7-PDF Split & Merge - Version 2.0.2 (Build 234)
7-Zip 9.20 (x64 edition)	Igor Pavlov	27.08.2011	4,53MB	9.20.00.0
Acronis Drive Monitor	Acronis	06.01.2012	23,1MB	1.0.566
Adobe AIR	Adobe Systems Incorporated	02.01.2012		3.0.0.4080
Adobe Community Help	Adobe Systems Incorporated	26.08.2011		3.0.0.400
Adobe Flash Player 11 Plugin 64-bit	Adobe Systems Incorporated	17.03.2012	6,00MB	11.1.102.63
Adobe Media Player	Adobe Systems Incorporated	26.08.2011		1.8
Adobe Photoshop CS5	Adobe Systems Incorporated	26.08.2011	2.595MB	12.0
Adobe Reader X (10.1.2) - Deutsch	Adobe Systems Incorporated	10.01.2012	120,9MB	10.1.2
Adobe Shockwave Player 11.6	Adobe Systems, Inc.	01.09.2011		11.6.1.629
AMD Catalyst Install Manager	Advanced Micro Devices, Inc.	04.02.2012	26,3MB	3.0.859.0
Apple Application Support	Apple Inc.	18.01.2012	61,2MB	2.1.5
Audacity 1.3.13 (Unicode)	Audacity Team	26.09.2011	40,2MB	
avast! Free Antivirus	AVAST Software	27.03.2012		7.0.1426.0
CCleaner	Piriform	29.03.2012		3.17
DAEMON Tools Lite	DT Soft Ltd	01.01.2012		4.45.1.0236
Etron USB3.0 Host Controller	Etron Technology	26.08.2011	5,19MB	0.98
GIF Viewer 3.0	Stefan Wobbe	27.09.2011		3.0
GIMP 2.6.11	The GIMP Team	26.08.2011	107,7MB	2.6.11
HWTablet	HanWang	03.11.2011		3.00.0000
Java(TM) 6 Update 29	Oracle	27.08.2011	95,0MB	6.0.290
JDownloader 0.9	AppWork GmbH	27.08.2011		0.9
Lightened Dream	lucidcode	30.01.2012	21,5MB	3.2.1
Logon Screen	Daniel Rebelo	26.08.2011	2,86MB	
Lucid Scribe	lucidcode	01.02.2012	35,3MB	1.0.8
Malwarebytes Anti-Malware Version 1.60.1.1000	Malwarebytes Corporation	28.03.2012	17,4MB	1.60.1.1000
Microsoft .NET Framework 4 Client Profile	Microsoft Corporation	26.08.2011	38,8MB	4.0.30319
Microsoft .NET Framework 4 Extended	Microsoft Corporation	26.08.2011	52,0MB	4.0.30319
Microsoft .NET Framework 4 Multi-Targeting Pack	Microsoft Corporation	26.08.2011	83,5MB	4.0.30319
Microsoft AppLocale	MS	12.12.2011	3,62MB	1.0.0
Microsoft Help Viewer 1.1	Microsoft Corporation	26.10.2011	3,97MB	1.1.40219
Microsoft Office Professional Plus 2010	Microsoft Corporation	06.09.2011		14.0.6029.1000
Microsoft Silverlight	Microsoft Corporation	16.03.2012	74,6MB	4.1.10111.0
Microsoft SQL Server 2005 Compact Edition [ENU]	Microsoft Corporation	02.09.2011	1,70MB	3.1.0000
Microsoft SQL Server 2008 R2 Management Objects	Microsoft Corporation	26.10.2011	12,5MB	10.50.1750.9
Microsoft SQL Server Compact 3.5 SP2 ENU	Microsoft Corporation	26.08.2011	3,40MB	3.5.8080.0
Microsoft SQL Server Compact 3.5 SP2 x64 ENU	Microsoft Corporation	26.08.2011	4,51MB	3.5.8080.0
Microsoft SQL Server System CLR Types	Microsoft Corporation	26.10.2011	0,91MB	10.50.1750.9
Microsoft Visual C# 2010 Express - ENU	Microsoft Corporation	26.10.2011		10.0.40219
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053	Microsoft Corporation	23.01.2012	0,24MB	8.0.50727.4053
Microsoft Visual C++ 2005 Redistributable	Microsoft Corporation	02.09.2011	0,29MB	8.0.56336
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17	Microsoft Corporation	31.08.2011	0,23MB	9.0.30729
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148	Microsoft Corporation	27.08.2011	0,22MB	9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4974	Microsoft Corporation	26.08.2011	0,58MB	9.0.30729.4974
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161	Microsoft Corporation	02.09.2011	0,59MB	9.0.30729.6161
Microsoft Visual C++ 2010  x64 Redistributable - 10.0.40219	Microsoft Corporation	01.11.2011	13,8MB	10.0.40219
Microsoft Visual C++ 2010  x64 Runtime - 10.0.40219	Microsoft Corporation	26.10.2011	33,5MB	10.0.40219
Microsoft Visual C++ 2010  x86 Runtime - 10.0.40219	Microsoft Corporation	26.10.2011	26,3MB	10.0.40219
Microsoft Visual Studio 2010 ADO.NET Entity Framework Tools	Microsoft Corporation	26.10.2011	34,2MB	10.0.40219
Microsoft Visual Studio 2010 Express Prerequisites x64 - ENU	Microsoft Corporation	26.10.2011	21,6MB	10.0.40219
Microsoft Visual Studio 2010 Service Pack 1	Microsoft Corporation	26.10.2011	76,0MB	10.0.40219
Microsoft Visual Studio 2010 Tools for Office Runtime (x64)	Microsoft Corporation	17.12.2011		10.0.31119
Microsoft Windows Application Compatibility Database		12.12.2011		
MiniTool Partition Wizard Home Edition 6.0	MiniTool Solution Ltd.	26.08.2011	21,5MB	
Miranda Fusion 3.1.11.0	Miranda Fusion Team	21.03.2012	27,5MB	3.1.11.0
Mouse	lucidcode	05.02.2012	0,42MB	1.0.6
Mozilla Firefox 11.0 (x86 de)	Mozilla	19.03.2012	37,3MB	11.0
MSXML 4.0 SP2 (KB954430)	Microsoft Corporation	01.09.2011	1,28MB	4.20.9870.0
MSXML 4.0 SP2 (KB973688)	Microsoft Corporation	01.09.2011	1,33MB	4.20.9876.0
Nano AVIConverter 1.1.7		20.03.2012		1.1.7
NetBeans IDE 7.0.1	NetBeans.org	23.10.2011		7.0.1
NVIDIA PhysX v8.10.17	NVIDIA Corporation	13.09.2011	119,4MB	8.10.17
OpenAL		30.08.2011		
OpenTK 1.0	The Open Toolkit team	09.04.2011		1.0
PandoraRecovery (Remove Only)		28.11.2011		
Plants vs. Zombies: Game of the Year	PopCap	10.02.2012			
QuickTime	Apple Inc.	18.01.2012	73,3MB	7.71.80.42
RAIDXpert	AMD	26.08.2011	117,8MB	3.3.1540.7
Realtek Ethernet Controller Driver	Realtek	26.08.2011		7.38.113.2011
Skype™ 5.5	Skype Technologies S.A.	12.12.2011	19,1MB	5.5.124
SpeedFan (remove only)		26.09.2011		
Star Trek Online	Cryptic Studios	13.02.2012		
Steam	Valve Corporation	28.08.2011	35,5MB	1.0.0.0
SUPER © v2011.build.49 (July 1st, 2011) Version v2011.build.49	eRightSoft	10.09.2011	42,7MB	v2011.build.49
Team Fortress 2	Valve	22.12.2011		
Unreal Tournament 2004	Epic Games	03.12.2011		1.00.0000
Visual Studio 2010 Tools for SQL Server Compact 3.5 SP2 ENU	Microsoft Corporation	26.08.2011	10,8MB	4.0.8080.0
VLC media player 2.0.1	VideoLAN	21.03.2012		2.0.1
VueScan		02.09.2011		
Winamp	Nullsoft, Inc	26.08.2011		5.621 
Winamp Detector Plug-in	Nullsoft, Inc	26.08.2011	75,00KB	1.0.0.1
Windows Live Essentials	Microsoft Corporation	03.09.2011		15.4.3538.0513
WinRAR 4.01 (64-Bit)	win.rar GmbH	31.08.2011		4.01.0
X3: Albion Prelude		14.12.2011		
X3: Terran Conflict	Egosoft	28.08.2011		
X3TC Bonuspaket 4.1.01	Egosoft	29.08.2011		4.1.01
XAMPP 1.7.7		23.10.2011		

Bekannt - Nicht benötigt:
HD Tune 2.55	EFD Software	26.08.2011		
HD Tune Pro 4.61	EFD Software	26.08.2011	2,68MB	
Wisdom-soft AutoScreenRecorder 3.1 Free		09.04.2011	
VHD Attach 1.00	Josip Medved	26.08.2011	
Apple Software Update	Apple Inc.	18.01.2012	2,38MB	2.1.3.127	
CrystalDiskInfo 4.1.4	Crystal Dew World	14.12.2011	3,26MB	4.1.4
CrystalDiskMark 3.0.1b	Crystal Dew World	26.08.2011	2,55MB	3.0.1b
         
Habe auf meinem PC hauptsächlich Programmier-tools, einige Spiele, Zeichenprogramme für mein Grafiktablet sowie ein paar andere diverse tools. Lediglich einige der diversen tools brauche ich nicht mehr wirklich, hauptsächlich Festplatten Überwachung weil diese nicht mit RAID zusammen arbeiten können.

Alt 30.03.2012, 15:17   #10
markusg
/// Malware-holic
 
Eventuell Informationen zum GEMA Virus - Standard

Eventuell Informationen zum GEMA Virus



da hätten wir ne mögliche infektions quelle, veraltetes java.
deinstaliere:
Java
Download der kostenlosen Java-Software
downloade java jre, instalieren.


und die nicht benötigten weg.
öffne ccleaner, analysieren, ccleaner starten.
öffne otl, bereinigen neustarten.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 30.03.2012, 17:13   #11
StaySharp
 
Eventuell Informationen zum GEMA Virus - Standard

Eventuell Informationen zum GEMA Virus



Java ist veraltet, Tatsache. Normalerweise achte ich darauf sowas aktuell zu halten aber da ist mir wohl irgendwann mal was entgangen.

Ich bedanke mich erstmal für die hilfe, ich hatte zwar ursprünglich eher vor zu versuchen Informationen für andere bereitzustellen aber etwas professionelle Unterstützung kann ja nicht schaden.

Zumindest denke ich mal das mein PC jetzt nicht noch noch sauberer wird, oder gibt es noch was zu tun?

Alt 30.03.2012, 19:10   #12
markusg
/// Malware-holic
 
Eventuell Informationen zum GEMA Virus - Standard

Eventuell Informationen zum GEMA Virus



hi, naja, dein pc hat leider keine weiteren nützlichen infos hergegeben, dass sample kannte ich schon (datei beschreibung ist übrigens frei erfunden) hat ja keine digitale signatur, aber das macht ja nichts
du könntest deinen pc noch absichern:
als antimalware programm würde ich emsisoft empfehlen.
diese haben für mich den besten schutz kostet aber etwas.
http://www.trojaner-board.de/103809-...i-malware.html
testversion:
Meine Antivirus-Empfehlung: Emsisoft Anti-Malware
insbesondere wenn du onlinebanking, einkäufe, sonstige zahlungsabwicklungen oder ähnlich wichtiges, wie zb berufliches machst, also sensible daten zu schützen sind, solltest du in sicherheitssoftware investieren.
vor dem aktivieren der lizenz die 30 tage testzeitraum ausnutzen.

kostenlos, aber eben nicht ganz so gut wäre avast zu empfehlen.
http://www.trojaner-board.de/110895-...antivirus.html

sag mir welches du nutzt, dann gebe ich konfigurationshinweise.
bitte dein bisheriges av deinstalieren
die folgende anleitung ist umfangreich, dass ist mir klar, sie sollte aber umgesetzt werden, da nur dann dein pc sicher ist. stelle so viele fragen wie nötig, ich arbeite gern alles mit dir durch!

http://www.trojaner-board.de/96344-a...-rechners.html
Starte bitte mit der Passage, Windows Vista und Windows 7
Bitte beginne damit, Windows Updates zu instalieren.
Am besten geht dies, wenn du über Start, Suchen gehst, und dort Windows Updates eingibst.
Prüfe unter "Einstellungen ändern" dass folgendes ausgewählt ist:
- Updates automatisch Instalieren,
- Täglich
- Uhrzeit wählen
- Bitte den gesammten rest anhaken, außer:
- detailierte benachichtungen anzeigen, wenn neue Microsoft software verfügbar ist.
Klicke jetzt die Schaltfläche "OK"
Klicke jetzt "nach Updates suchen".
Bitte instaliere zunächst wichtige Updates.
Es wird nötig sein, den PC zwischendurch neu zu starten. falls dies der Fall ist, musst du erneut über Start, Suchen, Windows Update aufrufen, auf Updates suchen klicken und die nächsten instalieren.
Mache das selbe bitte mit den optionalen Updates.
Bitte übernimm den rest so, wie es im Abschnitt windows 7 / Vista zu lesen ist.
aus dem Abschnitt xp, bitte den punkt "datenausführungsverhinderung, dep" übernehmen.
als browser rate ich dir zu chrome:
Installation von Google Chrome für mehrere Nutzerkonten - Google Chrome-Hilfe
anleitung lesen bitte
falls du nen andern nutzen willst, sags mir dann muss ich teile der nun folgenden anleitung


Sandboxie
Die devinition einer Sandbox ist hier nachzulesen:
Sandbox
Kurz gesagt, man kann Programme fast 100 %ig isuliert vom System ausführen.

Der Vorteil liegt klar auf der Hand, wenn über den Browser Schadcode eingeschläust wird, kann dieser nicht nach außen dringen.
Download Link:
Sandboxie Download - Sandboxie 3.66

anleitung:
http://www.trojaner-board.de/71542-a...sandboxie.html
ausführliche anleitung als pdf, auch abarbeiten:
Sandbox Einstellungen |

bitte folgende zusatz konfiguration machen:
sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen.
dort klicke auf sandbox einstellungen.
beschrenkungen, bei programm start und internet zugriff schreibe:
chrome.exe
dann gehe auf anwendungen, webbrowser, chrome.
dort aktiviere alles außer gesammten profil ordner freigeben.
Wie du evtl. schon gesehen hast, kannst du einige Funktionen nicht nutzen.
Dies ist nur in der Vollversion nötig, zu deren Kauf ich dir rate.
Du kannst zb unter "Erzwungene Programmstarts" festlegen, dass alle Browser in der Sandbox starten.
Ansonsten musst du immer auf "Sandboxed webbrowser" klicken bzw Rechtsklick, in Sandboxie starten.
Eine lebenslange Lizenz kostet 30 €, und ist auf allen deinen PC's nutzbar.

Weiter mit:
Maßnahmen für ALLE Windows-Versionen
alles komplett durcharbeiten
anmerkung zu file hippo.
in den settings zusätzlich auswählen:
Run updateChecker
when Windows starts

Backup Programm:
in meiner Anleitung ist bereits ein Backup Programm verlinkt, als Alternative bietet sich auch das Windows eigene Backup Programm an:
http://www.trojaner-board.de/82962-w...en-backup.html
Dies ist aber leider nur für Windows 7 Nutzer vernünftig nutzbar.
Alle Anderen sollten sich aber auf jeden fall auch ein Backup Programm instalieren, denn dies kann unter Umständen sehr wichtig sein, zum Beispiel, wenn die Festplatte einmal kaputt ist.

Zum Schluss, die allgemeinen sicherheitstipps beachten, wenn es dich betrifft, den Tipp zum Onlinebanking beachten und alle Passwörter ändern
bitte auch lesen, wie mache ich programme für alle sichtbar:
Programme für alle Konten nutzbar machen - PCtipp.ch - Praxis & Hilfe
surfe jetzt also nur noch im standard nutzer konto und dort in der sandbox.
wenn du die kostenlose version nutzt, dann mit klick auf sandboxed web browser, wenn du die bezahlversion hast, kannst du erzwungene programm starts festlegen, dann wird Sandboxie immer gestartet wenn du nen browser aufrufst.
wenn du mit der maus über den browser fährst sollte der eingerahmt sein, dann bist du im sandboxed web browser
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 30.03.2012, 23:31   #13
StaySharp
 
Eventuell Informationen zum GEMA Virus - Standard

Eventuell Informationen zum GEMA Virus



Nun das ist ein bisschen sehr viel zum durcharbeiten, zu mal ich mich aktuell um einen Job kümmern muss. Es ist aber offensichtlich Fakt das die Zeiten des sicheren W7 vorbei sind und das etwas mehr Prävention nicht schaden könnte, also bin ich gerne bereit die Zeit zu investieren.
Anstatt alles in einem rutsch zu machen werde ich mich da systematisch in Schritten durcharbeiten. Ich hab den Beitrag schon einmal komplett gelesen und hake schonmal einige Sachen ab, und lass auch die eine oder andere Frage hier.

Kleine nebeninformation zu mir selbst: ich habe vor kurzem mein Abitur mit einer informationstechnischen Ausbildung abgeschlossen und hab viel mit Technik zu tun. Ich vertrage also ein bisschen Fachsprache, es gibt also auch keinen Grund mich mit Details zu verschonen wenn ich was nicht/falsch verstehe

Zu meinem System:
Windows 7
Avast Free
Firefox

Zu Windows Updates:
Mein PC ist auf dem neuesten Stand und alle einstellungen sind so eingestellt. Außer das ich Windows Update auf "Updates Herunterladen, aber Installation manuell durchführen" eingestellt habe, das aber auch lediglich weil ich regelmäßig zu verschiedenen Zeiten mit dem PC arbeite und ein eigenwillig neustartender PC mehr schaden als alles andere anrichtet. Ich habe aber von je her darauf geachtet alle Updates noch am selben tag zu installieren, nur eben zu einem moment an dem der Neustart nicht stört, es kommt also aufs selbe raus, wenn die Updates nicht sogar noch schneller drauf sind.

Backups:
Ich nutze bereits die Windows 7 interne Backup Funktion, es wird aber wohl in kürze Zeit für das nächste Backup. Zudem ist meine Systemplatte in einem RAID1 Verbund, also 100% Redundanz, die Festplatten sind der selbe Typ aber aus unterschiedlicher Produktion, es ist also auf so ziemlich alles geachtet.

Browser:
Ich verwende wie oben genannt Firefox und das aus vielen Gründen. Die Idee mit der Sandbox ist aber schon sehr einleuchtend, die Anleitung dazu werde ich mir definitiv noch durchlesen.

Antivirenprogramm:
Wie ebenfalls oben genannt verwende ich Avast und bin an sich sehr zufrieden damit, es steht ja auch in deiner Empfehlung für eine freie alternative. Ich habe zwar mehr als genug Geld um für kostenpflichtige Software aufzukommen allerdings noch kein gesichertes einkommen, bin also etwas vorsichtig bezüglich dem Kauf von Sachen für die ich immer wieder bezahlen muss. Ich ziehe es zwar definitiv in Erwägung aber bin mir noch nicht sicher.
Kleine Frage hierzu, was ist mit der Premium Version von Avast wenn die freie schon akzeptabel ist?

Konto:
Der PC wird ausschließlich von mir verwendet, andere Konten gibt es nicht.
Wie in einem post vorher schon erwähnt habe ich es mir zur Angewohnheit gemacht das Hauptadministrator Konto zu verwenden, was viele Gründe hat. Vor allem das ich in meinen diversen Tätigkeiten ständig in Probleme gelaufen bin wenn ich auch nur ein normales Administrator Konto verwende. Windows 7 geht da schon wesentlich besser mit um als XP oder gar Vista aber da ich mit meinem PC viel und in vielen Bereichen arbeite ist es schon ein sehr großes Problem wenn Windows mir beim Arbeiten ständig Probleme bereitet, ich möchte mir die Erfahrung eines eingeschränkten Kontos nichtmal so wirklich vorstellen.

Dazu noch ne frage: Gehe ich richtig in der annahme das ein Virus mir nicht den Task-Manager über dieses Konto sperren kann wenn ich jenes Konto verwende?

Benutzerkontensteuerung:
Hier habe ich die Einstellungen zeitweise runtergesetzt weil auch diese mich gerne mal hin und wieder am arbeiten und vor allem am programmieren gehindert hat. Ich werde es erstmal ne zeit mit der maximalen Einstellung versuchen und mal sehen wie es läuft, ich hoffe einfach das es nicht wieder Problem damit gibt. Das ist aber eine Weile her also mögen Updates da viel positive Veränderung mit sich gebracht haben, was ich hoffe.

Alt 31.03.2012, 19:46   #14
markusg
/// Malware-holic
 
Eventuell Informationen zum GEMA Virus - Standard

Eventuell Informationen zum GEMA Virus



hi,
avast premium würd ich nicht kaufen, da gibts bessere alternativen wie emsisoft.
na als richtiger admin würd ich schon gar nicht arbeiten, du öffnest damit schadsoftware tür und thor.
"Dazu noch ne frage: Gehe ich richtig in der annahme das ein Virus mir nicht den Task-Manager über dieses Konto sperren kann wenn ich jenes Konto verwende?"
auf welches konto ist deine frage bezogen?
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 01.04.2012, 00:43   #15
StaySharp
 
Eventuell Informationen zum GEMA Virus - Standard

Eventuell Informationen zum GEMA Virus



Kurz zur Sandbox:
Ich habe das Program mal installiert und ausprobiert und kann sagen ich bin ziemlich begeistert. Alles funktioniert reibungslos und Firefox kommt mir eher schneller als langsamer vor.
Firefox immer in der Sandbox zu starten ist auch kein Problem da ich das Logo in der Startleiste einfach austauschen kann, so das ich die Sandbox im Endeffekt nicht mal bemerke.

Das die Verwendung des Hauptadmin Kontos mir nicht gerade Sicherheit beschert weiß ich ja, ich sollte mich vermutlich mal ausgiebiger mit den pros und cons beschäftigen um abzuwägen ob ich dieses Risiko weiter eingehen will.


So wie ich das verstanden habe missbraucht manche Schadsoftware den Hauptadmin account um anderen accounts den Zugriff auf Sachen wie den Task-Manager zu verwehren sowie systemweitere Veränderungen vorzunehmen als anderen Kontos möglich, was vermutlich besonders dann einfach ist wenn dieser wie unter Normalzuständen kein Passwort verfügt.
Und mal ehrlich, wer von den normalen PC-Nutzern hat auf seinem Hauptadmin account ein Passwort oder hat das Konto auch nur je gesehen? Sollte ein eigenes Passwort für dieses Konto nicht eine der ersten sicherheitsmaßnahmen sein?

Wenn das Hauptadmin Konto kein Passwort hat dürfte die Verwendung eines anderen Kontos wohl kaum einen Unterschied machen wenn der Virus das Hauptadmin Konto eh problemlos verwenden kann. Sehe ich das alles richtig oder ist da irgendwo ein denkfehler?

Und nochmal zu der Frage in deinem Post:
Der Hauptadmin account sollte nicht in der Lage sein sich selbst den Zugriff auf etwas wie den Task-Manager zu verwehren, oder?

Antwort

Themen zu Eventuell Informationen zum GEMA Virus
100%, appdata, aufgegeben, avast, bildschirm, datei, download, downloader, forum, frage, gelöscht, gema - virus, gen, log, pc normal, programm, prozess, reset, roaming, schutz, sicherheitslücke, starten, tan, task-manager, temp, viren, virus, youtube



Ähnliche Themen: Eventuell Informationen zum GEMA Virus


  1. Windows XP mit Adware befallen, eventuell auch mit Virus
    Plagegeister aller Art und deren Bekämpfung - 25.05.2015 (15)
  2. Eventuell Skype Virus eingefangen
    Plagegeister aller Art und deren Bekämpfung - 15.11.2014 (16)
  3. Eventuell Virus durch einen Facebook-Link?
    Plagegeister aller Art und deren Bekämpfung - 09.10.2014 (5)
  4. Internet-Geschwindigkeit sehr langsam geworden! -40 MBit/s. Eventuell ein Virus?
    Plagegeister aller Art und deren Bekämpfung - 22.06.2014 (9)
  5. Eventuell einen Virus eingefangen
    Plagegeister aller Art und deren Bekämpfung - 19.09.2013 (1)
  6. Bundespolizei Virus - habe schon mehreres probiert - eventuell neu??
    Log-Analyse und Auswertung - 12.06.2012 (1)
  7. Virus blockiert PC! Gema Bundestrojaner Virus - 50 euro Ukash?
    Plagegeister aller Art und deren Bekämpfung - 06.05.2012 (4)
  8. Gema virus - bundespolizei Virus - popup
    Plagegeister aller Art und deren Bekämpfung - 13.04.2012 (21)
  9. Comodo Firewall startet nicht ? (virus eventuell?)
    Log-Analyse und Auswertung - 13.07.2011 (2)
  10. Outlook, Word und Firefox schliessen sich selbständig!Eventuell ein Virus eingefangen?
    Log-Analyse und Auswertung - 08.03.2011 (19)
  11. Virus unbekannter Art eventuell auf PC
    Plagegeister aller Art und deren Bekämpfung - 31.03.2010 (10)
  12. Pc startet neu - eventuell Virus?
    Log-Analyse und Auswertung - 21.01.2010 (0)
  13. I-Net phasenweise langsam, Grafikproblem - Eventuell Virus/Trojaner?
    Log-Analyse und Auswertung - 17.01.2010 (5)
  14. Seltsames Problem!!!! Eventuell Virus?
    Plagegeister aller Art und deren Bekämpfung - 20.10.2008 (0)
  15. Eventuell Virus auf dem PC? TR/Dldr.Swizzor.Gen
    Log-Analyse und Auswertung - 13.02.2008 (0)
  16. eventuell noch virus? bitte prüfen
    Log-Analyse und Auswertung - 08.09.2006 (6)
  17. Eventuell Virus !!!???
    Plagegeister aller Art und deren Bekämpfung - 09.06.2005 (0)

Zum Thema Eventuell Informationen zum GEMA Virus - Wie am Titel zu erkennen ist habe ich mir vor kurzem den GEMA virus eingefangen, auch wenn das nicht mein Grund ist hier zu posten da ich mit dem Virus - Eventuell Informationen zum GEMA Virus...
Archiv
Du betrachtest: Eventuell Informationen zum GEMA Virus auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.