Code: Alles auswählenAufklappen

ATTFilter

UAC Off - Limited User
         

Wie hast du SUPERAntiSpyware gestartet? Einfach per Doppelklick?

Ich glaube ja. Ich habe SUPERAntiSpyware nochmal ausgeführt, dieses mal bin ich aber zuvor in das Administrator Konto gewechselt.

Das log:

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scann-Protokoll
hxxp://www.superantispyware.com

Generiert 09/03/2012 bei 10:36 PM

Version der Applikation : 5.5.1012

Version der Kern-Datenbank : 9168
Version der Spur-Datenbank : 6980

Scan Art       : kompletter Scann
Totale Scann-Zeit : 01:26:29

Operating System Information
Windows 7 Professional 64-bit, Service Pack 1 (Build 6.01.7601)
UAC On - Limited User

Gescannte Speicherelemente  : 586
Erfasste Speicher-Bedrohungen  : 0
Gescannte Register-Elemente  : 66128
Erfasste Register-Bedrohungen  : 0
Gescannte Datei-Elemente     : 208094
Erfasste Datei-Elemente   : 0
         

Scheint ein Bug von SUPERAntiSpyware zu sein, jedenfall keine Funde!


Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller http://filepony.de/download-cookie_culler/
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ich halte es so, dass ich zum "wilden Surfen" den Opera-Browser oder Chromium unter meinem Linux verwende. Mein Hauptbrowser (Firefox) speichert nur die Cookies von den Sites die ich auch will, alles andere lehne ich manuell ab (der FF fragt mich immer) - die anderen Browser nehmen alles an Cookies zwar an, aber spätestens beim nächsten Start von Opera oder Chromium sind keine Cookies mehr da.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Hi,

danke, soweit funktioniert der PC. Ich habe aber vor ein paar Tagen Antivir scannen lassen und er hat mir mir u.a. die Dateien angezeigt die OTL verschoben hat. Anbei mal das log file:

Code: Alles auswählenAufklappen

ATTFilter

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Dienstag, 4. September 2012  20:28

Es wird nach 4225848 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : ***
Plattform      : Windows 7 Professional
Windowsversion : (Service Pack 1)  [6.1.7601]
Boot Modus     : Normal gebootet
Benutzername   : ***
Computername   : ***-PC

Versionsinformationen:
BUILD.DAT      : 12.0.0.1167          Bytes  18.07.2012 19:07:00
AVSCAN.EXE     : 12.3.0.33     468472 Bytes  09.08.2012 11:59:47
AVSCAN.DLL     : 12.3.0.15      66256 Bytes  13.05.2012 15:30:28
LUKE.DLL       : 12.3.0.15      68304 Bytes  13.05.2012 15:30:28
AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  13.05.2012 15:30:29
AVREG.DLL      : 12.3.0.17     232200 Bytes  13.05.2012 15:30:29
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 18:18:34
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 23:31:49
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 10:20:36
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 11:57:46
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 14:17:00
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 10:09:56
VBASE006.VDF   : 7.11.34.117     2048 Bytes  29.06.2012 10:09:56
VBASE007.VDF   : 7.11.34.118     2048 Bytes  29.06.2012 10:09:56
VBASE008.VDF   : 7.11.34.119     2048 Bytes  29.06.2012 10:09:56
VBASE009.VDF   : 7.11.34.120     2048 Bytes  29.06.2012 10:09:56
VBASE010.VDF   : 7.11.34.121     2048 Bytes  29.06.2012 10:09:56
VBASE011.VDF   : 7.11.34.122     2048 Bytes  29.06.2012 10:09:56
VBASE012.VDF   : 7.11.34.123     2048 Bytes  29.06.2012 10:09:56
VBASE013.VDF   : 7.11.34.124     2048 Bytes  29.06.2012 10:09:56
VBASE014.VDF   : 7.11.38.18   2554880 Bytes  30.07.2012 10:51:58
VBASE015.VDF   : 7.11.38.70    556032 Bytes  31.07.2012 11:00:52
VBASE016.VDF   : 7.11.38.143   171008 Bytes  02.08.2012 11:00:52
VBASE017.VDF   : 7.11.38.221   178176 Bytes  06.08.2012 11:59:44
VBASE018.VDF   : 7.11.39.37    168448 Bytes  08.08.2012 11:59:45
VBASE019.VDF   : 7.11.39.89    131072 Bytes  09.08.2012 11:59:39
VBASE020.VDF   : 7.11.39.145   142336 Bytes  11.08.2012 11:59:39
VBASE021.VDF   : 7.11.39.207   165888 Bytes  14.08.2012 12:16:22
VBASE022.VDF   : 7.11.40.9     156160 Bytes  16.08.2012 12:16:23
VBASE023.VDF   : 7.11.40.49    133120 Bytes  17.08.2012 12:16:23
VBASE024.VDF   : 7.11.40.95    156160 Bytes  20.08.2012 17:50:52
VBASE025.VDF   : 7.11.40.155   181760 Bytes  22.08.2012 18:26:48
VBASE026.VDF   : 7.11.40.205   203264 Bytes  23.08.2012 18:26:54
VBASE027.VDF   : 7.11.41.29    188416 Bytes  27.08.2012 20:13:41
VBASE028.VDF   : 7.11.41.87    250368 Bytes  30.08.2012 20:13:41
VBASE029.VDF   : 7.11.41.147   236544 Bytes  03.09.2012 11:13:33
VBASE030.VDF   : 7.11.41.148     2048 Bytes  03.09.2012 11:13:33
VBASE031.VDF   : 7.11.41.196   249856 Bytes  04.09.2012 18:28:09
Engineversion  : 8.2.10.150
AEVDF.DLL      : 8.1.2.10      102772 Bytes  16.07.2012 09:13:32
AESCRIPT.DLL   : 8.1.4.46      455034 Bytes  24.08.2012 18:27:37
AESCN.DLL      : 8.1.8.2       131444 Bytes  27.01.2012 12:18:25
AESBX.DLL      : 8.2.5.12      606578 Bytes  17.06.2012 10:40:11
AERDL.DLL      : 8.1.9.15      639348 Bytes  14.12.2011 23:31:02
AEPACK.DLL     : 8.3.0.32      811382 Bytes  24.08.2012 18:27:33
AEOFFICE.DLL   : 8.1.2.42      201083 Bytes  23.07.2012 09:58:40
AEHEUR.DLL     : 8.1.4.94     5230967 Bytes  30.08.2012 20:13:42
AEHELP.DLL     : 8.1.23.2      258422 Bytes  04.07.2012 10:09:59
AEGEN.DLL      : 8.1.5.36      434549 Bytes  24.08.2012 18:26:58
AEEXP.DLL      : 8.1.0.84       90485 Bytes  30.08.2012 20:13:42
AEEMU.DLL      : 8.1.3.2       393587 Bytes  16.07.2012 09:13:30
AECORE.DLL     : 8.1.27.4      201078 Bytes  09.08.2012 11:59:46
AEBB.DLL       : 8.1.1.0        53618 Bytes  14.12.2011 23:30:58
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  13.05.2012 15:30:28
AVPREF.DLL     : 12.3.0.15      51920 Bytes  13.05.2012 15:30:28
AVREP.DLL      : 12.3.0.15     179208 Bytes  13.05.2012 15:30:29
AVARKT.DLL     : 12.3.0.15     211408 Bytes  13.05.2012 15:30:28
AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  13.05.2012 15:30:28
SQLITE3.DLL    : 3.7.0.1       398288 Bytes  13.05.2012 15:30:28
AVSMTP.DLL     : 12.3.0.32      63480 Bytes  09.08.2012 11:59:47
NETNT.DLL      : 12.3.0.15      17104 Bytes  13.05.2012 15:30:28
RCIMAGE.DLL    : 12.3.0.31    4444408 Bytes  09.08.2012 11:59:44
RCTEXT.DLL     : 12.3.0.31     100088 Bytes  09.08.2012 11:59:44

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Festplatten
Konfigurationsdatei...................: C:\program files (x86)\avira\antivir desktop\alldiscs.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Dienstag, 4. September 2012  20:28

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
    [INFO]      Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
    [INFO]      Bitte starten Sie den Suchlauf erneut mit Administratorrechten

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
    [INFO]      Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
    [INFO]      Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Bootsektor 'E:\'
    [INFO]      Es wurde kein Virus gefunden!
    [INFO]      Bitte starten Sie den Suchlauf erneut mit Administratorrechten

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avnotify.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuschd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FUJ02E3.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IndicatorUty.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ltmoh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsnp2uvc.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Program Files\gs\gs9.04\uninstgs.exe
  [WARNUNG]   Unerwartetes Dateiende erreicht
Die Registry wurde durchsucht ( '2093' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Program Files\gs\gs9.04\uninstgs.exe
  [WARNUNG]   Unerwartetes Dateiende erreicht
C:\Program Files\winRar\rarnew.dat
  [WARNUNG]   Das Archiv ist unbekannt oder defekt
C:\Users\***\Downloads\install_reader10_de_mssd_aih.exe
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\_OTL\MovedFiles\08142012_140413\C_Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\19\5f6bce93-1c3ad285
  [0] Archivtyp: ZIP
  --> ha/ha.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2012-1723.CW
  --> ha/hb.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2012-1723.CX
  --> ha/hc.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Karamel.B
  --> ha/hd.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2012-1723.CY
C:\_OTL\MovedFiles\08142012_140413\C_Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\7\7aac5307-568ce322
  [0] Archivtyp: ZIP
  --> y.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Karamel.R
  --> z.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2012-1723.DD
  --> x.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/JAVA.Ivinest.Gen
Beginne mit der Suche in 'D:\' <Volume>
Beginne mit der Suche in 'E:\' <Volume>

Beginne mit der Desinfektion:
C:\_OTL\MovedFiles\08142012_140413\C_Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\7\7aac5307-568ce322
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/JAVA.Ivinest.Gen
  [WARNUNG]   Die Datei wurde ignoriert.
C:\_OTL\MovedFiles\08142012_140413\C_Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\19\5f6bce93-1c3ad285
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/2012-1723.CY
  [WARNUNG]   Die Datei wurde ignoriert.


Ende des Suchlaufs: Dienstag, 4. September 2012  22:15
Benötigte Zeit:  1:37:43 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  45369 Verzeichnisse wurden überprüft
 2237990 Dateien wurden geprüft
      7 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 2237983 Dateien ohne Befall
  14642 Archive wurden durchsucht
      6 Warnungen
      0 Hinweise
         

Muss ich die noch löschen oder so?

Ich mache ab und zu Online Banking, kann ich das nun wieder nutzen oder sollte ich lieber neue Passwörter beantragen?

Ja das sind isolierte Schädlinge, nun nicht mehr aktiv!

Online-Banking ist immer so eine Sache, viele machen das grundsätzlich nicht unter Windows. Schau dir mal SecureBanking oder gleich sowas wie Bankix an.

Dann wären wir durch!

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. Mit Hilfe von OTL kannst du auch viele Tools entfernen:

Starte bitte OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.


Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken.


Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:
Prüfen => Adobe - Flash Player
Downloadlinks => Adobe Flash Player Distribution | Adobe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Gut, dann danke für die Hilfe! Hoffe mal, dass mir das so schnell nicht wieder passiert.
Viele Grüße