Zitat:

3. Spyware/Adware
Komisch das da noch soviel da ist. Ich hab vorhin mal Spybot im abgesicherten Modus laufen lassen...
System found infected with killav.nbd Browser Hijacker ({e0e899ab-f487-11d5-8d29-0050ba6940e3})!
Ist das Ding besonders gefährlich?

Wie ich schon sagte, eScan erzeugt beim Scannen der Registry sehr viele Fehlalarme. Fütter mal Google mit dem String e0e899ab-f487-11d5-8d29-0050ba6940e3, dann landest du z.B. hier, scheint also was von Flashget zu sein. Flashget hattest du doch doch oder?

Zitat:

Das tauchte gar nicht im hier erstellen e-scan log auf?
Ist aber eine uralte Mail? Keine Ahnung ob das von Relevanz ist. Bitdefender hat die auch gefunden?

Das brauchst du nicht weiter enrst zu nehmen. Da wurde in deiner Mailbox wohl nur eine Mail erkannt, die mit einem Mailwurm daherkam - wahrscheinlich ist die Mail auch schon längst gelöscht, den Wurmanhang hast du bestimmt nicht ausgeführt.
Wenn du Mails in Thunderbird löscht, also aus dem Papierkorb entfernst, werden die nicht wirklich gelöscht, sondern nur als gelöscht markiert. Wirklich löschen tust du die wenn du die Ordner im Thunderbird ab und zu mal "komprimierst".

Erstmal vielen Dank für deine tolle Unterstützung und Hilfe bis jetzt.

Zitat:

Zitat von cosinus

Wie ich schon sagte, eScan erzeugt beim Scannen der Registry sehr viele Fehlalarme. Fütter mal Google mit dem String e0e899ab-f487-11d5-8d29-0050ba6940e3, dann landest du z.B. hier, scheint also was von Flashget zu sein. Flashget hattest du doch doch oder?

Ja Flashget habe ich auch schon länger drauf. Kann ich deinstallieren wenn es sein muss.

Zitat:

Zitat von cosinus

Das brauchst du nicht weiter enrst zu nehmen. Da wurde in deiner Mailbox wohl nur eine Mail erkannt, die mit einem Mailwurm daherkam - wahrscheinlich ist die Mail auch schon längst gelöscht, den Wurmanhang hast du bestimmt nicht ausgeführt.

Nein, hab ich natürlich niemals ausgeführt.


Kann ich jetzt langsam aufatmen das mein System ok ist sprich muss ich jetzt komplett neuaufsetzen? Die System Datein der letzten 30 Tage waren doch ok oder? Was würdest du mir raten sollte ich noch machen?

Ich werde jetzt halt nochmal Ad-Aware drüberlaufen lassen und morgen nochmal den CWShredder. Schon blöd das Spybot die Sachen nicht wegkriegt.

Nach dieser doch schon recht umfangreichen Analyse gehe ich davon aus, dass dein System nicht kompromittiert ist!

Oh, da bin ich ja schon mal wieder ein bischen optimistischer.

Ok, ich werde dann mal noch die Tage die besagten Spy-Ad-Ware Remover Tools drüberlaufen lassen. Hoffe ich kriege da die übrigen Spyware Sachen noch irgendwie weg, wenn die es nicht hinkriegen ist es hoffentlich keine allzu grosse Problematik wenn die drauf bleibe hoffe ich?

Scheint ja so das Antivir auch die TR/Agent "Spoonuninstaller.exe" erfolgreich rausgelöscht hat und anscheinend hat der ja wohl auch keine neue Spyware nachgeladen oder installiert. Das Ding war ja eigentlich der Aufhänger warum ich mich hier bei eurem tollen Board gemeldet habe.

Nochmal vielen, vielen Dank für die ausführliche Hilfe und die Analyse. Ich gehe heute schon etwas ruhiger schlafen als gestern Abend.

Guten Abend !

Worüber ich mich nun bereits 2 Tage wunder:
Dieser TR taucht unter etlichen verschiedenen
Namen auf seit 2 - 3 Tagen.
Auf unterschiedlichsten Wegen konnte der "Feind"
besiegt werden, ist aber sozusagen immer wieder
auferstanden.
AntiVir findet den TR nach erfolgtem Update nicht
mehr.
Ad-Aware findet den Rüpel noch immer.
Alles bissl unerklärlich.
Und: Auf welchem Wege hat sich der TR nun
tatsächlich eingeschlichen ?
Bei mir liegt die Vermutung nahe das nicht AntiVir die
Ursache war, sondern vielmehr TuneUp.

Hab heute eine Antwort bekommen von Avira (antivir) wegen der Datei mit TR/Agent.CME die ich dort eingesendet hatte mit Prüfung auf False Positive

Zitat:

Die Datei 'A0391979.exe' wurde als 'FALSE POSITIVE' eingestuft. Dies bedeutet, dass diese Datei nicht gefährlich und eine Fehlmeldung unsererseits ist. Das Erkennungsmuster wird mit einem der nächsten Updates der Virendefinitionsdatei (VDF) entfernt werden.

Hoffe mal damit ist das Ding geklärt, denke ich. Zwar war die originale Datei in C:\windows/system32\spoonuninstaller (die wurde ja zuerst als TR/Agent.CME gefunden), aber ich hoffe mal das die 'A0391979.exe' aus der SWH einfach nur ein Sicherung der spoonuninstaller war (die hatte ich ja leider sofort gelöscht) und auch die false positive war.

@cosinus
Übrigens hatte ich versucht die Spyware zu entfernen die escan gestern meldete. Leider hat sowohl spybot als auch ad-aware 2007 nur noch Cookies in FF Mozilla gefunden. Ist es ein Problem das die paar Spy/Adware Sachen noch laut e-scan da sind?

Zitat:

@cosinus
Übrigens hatte ich versucht die Spyware zu entfernen die escan gestern meldete. Leider hat sowohl spybot als auch ad-aware 2007 nur noch Cookies in FF Mozilla gefunden. Ist es ein Problem das die paar Spy/Adware Sachen noch laut e-scan da sind?

Wie ich schon erwähnte, die Einträge von eScan unter Infektionsmeldungen, wo bei dir ne Menge Ad- und Spyware angeblich angezeigt wird, würde ich nicht ganz so ernst nehmen, da eScan dort nach meinen bisherigen Erfahrungen recht viele Fehlalarme erzeugt.