Die FritzBox dlls sind wahrscheinlich Fehlalarme, was nichts macht da AVZ die Dateien nicht löscht sondern nur in die Quarantäne kopiert.

Du hast Spybot Search and Destroy installiert oder?

Mache bitte alle "Immunisierungen" die du mit Spybot durchgeführt hast rückgängig!

Deinstalliere Spybot danach.

Deinstalliere auch Lavasoft's AdAware!

Deinstalliere alles was als "Ask...." unter Start -> Systemsteuerung -> Software auftaucht. Sollte dort kein Eintrag vorhanden sein kümmern wir uns später darum.

Räume mit dem CCleaner auf.

Scanne nocheinmal mit Malwarebytes und poste das log.

Scanne mit SUPERAntiSpyware und poste das log.


PS: Gute Besserung nach deiner Schulter OP wünsche ich dir jetzt schonmal!

Zitat:

Zitat von undoreal

Die FritzBox dlls sind wahrscheinlich Fehlalarme, was nichts macht da AVZ die Dateien nicht löscht sondern nur in die Quarantäne kopiert.

ich war nur irritiert von den 3 kästchen :

heuristic file deletion
copy deleted files to infected folder
copy suspicious files to quarantine

nur das erste kästchen hat ein graues häkchen, die anderen beiden sind leer, in den anweisungen steht nix dazu, aber ich hab eh wenig ahnung was virenscanner mit gefundenen files wirklich machen...

Zitat:

Zitat von undoreal

Du hast Spybot Search and Destroy installiert oder?

Mache bitte alle "Immunisierungen" die du mit Spybot durchgeführt hast rückgängig!

das habe ich zu schnell gelesen und voreilig 2 registryeinträge aus der quarantäne wiederherstellen lassen, mehr files waren da nicht, kann sein, dass ich mehr gefunden und irgendwie gelöscht hatte, kann mich nicht mehr erinnern.

immunisierungen sind rückgängig gemacht.

mist, ich hatte auch auf unserem laptop mit spybot gescanned, in quarantäne geschoben, immunisiert, dann deinstalliert und nichts wiederhergestellt, war vielleicht keine so gute idee.

Zitat:

Zitat von undoreal

Deinstalliere Spybot danach.

Deinstalliere auch Lavasoft's AdAware!

Deinstalliere alles was als "Ask...." unter Start -> Systemsteuerung -> Software auftaucht. Sollte dort kein Eintrag vorhanden sein kümmern wir uns später darum.

spybot, adaware und ask-toolbar sind deinstalliert, die toolbar war das einzige erkennbare ask-programm.

Zitat:

Zitat von undoreal

Räume mit dem CCleaner auf.

wieder dasselbe mit dem einem nicht löschbaren registryfehler

Zitat:

Zitat von undoreal

Scanne nocheinmal mit Malwarebytes und poste das log.

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.43
Datenbank Version: 3507
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

07.01.2010 18:35:57
mbam-log-2010-01-07 (18-35-57).txt

Scan-Methode: Vollständiger Scan (C:\|J:\|)
Durchsuchte Objekte: 363012
Laufzeit: 4 hour(s), 37 minute(s), 21 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

ich hatte bei CCleaner und Malwarebytes diesmal auch die funktionierende externe platte dran und musste dann weg, als ich heimkam hatte antivir ein mp3-file von der platte geblockt, ich hab zugriff verweigern gedrückt, kurz darauf war Malwarebytes fertig und hat nix gefunden, ich bin mir nicht sicher ob antivir damit Malwarebytes voübergehend gestoppt hat, denn über 4 stunden sind schon sehr lang.

dann die ganze externe platte mit antivir gescanned :

Code: Alles auswählenAufklappen

ATTFilter

J:\musik\Amy Winehouse\Amy Winehouse - BACK TO BLACK [DELUXE Edition] 2CD FULL Album!\106-amy_winehouse-love_is_a_losing_game-ukp.mp3
    [FUND]      Enthält Erkennungsmuster des Exploits EXP/ASF.GetCodec.Gen

Beginne mit der Desinfektion:
J:\musik\Amy Winehouse\Amy Winehouse - BACK TO BLACK [DELUXE Edition] 2CD FULL Album!\106-amy_winehouse-love_is_a_losing_game-ukp.mp3
    [FUND]      Enthält Erkennungsmuster des Exploits EXP/ASF.GetCodec.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b7c28f8.qua' verschoben!
         

es steht nix dazu in der anleitung, aber muss man bei nem malwarebytes-scan auch antivir oder andere guards ausschalten, vom netz weg, alles schliessen und nix mehr anlangen ?

bei der avz-anleitung steht das ja sehr ausführlich, bei vielen anderen anleitungen steht garnix in der richtung.

Zitat:

Zitat von undoreal

Scanne mit SUPERAntiSpyware und poste das log.

das werd ich jetzt machen.

ich will ja absolut nicht meckern, aber noch niemand ausser mir hat mein erstes file-upload.net/file runtergeladen und eigentlich ist darin das, was ich laut den anweisungen, was man vor dem ersten posten machen sollte, gemacht habe, naja, mittlerweile merke ich, dass ich nicht alles richtig gemacht habe und einiges vielleicht besser unterlassen hätte.

vermutlich macht es auch mehr sinn von dem status aus zu arbeiten, an dem jemand jetzt ist, als in dem rumzuwühlen, was derjenige vorher alleine rumgemurkst hat.

übrigens braucht systemsteuerung/software jetzt nicht mehr so ewig lange um die programme zu finden wie gestern noch.

und die "fehlerhafte" externe platte wird etwas schneller gefunden, lässt sich wieder anklicken, gestern hat sich der explorer dabei immer solange aufgehängt, bis ich die platte abgezogen habe, nach ner weile meint explorer aber jetzt : sie ist nicht formatiert, ob ich sie jetzt formatieren will...

Zitat:

Zitat von undoreal

PS: Gute Besserung nach deiner Schulter OP wünsche ich dir jetzt schonmal!

jo, danke

Gut, nachdem du den SUPERAntiSpyware Scan gemacht hast lasse Avira mit folgenden Einstellungen laufen:

http://www.trojaner-board.de/54192-a...tellungen.html

Bei dem Scan schließe bitte alle externen Speichermedien (insb. die Platte auf der die infizierten mp3s gefunden wurden) an den Rechner an.
Lasse alle Funde löschen. Die mp3s sind infiziert!


PS: Das wir einige Sachen "doppelt" machen liegt übrigens daran, dass sich die Situation geändert hat. Die Scans die wir jetzt machen sind Sicherheitsscans (von denen noch ein paar folgend werden) weil ich sicher gehen möchte das da keine Reste mehr auf deiner Platte liegen.

momentan scannt SUPERAntiSpyware und es hängt nur eine platte dran, die gut funktioniert, und die neue problematische nicht.

der scan wird noch lange dauern, keine ahnung ob das bis morgen früh fertig ist und dann bin ich eh erstmal weg.

ich hab noch einen ganzen stapel von externen platten, die ich sicher auch alle scannen sollte...

ziemlich am anfang kam die bis jetzt einzige meldung :

Rogue.SmartProtector

aber mehr kann ich nicht sehen über die datei.

wenn ich den scan jetzt abbreche, bekomme ich dann auch ein logfile oder infos über die datei ?

vielleicht wär das jetzt sinnvoller, für die scans brauche ich vermutlich einige tage.

Karl

Uaaa... wieiviele platten hast du denn bei dir rumliegen? ^^

Bei den SUPERAntiSpyware scans musst du nicht alle Platten anschließen. Das wäre wohl ein wenig übertrieben.

Lass den SUPERAntiSpyware Scan jetzt zu Ende laufen.

Danach scannst du mit Avira (die Einstellungen so wie in der Anleitung beschrieben) deinen kompletten PC und alle deine Festplatten.

Zitat:

Zitat von undoreal

Uaaa... wieiviele platten hast du denn bei dir rumliegen? ^^

hier liegen grad 4, im keller in irgendwelchen kisten sind auch noch ein paar.

die älteren sind natürlich kleiner, mit den momentanen kommt man ja besser aus, ausser man sammelt hdtv-spielfilme oder schneidet hdtv.

ich hab kollegen, die tun das und die kaufen nur noch leere netzwerkgehäuse für mehrere platten und die füllen sie dann mit terrabite-platten...

Zitat:

Zitat von undoreal

Bei den SUPERAntiSpyware scans musst du nicht alle Platten anschließen. Das wäre wohl ein wenig übertrieben.

Lass den SUPERAntiSpyware Scan jetzt zu Ende laufen.

ich hab gerade abgebrochen, die platte hat 1tb an filmen, das dauert ewig, das muss ich machen, wenn ich wieder da bin.

logfile gibt es leider keines, wenn man abbricht.

hat Rogue.SmartProtector was mit rootkit zu tun ?

Zitat:

Zitat von undoreal

Danach scannst du mit Avira (die Einstellungen so wie in der Anleitung beschrieben) deinen kompletten PC und alle deine Festplatten.

ja, das geht viel schneller, ich bete nur, dass es die neue kaputte oder verseuchte platte mit den fotos erkennen was finden wird.

ich melde mich hoffentlich mit logs am sonntag wieder.

Karl

bin wieder unter den lebenden...

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 01/09/2010 at 03:27 PM

Application Version : 4.33.1000

Core Rules Database Version : 4461
Trace Rules Database Version: 2282

Scan type       : Complete Scan
Total Scan Time : 04:35:16

Memory items scanned      : 713
Memory threats detected   : 0
Registry items scanned    : 7879
Registry threats detected : 0
File items scanned        : 267280
File threats detected     : 59

Rogue.SmartProtector
	C:\WINDOWS\system32\srcr.dat

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@ad.adnet[2].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@ad.adnet[3].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@track.webtrekk[1].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@media6degrees[2].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@groupmtrack[1].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@komtrack[2].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@bluestreak[1].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@ad.salebroker[1].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@h.starware[1].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@cellular-oxygen-enhancer[1].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@adopt.euroclick[2].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@ads.chikka[2].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@euroclick[1].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@servedby.onlinemediadiva[2].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@hmt.connexpromotions[2].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@tracking.sms[1].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@adsrv.admediate[1].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@azjmp[2].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@12.go.globaladsales[1].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@tto2.traffictrack[2].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@ads.heias[2].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@ad.adition[1].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@popularscreensavers[1].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@imrworldwide[2].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@tracking.3gnet[1].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@ads.admediate[2].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@ads.revsci[1].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@traffic.mpnrs[1].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@ad.trackbar[2].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@de2.komtrack[2].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@www.burstnet[1].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@crackle[1].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@www.active-tracking[2].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@revsci[1].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@ad.zanox[1].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@tracking.quisma[1].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@adstar-media[2].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@eas.apm.emediate[2].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@ad.zorpia[1].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@ads.ak.facebook[1].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@ads.lucidmedia[1].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@ads.planetactive[1].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@ads.us.e-planning[1].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@ads.widgetbucks[2].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@apm.emediate[2].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@atwola[2].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@go.globaladsales[2].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@im.banner.t-online[1].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@ipoint.targetpoint[2].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@tracker.argutus[1].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@traffictrack[2].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@try.starware[1].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@webmasterplan[1].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@www.traffictrack[1].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@zbox.zanox[1].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@www.zanox-affiliate[1].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@zanox-affiliate[1].txt
	C:\Dokumente und Einstellungen\Bhaddie\Cookies\bhaddie@zanox[2].txt
         

danach habe ich die beiden externen platten drangehängt und seit 20 minuten sieht avira so aus, nur die zeit läuft weiter :