Da haben sich unsere posts gerade überschnitten, Multitasking scheint wohl noch nicht ganz zu klappen*g
Update updatet...cool
Der scan wird ca eine Stunde dauern. Wenn du Nachtdienst hast bleib ich dran, hab morgen frei ...np, ansonsten geh ich mit einer Sorge weniger zur Ruh'?

Bin noch ein bisschen da. Und falls es heute nichts mehr wird, cosinus kann dann ja weiter machen. Bin nur kurz eingesprungen. Soll heißen: kannst ruhig schlafen gehen

Zitat:

Kaspersky IS 2010 gekauft, Installation natürlich auch nicht möglich, da auch hier der Zugriff auf die site nicht möglich ist.

Damit schaffst Du Dir nochmehr Probleme > http://www.trojaner-board.de/83977-u...tml#post510613
Die 40 EUR hast Du imho aus dem Fenster geworfen!

Erstell bitte ein neues Logfile mit GMER und auch welche RSIT und poste sie alle. Auch das Log vom Fullscan mit Malwarebytes.

Oh Mann, Herrrr cosinus! Das sind GENAU die Nachrichten die ich brauche. loool
Aber mal im Ernst. Heise ist ne gute Seite, blätter ich auch öfter mal drin rum.
Ich denke mal mit solchen Meldungen wird aber die Verunsicherung bei den Anwendern nur noch mehr geschürt. Wo Licht ist, ist auch Schatten. Auch wenn sie Systemressourcen fressen, nicht immer einfach zu bedienen usw sind, so bringen die erweiterten Secutitykits bei richtiger Anwendung doch auch ein wenig mehr Sicherheit.
Ich persönlich bin inzwischen soweit, dass ich erwäge meinen Datenverkehr nur noch per Flaschenpost abzuwickeln. hmmm, obwohl.... da muß ich ja auch die Flasche öffnen ohne zu wissen was wirklich drin ist^^

Bei Kaspersky war nur noch rot und irgendwo im Haus heult seit der Installation 'ne Sirene. Imo läuft der ????? Vollscan, geschätzte Dauer ...noch 5 Std. Keine Ahnung ob der alle Programme neu compiliert, oder zwischendurch die Spiele auf der HD zockt.
Immerhin, keine diffusen Warnungen und Alarme, alles mit Namen und Adressen(Verzeichnissen) meist altbekannter Malware.
Keine Ahnung warum die bei GMER und MWBAM durchgegangen sind. Abgedehtääät waren sie ja nun.
Die neuen Logs kommen wenn er denn mal fertig wird und ich dann noch lebe

Zitat:

so bringen die erweiterten Secutitykits bei richtiger Anwendung doch auch ein wenig mehr Sicherheit.

Und wer kann diese Dinger vernünftig konfigurieren? Der typische 0815-Anwender bestimmt nicht, der will einfach eine Software kaufen, installieren und sicher sein - so wie es in der Werbung versprochen wird. Dass er aber nach der Installation weniger sicher ist, weiß er nicht. Ich finde heise hat's gut getroffen. Die Firewalls sind "Pappkameraden, die bei SSL das Handtuch werfen".

Also als 0815/4711 Anwender hab ich gleich mal Port 80 für alle Pakete die rein oder raus wollen gesperrt, Was soll schon passieren, ist doch nur ein Mausklick.
Damit bleibt die Lage zwar weiterhin ernst aber nicht mehr hoffnungslos.

In die 3.Runde....
Bei Kaspersky ist nach dem 3. Durchlauf alles grün.
Die atapi war natürlich auch versypht (gruß an Sion), wie der ganze Rechner, K konnte sie aber angeblich desinfizieren.
OK, ihr seid die Experten, hier die Logs.

hxxp://www.file-upload.net/download-2377565/Log.zip.html
mfG Ursus

Zitat:

Also als 0815/4711 Anwender hab ich gleich mal Port 80 für alle Pakete die rein oder raus wollen gesperrt, Was soll schon passieren, ist doch nur ein Mausklick.

Sinn und Zweck? Erklär mir das mal bitte, warum Port 80. Wenn Du keinen Webserver auf Deinen Desktop-PC installiert hast, würde ich das noch weniger verstehen.

Sion hat gute Arbeit geleistet, das Rootkit ist weg (rqzkkb.sys und die atapi.sys Geschichte, taucht nicht mehr im GMER Log auf)

Ich wäre noch dafür, dass Du ein Log mit CF machst, dann sollten wir eigentlich auch durch sein:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

0815 user fragt mal:Könnte ich bei geschlossenem Port 80 hier posten?
Du hast den anschliessenden Smiley übersehen, oder falsch gedeutet

Arrrg, und dieser hat mir gerade den Link zum Cfix.log in der Zwischenablage überschrieben.
Übrigens erlebe ich gerade einen Geschwindigkeitsrausch, was das laden/schliessen des Browsers und das anzeigen von Webinhalten angeht.
...Summt wieder wie ein Bienchen


So, hier isser.
hxxp://www.file-upload.net/download-2377929/ComboFix.txt.html

Zitat:

Du hast den anschliessenden Smiley übersehen, oder falsch gedeutet

Okeee...ich habs wohl falsch verstanden. Das war die Aussage eines anderen Users und nicht von Dir was Du mit Port 80 schrubst

Log schau ich mir gleich mal an.


Edit: Weiter gehts:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code: Alles auswählenAufklappen

ATTFilter

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6199:TCP"=-

Driver::
rqzkkb

NetSvc::
rqzkkb
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Zitat:

Zitat von cosinus

Das war die Aussage eines anderen Users und nicht von Dir

Verstehe, ein sogenannter Gerätekonflikt *schmunzel*
Empfehle dringenst das Beenden aller App und Herrunterfahren des Systems (Start -> Computer ausschalten... -> Ausschalten (Warum muß man eigentlich auf "Start" drücken, wenn man etwas ausmachen will?^^)) und anschließend ein 20min Päuschen.

Ist vll nicht von Belang: Heute morgen erschien nach dem letzten Lauf von MBAM ohne mein Zutun plötzlich eine 2. exe von HJT auf dem desktop. Keine Verknüpfung, die exe selber. Icon,Dateibeschreibung und Größe stimmen mit der ersten von gestern überein, die 2. hat meinen Namen.

Sofort nach dem Click auf den Link zum download von Combofix meldete sich Kis mit
25.03.2010 14:41:10 Gefunden Virus HEUR:Trojan.Script.Iframer hxxp://js.v1.de.euserv.adaos-ads.net/?sn=1;af=10;as=133561;

hxxp://www.file-upload.net/download-2378306/UT_logs.zip.html

Zitat:

Sofort nach dem Click auf den Link zum download von Combofix meldete sich Kis mit

Deswegen sollte man auch unbedingt den Virenscanner ausstellen wenn man mit CF werkelt!
Log schau ich mir gleich an.

Edith sagt: Log sieht gut aus. Mach bitte (letzte) Kontrollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Danach sollten wir eigentlich durch sein wenn wieder alles ok ist

Heee, CF war noch gar nicht auf der platte! Es war der downloadlink!
gerade bei Kasper im Forum gefunden:
Antwort von Analyseteam Ende Feb.....
This is not false alarm.
New malicious software was found in the attached file. Its detection will be included in the next update.
Thank you for your help.
Trojan-Downloader.JS.Iframe.aem

...autsch^^
logs kommen gleich...

Au man
In CF ist bestimmt keine Malware drin. CF arbeitet aber mit ähnlichen Techniken, vllt wird es deswegen nicht als FP eingestuft

Au man Au man

Natürlich ist Trojan-Downloader.JS.Iframe nicht in CF drin (warum eigentlich natürlich?)
Es ist die Seite selber, sie enthält ein verschleiertes Script das über ein iFrame eine Website (hier wahrscheinlich Werbung, müsste man sich mal ansehen) einbindet. Mit dieser Technik kann aber genausogut Malware eingeschleust werden. Da Kaspersky eine heuristische Erkennung solcher Scripte, wegen der Möglichkeit der Schadwareeinschleusung, implementiert hat meckert er deswegen auch laufend rum. Werbeblocker welche den Seitenaufbau nur statisch analysieren werden von solchen Scripten ausgetrickst. Warum eine Firma auf ihrer Website code implementiert der ihre eigenen Produkte ad absurdum führt bleibt erst einmal eine offene Frage(bzw liegt ja, im Falle das es sich um Werbung handelt, auf der Hand).
*mal aus der Sicht eines 0815-users ,geiles Wort, ist geloggt

Ok, zurück zum Thema
"logs kommen gleich" war natürlich 'n bischen optimistisch. Hat ja wieder ewig gedauert. Und ausgerechnet heute, wo doch Alice Schwartzer im Livechat war*gggg

hxxp://www.file-upload.net/download-2379368/Scanlogs.zip.html

Also ich werd noch irre... gerade ebend war der 23:59 Beitrag nicht da!! Zwischendurch acobat update gemacht ,browser war also aus und ich bin hier mit neuem logon rein. der beitrag war definitiv nicht da... lösch den hier bitte, hatte hier das gleiche noch mal reingepostet
bevor fragen kommen, nein in keinem anderen forum hab ich solche huddelei, hab allerdings seit wir hier angefangen haben auch nirgendwo anders gepostet