Wenn nichts mehr ist wären wir durch!

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Hallo,

hier mein Nachtrag.
vor ein paar Minuten piepte wieder Antivir:
Letzte gefundene Malware:
TR/Kryptik.KP

Was nun? Doch nicht alles sauper wie gedacht?

Wie soll ich weiter handeln?

Bender

p.s.: Habe den Leitfaden abgearbeitet, ausser Adobe runter zu schmeißen.
Habe es aber upgedatet. Benötige es zwar nur zum pdf´en, wenn es wirklich
relevant ist, schmeiße ich na klar runter..

Zitat:

Letzte gefundene Malware:
TR/Kryptik.KP

Was nun? Doch nicht alles sauper wie gedacht?

Immer die genauen Schädlingsnamen und Pfadangaben notieren und posten!

Aus den Regeln:

5. Beschreibe Dein Problem in einigen Sätzen und arbeite diese Anleitung ab Punkt 2. durch
Auch Funde von deiner Sicherheitssoftware bitte im Thema nennen: (z.B. c:\windows\virus.exe)
Fehlen diese Angaben, kann und wird dir hier niemand helfen.

Oh sorry,
war nur total enttäuscht, dass sich da wieder ein Fund gemeldt hat.
Hier der vor wennigen Minuten durchgeführte AntiVir Scan:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 25. Oktober 2010 15:25

Es wird nach 2966026 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : User
Computername : PC12

Versionsinformationen:
BUILD.DAT : 9.0.0.422 21701 Bytes 09.03.2010 10:23:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 09.12.2009 08:06:04
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:01:12
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 08:01:13
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 08:41:58
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 08:35:58
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 08:00:02
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 07:38:08
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 08:55:34
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 07:02:12
VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 07:23:09
VBASE009.VDF : 7.10.11.134 2048 Bytes 13.09.2010 07:23:09
VBASE010.VDF : 7.10.11.135 2048 Bytes 13.09.2010 07:23:10
VBASE011.VDF : 7.10.11.136 2048 Bytes 13.09.2010 07:23:10
VBASE012.VDF : 7.10.11.137 2048 Bytes 13.09.2010 07:23:10
VBASE013.VDF : 7.10.11.165 172032 Bytes 15.09.2010 07:11:00
VBASE014.VDF : 7.10.11.202 144384 Bytes 18.09.2010 07:04:45
VBASE015.VDF : 7.10.11.231 129024 Bytes 21.09.2010 07:05:35
VBASE016.VDF : 7.10.12.4 126464 Bytes 23.09.2010 07:05:15
VBASE017.VDF : 7.10.12.38 146944 Bytes 27.09.2010 07:01:47
VBASE018.VDF : 7.10.12.64 133120 Bytes 29.09.2010 07:01:46
VBASE019.VDF : 7.10.12.99 134144 Bytes 01.10.2010 06:59:36
VBASE020.VDF : 7.10.12.122 131584 Bytes 05.10.2010 06:59:34
VBASE021.VDF : 7.10.12.148 119296 Bytes 07.10.2010 07:00:03
VBASE022.VDF : 7.10.12.175 142848 Bytes 11.10.2010 07:00:55
VBASE023.VDF : 7.10.12.198 131584 Bytes 13.10.2010 07:00:55
VBASE024.VDF : 7.10.12.216 133120 Bytes 14.10.2010 07:00:56
VBASE025.VDF : 7.10.12.238 137728 Bytes 18.10.2010 07:06:28
VBASE026.VDF : 7.10.12.254 129536 Bytes 20.10.2010 06:44:02
VBASE027.VDF : 7.10.13.22 137728 Bytes 22.10.2010 07:07:54
VBASE028.VDF : 7.10.13.23 2048 Bytes 22.10.2010 07:07:54
VBASE029.VDF : 7.10.13.24 2048 Bytes 22.10.2010 07:07:54
VBASE030.VDF : 7.10.13.25 2048 Bytes 22.10.2010 07:07:54
VBASE031.VDF : 7.10.13.33 57856 Bytes 25.10.2010 12:42:32
Engineversion : 8.2.4.84
AEVDF.DLL : 8.1.2.1 106868 Bytes 30.07.2010 07:02:17
AESCRIPT.DLL : 8.1.3.45 1368443 Bytes 20.09.2010 07:04:49
AESCN.DLL : 8.1.6.1 127347 Bytes 17.05.2010 07:21:46
AESBX.DLL : 8.1.3.1 254324 Bytes 26.04.2010 06:56:17
AERDL.DLL : 8.1.9.2 635252 Bytes 22.09.2010 07:05:36
AEPACK.DLL : 8.2.3.11 471416 Bytes 12.10.2010 07:00:59
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 22.07.2010 07:07:19
AEHEUR.DLL : 8.1.2.36 2974072 Bytes 22.10.2010 06:44:03
AEHELP.DLL : 8.1.14.0 246134 Bytes 12.10.2010 07:00:55
AEGEN.DLL : 8.1.3.23 401779 Bytes 04.10.2010 06:59:36
AEEMU.DLL : 8.1.2.0 393588 Bytes 26.04.2010 06:56:16
AECORE.DLL : 8.1.17.0 196982 Bytes 27.09.2010 07:01:24
AEBB.DLL : 8.1.1.0 53618 Bytes 26.04.2010 06:56:16
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 09.12.2009 08:06:04
AVREP.DLL : 8.0.0.7 159784 Bytes 18.02.2010 07:59:12
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 09.12.2009 08:06:04

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Manuelle Auswahl
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\PROFILES\folder.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: ignorieren
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Dateierweiterungen....................: -XL*,-DO*,
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: aus
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, +ISO,
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Montag, 25. Oktober 2010 15:25

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '37410' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KHALMNPR.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SetPoint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqtra08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FSCapture.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SUPERAntiSpyware.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskbarshuffle.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DisplayFusion.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hppusg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'acrotray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'eEBSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '42' Prozesse mit '42' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '68' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Thunderbird\Profiles\ouj4g57b.default\Mail\post.strato-1.de\Inbox
[0] Archivtyp: Netscape/Mozilla Mailbox
--> Mailbox_[Subject: Re: Re: ][From: <mfarnham@cathytof.com>][Message-ID: <6wirntyHQ39063sXnIcpAe1VpCVE4AO@lola.cathytof.]56.mim
[1] Archivtyp: MIME
--> Faktura57.zip
[2] Archivtyp: ZIP
--> Faktura57.doc__________________________________________________________________________________________.exe
[FUND] Ist das Trojanische Pferd TR/Agent2.csln.2
--> Mailbox_[Message-ID: <20100701200023.8C5347352F@proxypop2b.sarenet.e][From: jacfra@web.de]934.mim
[1] Archivtyp: MIME
--> file0.mim
[2] Archivtyp: MIME
--> FotoMyGirl43.zip
[3] Archivtyp: ZIP
--> FotoMyGirl43.jpg__________________________________________________________________________________________.exe
[FUND] Ist das Trojanische Pferd TR/Agent.321536
--> Mailbox_[Message-ID: <002101cb288d$0afc5580$0200a8c0@hm2810>][From: <1102.160.78.72.111.1147849177.squirrel@hm2810>][Subject: Fwd: Docconsulta]1628.mim
[1] Archivtyp: MIME
--> Statistik72.zip
[2] Archivtyp: ZIP
--> Statistik72.xls__________________________________________________________________________________________.exe
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.CI
[WARNUNG] Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Thunderbird\Profiles\ouj4g57b.default\Mail\post.strato-1.de\Trash
[0] Archivtyp: Netscape/Mozilla Mailbox
--> Mailbox_[Subject: Re: Re: ][From: <mfarnham@cathytof.com>][Message-ID: <6wirntyHQ39063sXnIcpAe1VpCVE4AO@lola.cathytof.]22.mim
[1] Archivtyp: MIME
--> Faktura57.zip
[2] Archivtyp: ZIP
--> Faktura57.doc__________________________________________________________________________________________.exe
[FUND] Ist das Trojanische Pferd TR/Agent2.csln.2
[WARNUNG] Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Thunderbird\Profiles\ouj4g57b.default\Mail\post.strato-1.de\Inbox.sbd\2010-Quartal_2
[0] Archivtyp: Netscape/Mozilla Mailbox
--> Mailbox_[Subject: Re: Re: ][From: <mfarnham@cathytof.com>][Message-ID: <6wirntyHQ39063sXnIcpAe1VpCVE4AO@lola.cathytof.]1206.mim
[1] Archivtyp: MIME
--> Faktura57.zip
[2] Archivtyp: ZIP
--> Faktura57.doc__________________________________________________________________________________________.exe
[FUND] Ist das Trojanische Pferd TR/Agent2.csln.2
[WARNUNG] Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht.
C:\System Volume Information\_restore{222BAACA-7CC7-48BC-ACDA-236CD3646E3C}\RP456\A0059320.exe
[FUND] Ist das Trojanische Pferd TR/Runnn.A
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4cf59135.qua erstellt ( QUARANTÄNE )


Ende des Suchlaufs: Montag, 25. Oktober 2010 16:20
Benötigte Zeit: 55:07 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

8443 Verzeichnisse wurden überprüft
358409 Dateien wurden geprüft
6 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
358402 Dateien ohne Befall
22984 Archive wurden durchsucht
4 Warnungen
2 Hinweise
37410 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden


MfG
Bender

Waren das nur Funde im Posteingang von Thunderbird und in der SWH (also in System Volume Information)? Dann ist es harmlos.

=> Mailwürmer: Fragen und Antworten

Zitat:

Frage: Mein Virenscanner hat im Profilordner bzw. in einer Mailbox-Datei meines eMail-Programmes einen Schädling entdeckt. Wie muss ich vorgehen?

Antwort: Nicht selten melden einige Virenscanner Schädlinge innerhalb von Mailbox-Dateien, z.B. bei Nutzung der eMailprogramme Mozilla (Thunderbird) oder Netscape, aber auch Outlook bzw. Outlook Express. Dies bedeutet zunächst einmal keine Gefahr, solange ein Schädling in einer Mail nicht durch den Nutzer selbst ausgeführt wird.

Der Schädling ist hierbei also nicht aktiv, er liegt vielmehr inaktiv in der Mailbox.

Einige Virenscanner bieten hier die Löschung der Datei an, was Sie jedoch nicht bestätigen sollten. Der Grund: Mehrere eMails eines Ordners, z.B. des Posteingangsordners ihres Mailrogrammes, werden innerhalb einer Datei abgelegt. Stimmen Sie nun der Löschung zu, würden mit ihr auch alle anderen eMails Ihres Posteingangs verlorengehen.

Es macht also prinzipiell keinen Sinn, Mailbox-Dateien durch einen Virenscanner überwachen zu lassen. Löschen Sie besser suspekte Mails sofort, und wählen von Zeit zu Zeit in Ihrem Mailprogramm "Datei >Ordner komprimieren". Damit werden auch alte, bereits nicht mehr offensichtliche Mails, endgültig aus der Mailbox-Datei entfernt.

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Moin,

vielen Dank für die rasche Antwort.
Habe mich an deiner Antwort orientiert und dies abgearbeitet.

Bis dato kein Fund während des Betrieb´s vom Rechner.

Habe nur keinen Dunst, wie ich an die Sachen gekommen bin.
Mails mit verdächtigem Inhalt lösche ich sofort. Tja Augen auf beim surfen
reicht wohl nimmer so wie ich es kenne.


Danke für die Hilfe.

Bender

Ok. Denk an die Updates und die Passwortänderungen wie o.g.