Ok. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Den Stick kannst Du natürlich auch mit Malwarebytes prüfen lassen!

Hallo Arne,

ich wollte nur mal eine Zwischenmeldung geben, denn SUPERAntiSpyware läuft jetzt schon seit gut 19 Stunden, arbeitet fröhlich vor sich hin und hat inzwischen nach den internen Platten auf der externen Festplatte (500 GB) über die Hälfte abgearbeitet. Bisher wurden aber nur 20 Adware.Tracking Cookies gefunden. Danach werde ich Malwarebytes laufen lassen und die Ergebnisse posten.

Gruß
wolly0209

Hallo Arne,

so jetzt kann ich endlich die Ergebnisse posten:
Hier die log-Datei von SUPERAntiSpyware:

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 10/29/2010 at 08:46 PM

Application Version : 4.45.1000

Core Rules Database Version : 5774
Trace Rules Database Version: 3586

Scan type       : Complete Scan
Total Scan Time : 22:37:49

Memory items scanned      : 658
Memory threats detected   : 0
Registry items scanned    : 5865
Registry threats detected : 0
File items scanned        : 254797
File threats detected     : 33

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\xxxxx\Cookies\xxxxx@www.etracker[2].txt
	C:\Dokumente und Einstellungen\xxxxx\Cookies\xxxxx@stats.kassel[1].txt
	C:\Dokumente und Einstellungen\xxxxx\Cookies\xxxxx@im.banner.t-online[1].txt
	C:\Dokumente und Einstellungen\xxxxx\Cookies\xxxxx@webmasterplan[2].txt
	C:\Dokumente und Einstellungen\xxxxx\Cookies\xxxxx@ad.adnet[1].txt
	C:\Dokumente und Einstellungen\xxxxx\Cookies\xxxxx@www.googleadservices[2].txt
	C:\Dokumente und Einstellungen\xxxxx\Cookies\xxxxx@serving-sys[1].txt
	C:\Dokumente und Einstellungen\xxxxx\Cookies\xxxxx@ad.yieldmanager[1].txt
	C:\Dokumente und Einstellungen\xxxxx\Cookies\xxxxx@www.googleadservices[1].txt
	C:\Dokumente und Einstellungen\xxxxx\Cookies\xxxxx@adfarm1.adition[2].txt
	C:\Dokumente und Einstellungen\xxxxx\Cookies\xxxxx@content.yieldmanager[3].txt
	C:\Dokumente und Einstellungen\xxxxx\Cookies\xxxxx@apmebf[1].txt
	C:\Dokumente und Einstellungen\xxxxx\Cookies\xxxxx@traffictrack[1].txt
	C:\Dokumente und Einstellungen\xxxxx\Cookies\xxxxx@ad.zanox[1].txt
	C:\Dokumente und Einstellungen\xxxxx\Cookies\xxxxx@bs.serving-sys[2].txt
	C:\Dokumente und Einstellungen\xxxxx\Cookies\xxxxx@doubleclick[3].txt
	C:\Dokumente und Einstellungen\xxxxx\Cookies\xxxxx@zedo[1].txt
	C:\Dokumente und Einstellungen\xxxxx\Cookies\xxxxx@zanox[2].txt
	C:\Dokumente und Einstellungen\xxxxx\Cookies\xxxxx@content.yieldmanager[2].txt
	C:\Dokumente und Einstellungen\xxxxx\Cookies\xxxxx@ads.webme[1].txt
	cdn1.eyewonder.com [ I:\Sicherung\C\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\59Q263PJ ]
	cdn5.specificclick.net [ I:\Sicherung\C\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\59Q263PJ ]
	ds.serving-sys.com [ I:\Sicherung\C\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\59Q263PJ ]
	googleads.g.doubleclick.net [ I:\Sicherung\C\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\59Q263PJ ]
	ia.media-imdb.com [ I:\Sicherung\C\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\59Q263PJ ]
	imagesrv.adition.com [ I:\Sicherung\C\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\59Q263PJ ]
	m.de.2mdn.net [ I:\Sicherung\C\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\59Q263PJ ]
	m1.2mdn.net [ I:\Sicherung\C\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\59Q263PJ ]
	media01.kyte.tv [ I:\Sicherung\C\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\59Q263PJ ]
	s0.2mdn.net [ I:\Sicherung\C\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\59Q263PJ ]
	track.webgains.com [ I:\Sicherung\C\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\59Q263PJ ]
	www.euros4click.de [ I:\Sicherung\C\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\59Q263PJ ]
	www.pornoprinzen.com [ I:\Sicherung\C\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\59Q263PJ ]
         

Die Malwarebytes-Datei ist angehängt.

Gruß
wolly0209

Sieht ok aus, da wurden nur Cookies gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?

Hallo Arne,

habe noch einmal Ad-Aware mit einem Vollscan laufen lassen. Das hat 2 Funde für "Backdoor.Win32.Papras.rx(V)" gemeldet und in Quarantäne gestellt. Das Scanprotokoll habe ich angehängt. Ich hoffe, dass es sich nur um die bereits einmal in Quarantäne verschobenen Dateien handelt.

Gruß
wolly0209

Das sind nur Überreste. Einmal in der Systemwiederherstellung, und der andere Fund im Quarantäneordner von OTL, dort ist das harmlos weil isoliert.

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Hallo Arne,

ich habe die Systemwiederherstellung deaktiviert. Soll die jetzt wieder aktiviert werden?

Kann ich also davon ausgehen, dass mein System wieder "clean" ist?

Trotzdem habe ich noch einige Fragen:

1. Welche der im Laufe der Aktion installierten Programme und vor Allem welche Daten kann/oder soll ich löschen?
2. Ist es sinnvoll, CCleaner zu behalten und in Abständen mal laufen zu lassen?
3. Ich habe Avira AntiVir Personal installiert und als Guard aktiviert. Das hat aber nichts angezeigt. Nachdem ich Ad-Aware (das habe ich auch installiert, aber nicht aktiv laufen) habe laufen lassen, hat dies die Malware erkannt. Welches der beiden Programme sollte ich denn behalten?
4. Hast Du noch ein paar Tipps für die Sicherheit?

Gruß
wolly0209

Zitat:

1. Welche der im Laufe der Aktion installierten Programme und vor Allem welche Daten kann/oder soll ich löschen?

Im Prinzip kannst Du alle behalten, da die nur ausgeführt werden, wenn Du sie startest.

Zitat:

2. Ist es sinnvoll, CCleaner zu behalten und in Abständen mal laufen zu lassen?

Um Tempdateien zu löschen ja. Kann man 1-2 im Monat machen. In der Registry würde ich nichts bereinigen lassen, das bringt auch keinen Performancegewinn, das wird hier nur vor dem Einsatz von CF gemacht...

Zitat:

3. Ich habe Avira AntiVir Personal installiert und als Guard aktiviert. Das hat aber nichts angezeigt. Nachdem ich Ad-Aware (das habe ich auch installiert, aber nicht aktiv laufen) habe laufen lassen, hat dies die Malware erkannt. Welches der beiden Programme sollte ich denn behalten?

Nur weil in diesem Fall AntiVir nichts erkannt hat, ist das kein Grund jetzt AntiVir prinzipiell schlecht zu reden. Es ist nun mal so, dass jeder Scanner prinzipielle Schwächen hat, keiner erkennt alle Schädlinge, was der eine erkennt, erkennt wiederum der andere nicht und andersrum.

Zitat:

4. Hast Du noch ein paar Tipps für die Sicherheit?

Wie Du vllt im letzten Absatz mitbekommen hast, sind Virenscanner ziemlich unsicher und man darf sich nicht auf sie verlassen, denn sie finden nicht alle Schädlinge.
Halte Dich am besten grob an diese fünf Regeln:

1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2) Halte Windows und alle verwendeten Programme immer aktuell
3) Führe regelmäßig Backups auf externe Medien durch
4) Arbeite mit eingeschränkten Rechten
5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?

Hallo Arne,

letzte (hoffentlich) Frage:
Auf der Festplatte ist mit c:\qoobox ein Ordner vorhanden, der mir so gar nichts sagt und einen Unterordner namens "quarantine" beinhaltet. Auf einen anderen vorhandenen Unterordner "BackEnv" kann ich nicht zugreifen. Kann/muss der so stehen bleiben oder kann der gelöscht werden?

Danke für die Antwort.

Ansonsten kann ich mich nur herzlich bedanken und das Board weiterempfehlen. Ich werde mich im Spendenkonto noch erkenntlich zeigen.

Gruß
wolly0209

Qoobox ist von CF, der kann bleiben muss aber nicht.

Ansonsten wären wir durch!

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Hallo Arne,

danke für die weiteren Tipps.

Übrigens: Beim download des Foxit PDF Reader hat mein Avira sich gemeldet:
APPL/Agent.4085.C
Ich habe daraufhin auf den download verzichtet und mir SumatraPDF heruntergeladen. Ich gehe mal davon aus, dass das auch vernünftig funktioniert.

Gruß
wolly0209

Der FoxitReader ist keine Malware! Von wo hast Du den runtergeladen? Wenn von der offiziellen Seite, ist das ein Fehlalarm.

Hallo Arne,

ich habe den Link in Deinem Beitrag benutzt. Ich habe es eben gerade noch einmal probiert und es kam kein Hinweis von Avira, download hat also funktioniert.
Welchen der beiden Reader sollte ich denn nutzen?

Danke für die Antwort und damit können wir das Thema hier dann wohl beenden!

ganz freundliches letztes großes Dankeschön
wolly0209

Zitat:

Welchen der beiden Reader sollte ich denn nutzen?

Welchen Du nutzt ist doch Deine Sache. Probier beide aus, Du kannst auch beide installiert haben. Ist Geschmackssache, dem einen gefällt Sumatra, dem anderen Foxit.