Mist! Nach was hab ich denn gesucht!
Du hast Recht, sry dafür

Bevor wir überhaupt was fixen:

Zitat:

C:\ProgramData\!XXXXCORE

Wasndas für ein Ordner?

Zitat:

Beginne mit der Suche in 'C:\Windows\SysWOW64\ezShellStart.exe'
C:\Windows\SysWOW64\ezShellStart.exe

Sollte ein Fehlalarm sein. nach dem was ich diesmal (hoffentlich richtig ) rausgefunden habe gehört das zu dem hier:

Zitat:

SRV - (ezSharedSvc) -- C:\Windows\SysWOW64\ezsvc7.dll (EasyBits Sofware AS)

ah okay...

((nur am Rande: manchmal habe ich auch das Gefühl, dass irgendwas zeitweise im Hintergrund läuft. Aber ich weiß nicht ob das nicht völlig normal ist. Dann liegt die CPU-Auslastung so bei 2-3% und es rattert etwas vor sich hin, obwohl ich gar nichts mache...))

C:\ProgramData\!XXXXCORE ist C:\ProgramData\!SASCORE
da hab ich zu eifrig weggexxxxt. Ich weiß allerdings nicht was das ist. Und den Ordner kann ich auch nicht finden. Noch nichtmal den Ordner "ProgrammData". Allerdings sollen sich ja auch die Antivirusprogramme darin befinden. Äh.. Ich glaub ich stell mich etwas dumm an.. naja..


also diese Region des OTL-logs nochmal in original:

[2010.11.18 14:43:24 | 000,000,000 | ---D | C] -- C:\ProgramData\SUPERAntiSpyware.com
[2010.11.18 14:42:04 | 000,000,000 | ---D | C] -- C:\ProgramData\!SASCORE
[2010.11.18 14:42:00 | 000,000,000 | ---D | C] -- C:\Programme\SUPERAntiSpyware

ich hoffe ich verwirre nicht.

Hab jetzt ProgrammData gefunden. War einfach versteckt.
Im Ordner Sascore scheinen 3 Log-Dateien zu sein. Vermutlich von SuperAntiSpyware. Enden mit *.*SDB

Ja, das ist von SUPERAntiSpyware und ist ok

ok. wie gehts jetzt weiter?

Hm, du hast mich erwischt!
Muss es noch weitergehen? Die Logs waren ansonsten unauffällig.
Verzeichnest du denn noch Probeme oder weitere Funde in der Zwischenzeit?

Läuft alles gut. Sollte ich wieder eine Virusmeldung haben melde ich mich wieder hier. Super Sache das Forum hier!!!

Gibts sonst abschließend generell noch irgendwelche Programme/Tips, die das System sicherer/schneller zu machen?

Ok, dann wären wir erstmal durch!

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Der Dropper.Gen is wieder da. Evtl. wurde er auch gar nicht richtig entfernt. Ich kann jetzt auch die Datei finden. Diese lässt sich für mich nicht bearbeiten oder öffnen. Ich wollte sie bei virustotal hochladen, aber das geht halt auch nicht :-(

Beginne mit der Suche in 'C:\Users\XXXX\AppData\Roaming\ipxhnf.dll'
C:\Users\XXXX\AppData\Roaming\ipxhnf.dll
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen

Wie kann ich die Datei denn jetzt auf virustotal hochladen, um überprüfen zu lassen, ob das jetzt nen Virus ist? Beim Öffnen meldet der Computer irgendwas mit Admin rechten....

Bitte mal den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: (das XXXX muss natürlich wieder von dir in den richtigen Namen veröändert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

files to delete:
C:\Users\XXXX\AppData\Roaming\ipxhnf.dll
         

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei File-Upload.net hochladen und hier verlinken

Hi,

alles gemacht wie gesagt. Klappt alles bis zum Neustart. Danach wird nichts angezeigt und nichts gespeichert und nichts öffnet sich. 3mal versucht.

Grüße

Dann so:

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL):

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du die XXXX in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code: Alles auswählenAufklappen

ATTFilter

:Files
C:\Users\XXXX\AppData\Roaming\ipxhnf.dll
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Hier der Bericht:

Die Datei ist weg. Vermutlich wurde diese bereits vom avenger gelöscht. Ich lass jetzt nochmal Antivir laufen und dann mal sehen. Komischer Virus... Ich hab vorher auch Malware und Antspyware direkt auf die Datei angesetzt und die hatten keine Warnung gegeben.

All processes killed
========== FILES ==========
File\Folder C:\Users\XXX\AppData\Roaming\ipxhnf.dll not found.
========== COMMANDS ==========
File move failed. C:\Windows\System32\drivers\etc\Hosts scheduled to be moved on reboot.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: elephant

User: postgres
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Public

User: XXX
->Temp folder emptied: 570457179 bytes
->Temporary Internet Files folder emptied: 7468663 bytes
->FireFox cache emptied: 79562890 bytes
->Apple Safari cache emptied: 0 bytes
->Flash cache emptied: 2887141 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 252143 bytes

Falls die Datei wiederkommt: Ich kann die Datei umbenennen und verschieben, aber nicht öffnen und nirgends hochladen (hab ich vor den Löschversuchen nochmal getestet). Gibts eine Möglichkeit die Datei "hochladbar" zu machen?

Dasist so nicht ganz logisch. Wenn du sie verschieben kannst, muss man sie auch hochladen können.