Servus!

Habe mir gestern folgende Programme runtergeladen, da der WMP meine DVD net abspielen wollte:

1.) Mats_Run.dvd, wurde von der Microsoft Homepage empfohlen. Runtergeladen, nicht ausgeführt/installiert.

2.) K-Lite_Codec_Pack_710_Full, um dem benötigten Decoder unter die Arme zu greifen. Nachdem ich aber las, wie schlecht der Kram wieder runtergeht, nur runtergeladen, nicht ausgeführt.

3.) vlc-1.1.9-win32, nachdem ich keine Lust hatte, weiter zu suchen. Installiert.


Nun ist es so, dass meine PC- Kenntnisse gegen 0 tendieren.
Aber ich hatte ein ungutes Gefühl und bevor ich sensible Daten abrufen wollte, hab ich den AVG Anti-Virus Free Edition Viredatenbank 1500/3641 Version: 10.0.1209 Update: 16.05.2011 14:30, gegen 15:51 manuell übern Rechner laufen lassen.

Dabei fanden sich neben den üblichen Trackig Cookis auch Trojaner.

Hier einmal das Scan- Protokoll:

"Scan ""Gesamten Computer scannen"" wurde beendet."
"Infektionen";"3";"3";"0"
"Warnungen";"12";"12";"0"
"Für den Scanvorgang ausgewählte Ordner:";"Gesamten Computer scannen"
"Start des Scans:";"Montag, 16. Mai 2011, 15:08:40"
"Scan beendet:";"Montag, 16. Mai 2011, 15:43:25 (34 Minute(n) 45 Sekunde(n))"
"Gesamtanzahl gescannter Objekte:";"467659"
"Benutzer, der den Scan gestartet hat:";"***"

"Infektionen"
"";"Datei";"Infektion";"Ergebnis"
"";"C:\Programme\Mozilla Firefox\null0.5732435754566769.exe";"Trojaner: PSW.Agent.AMDQ";"In Virenquarantäne verschoben"
"";"C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\0.7535879165214235.exe";"Trojaner: PSW.Agent.AMDQ";"In Virenquarantäne verschoben"
"";"C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\29\a53af1d-76e5b378";"Trojaner: PSW.Agent.AMDQ";"In Virenquarantäne verschoben"

Den dritten, unter Java habe ich unter dem aufgeführten Pfad gefunden, die beiden anderen net.

Das ist meine erste Bekannschaft mit Trojaner und ich wüsste gern, wie ich mich nun verhalten soll, bzw. welche Gegenmaßnahmen ich ergreifen kann/soll.

Lieben Gruß

Cotty

Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!


Danach OTL-Custom:


CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Okay!

Mach jetzt erst eins nach dem anderen und lad mir dies Malwarebytes runter.
Aktualisieren brauch ich dann wohl net mehr.

Ansonsten an die Anleitung deines Links halten?


Kannste mir denn vllt. schon sagen, was ich mir da eingefangen hab und von wem?

Zitat:

Aktualisieren brauch ich dann wohl net mehr.

Doch muss man gerade direkt nach der Installation!

Auch nochmal manuell? Oder reicht das Update, das während des Fertigstellens gemacht wird?

Drück bitte so oft auf den Updatebutton, bis dir keine Updates mehr angeboten werden oder sind die paar Klicks zuviel verlangt?

Ich steuer meinen Rechner per Stimme und bin klickfaul.
Ne quatsch!

Wollt nur meinen Rechner net überstrapazieren.
Scan läuft jetzt über alle Partitionen und Wechselmedien.

Scan läuft, aber jetzt ist folgendes passiert:

Alarm des AVG Residenten Schutz
Bedrohung erkannt!

Dateiname: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\jar_cache6041462702783955707.tmp

Name der Bedrohung: Trojaner: PSW.Agent.AMDQ Beim Öfnen erkannt.

-> In Quarantäne verschieben
-> Gehe zu Datei
-> Ignorieren


1. Was soll ich tun?

Öffnet das Malware Programm alle Dateien?

Und klar, dass es keine Empfehlung gäbe, wenn ne potentielle Gefahr bestünden, aber ich frag dennoch.
Stellt das net ne Gefahr dar, bzw. wie wird verhindert, dass sich der Trojaner breit macht?

So, die Antimalware is fertig.
Hier das Ergebnis:


Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6593

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

17.05.2011 02:09:11
mbam-log-2011-05-17 (02-09-11).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|I:\|)
Durchsuchte Objekte: 184582
Laufzeit: 1 Stunde(n), 38 Minute(n), 44 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\***\lokale einstellungen\Temp\jar_cache6041462702783955707.tmp (Spyware.Password) -> Quarantined and deleted successfully.
c:\system volume information\_restore{39c047e8-2157-4e68-b3c0-a21e08a643e3}\RP167\A0022924.exe (Spyware.Password) -> Quarantined and deleted successfully.

Das von OTL brauch ich noch

Bekommste auch :-)

Hab dazu aber noch folgende Fragen:

1. In der Anleitung otl.exe sind zwei Varianten aufgeführt. Einmal "Standard-Ausgabe auswählen" im Bild und im Text darunter steht "Minimale Ausgabe".
Welche der beiden soll ich wählen, bzw. kann ich ansonsten nach der Anleitung vorgehen.

2. Was kann ich im Ausgabetext schwärzen? Soweit ich gesehen habe, kann man sehen, wann ich z.B. den Rechner hochgefahren habe, etc.

3. Ich weiß immer noch net, wie ich mich verhalten soll, bis mein Rechner wieder sauber ist.
Klar, dass Viech liest wohl meine Passwörter aus. Aber wie und gibt es ne Möglichkeit, den auszutricksen, bis er runter ist?

Ich brauche den Rechner um mich im Uni Portal, Bank, EMail usw. einzuloggen. Muss also mit dem Teil möglichst weiter arbeiten. Seit der Trojaner drauf ist, steh ich im Wald. Selbst den Acc hier, hab ich mir von nem Freund anlegen lassen, damit nix schief gehen kann.


Lieben Gruß
Koi

Edit: Programme nur schließen, oder auch beenden? Bsp. mein Surfstick: Beim Schließen würd ichs halt dicht machen, wenn ichs beenden wollte, würd ichs auswerfen lassen, sonst läuft das Programm noch.

Oben hab ich dir eine Anleitung zu OTL gepostet.

Zitat:

2. Was kann ich im Ausgabetext schwärzen?

Nur private Dinge. So wenig wie möglich, weil das später beim Auswerten und Scripting stört.
Was hast du davon wenn wir nicht mehr wissen wann der Rechner hoch und runtergefahren wurde? Ist doch Quatsch, lass das und editiere so wenig wie möglich.

Zitat:

3. Ich weiß immer noch net, wie ich mich verhalten soll, bis mein Rechner wieder sauber ist.

Nichts installieren ohne Absprache. Mach erstmal nur das was ich hier poste, weil das erstmal wegen der Bereinigung oberste Priotität hat. Nichts auf eigene Faust machen, wovon ich nichts weiß.

Tut mir leid, wenn ich vllt überflüssige Fragen stelle, aber da ich mir was eingefangen hab, will ich einfach nur sicher und verständlich vorgehen.

Zitat:

Zitat von cosinus

Oben hab ich dir eine Anleitung zu OTL gepostet..

Okay, werd also die Häckchen nehmen, die von vornherein da sind. Mich hatte die Anleitung unter otl.exe einfach nur ein wenig irritiert.

Zitat:

Zitat von cosinus

Nur private Dinge. So wenig wie möglich, weil das später beim Auswerten und Scripting stört.
Was hast du davon wenn wir nicht mehr wissen wann der Rechner hoch und runtergefahren wurde? Ist doch Quatsch, lass das und editiere so wenig wie möglich..

Ich weiß ja net, aus welchen, ich sag mal Absätzen, ihr/du was lesen könnt. :-)
Habe bestimmt net vor, mich ne Stunde hinzusetzen und alles mit Sternchen zu ersetzen.

Zitat:

Zitat von cosinus

Nichts installieren ohne Absprache. Mach erstmal nur das was ich hier poste, weil das erstmal wegen der Bereinigung oberste Priotität hat. Nichts auf eigene Faust machen, wovon ich nichts weiß.

Mir gehts net ums installieren, sondern darum ob ich mir meine Aufgaben ausm Netz holen kann, ohne dass ich Angst haben muss, das wer auf einmal alles über mich weiß. Im Uni- Portal muss ich halt das Passwort eingeben.

Was meinst du nun mit schließen, Surfstick raus, oder nur schließen.

Kannst du mir bisher nichts über mein "kleines Haustier" sagen?

Zitat:

Habe bestimmt net vor, mich ne Stunde hinzusetzen und alles mit Sternchen zu ersetzen.

Wenn gehts nur um den Benutzernamen. Der muss aber nur dann editiert werden, wenn man blöderweise seinen vollen Vor- und Nachnamen als Windows-Benutzernamen verwendet!

Zitat:

Mir gehts net ums installieren, sondern darum ob ich mir meine Aufgaben ausm Netz holen kann, ohne dass ich Angst haben muss, das wer auf einmal alles über mich weiß. Im Uni- Portal muss ich halt das Passwort eingeben.

Musst du das unbedingt noch heute machen?

Zitat:

Was meinst du nun mit schließen, Surfstick raus, oder nur schließen.

Programm schließen = Programm beenden

Zitat:

Wenn gehts nur um den Benutzernamen. Der muss aber nur dann editiert werden, wenn man blöderweise seinen vollen Vor- und Nachnamen als Windows-Benutzernamen verwendet!

Habsch net ^^

Zitat:

Musst du das unbedingt noch heute machen?

Eigentlich schon seit Sonntag ^^''' Aber aus deiner Anwort schließe ich: Besser keine sensiblen Daten abrufen!

Edit: Was mir heut beim Hochfahren aufgefallen ist. Mein Rechner bevorzugt neuerdings Französisch. Statt einem Master habe ich nun einen Maître, ebenso siehts beim Slave auf. Zufall?