FakeAlert!grb, Win32/FakeSysdef, Win32/Defmid
 

Hallo zusammen!

Ich habe hier den Laptop eines Mädels, das sich trotz installiertem AVG 9.0 mit aktuellen Signaturen offensichtlich mehrere Trojaner eingefangen hat.

Symptome:
- Schwarzer Desktop, alle Icons verschwunden
- Dateien von C verschwunden (versteckt)
- Viele Meldungen, dass angeblich die HDD defekt wäre und weitere "kritische Systemwarnungen"
- Sehr viele gleiche Meldeboxen

Was ich schon getan habe:
- Scan mit FakeAntivirus, Stinger, MS Security Essentials
--> Die im Betreff genannten Trojaner wurden gefunden und entfernt
- unhide.exe ausgeführt, um Icons und Dateien wieder sichtbar zu machen
- Systemwiederherstellung deaktiviert, da sich Trojaner da ja gern drin verstecken. Es war auffälligerweise auch nur ein einziger Wiederherstellungspunkt mit dem Datum der Infektion dort zu sehen.

Die Symptome sind also verschwunden, nun will ich aber sicherstellen, dass die Viecher auch wirklich komplett unten sind.

Bin auf dieses Forum gestoßen und wollte nun OTL ausführen und die Logfiles hier posten.
Allerdings bringt OTL nach ein paar Minuten scannen die Meldung "Out of Memory".
In der Statusleiste steht zu diesem Zeitpunkt "Manual File Scan - Getting folder structure".

Ne Idee wie ich das Fixprogramm fixen kann?

Vielen Dank schon mal!
Robin

Wieso "trotz"?
Virenscanner erkennen nicht alle Schädlinge, also kann es kein Wunder sein, dass auch bei aktivem Virenscanner Infektionen möglich sind.

Ohne die Logs von AVG wird das hier aber nichts. :glaskugel:


Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Der AVG ist schon komplett deinstalliert.
Aber ich könnte die Logfiles von Microsoft Security Essentials bereitstellen. Welche Dateien benötigt ihr und wo befinden sie sich genau?

Mein aktuelles Problem ist aber die Out of Memory-Meldung von OTL.
Denn ohne OTL geht hier ja auch nichts.
Habe mich an das Vorgehen im "Hilfesuchenden"-Thread gehalten und komme jetzt eben bei Punkt 2, Schritt 2 nicht weiter.

Dann poste erstmal alles von MSE

Ok, hier das MPDetection-Logfile vom MSE:

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

So, hier das Malwarebytes-Logfile:

Der ESET-Scan funktioniert auf dem infizierten Laptop allerdings nicht. Ich habe den IE8 als Admin geöffnet, hab das ActiveX-Control installieren lassen und gestartet. Es beginnt dann "Downloading virus signature database..." und genau hier hängt er dann bei 0%. Irgendwann bricht er ab und sagt "0 Threads found", allerdings auch "0 Scanned files". :(
Ich verstehe es nicht, die Internetverbindung steht, browsen funktioniert einwandfrei.

Vielen Dank für deine Mühe, Arne!

Ergänzung 18:49 Uhr: Ich habe festgestellt, dass die Windows Firewall deaktiviert ist. Wenn ich sie aktivieren möchte, kommt die Fehlermeldung: "Einige der Einstellungen können von der Windows-Firewall nicht geändert werden. Fehlercode 0x80070424". Und die Firewall bleibt deaktiviert. Offensichtlich hat also einer der Trojaner die Firewall kompromittiert. Vielleicht ist das der Grund, warum der Download der Signaturen nicht klappt? Aber nur die Vermutung eines Laiens...

Also, um es nochmal auf den Punkt zu bringen, ich komme aktuell nicht weiter weil:
1. ich kein OTL-Logfile erstellen kann, da OTL eine "Out of Memory"-Fehlermeldung bringt
2. ich den ESET Online-Scan nicht durchführen kann, da die Signaturen nicht gedownloaded werden können

Für weitere Anweisungen, Lösungsvorschläge, Alternativen bin ich sehr dankbar!

Gruß,
Robin

Ich habe es nun doch geschafft, den ESET Online Scan durchzuführen. Nachdem ich alle Internet Explorer Einstellungen zurückgesetzt habe, wurden die Signaturen downgeloaded und der Scan begann.

Hier nun das ESET-Logfile:

Probier bitte nochmal OTL. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hab es nochmal probiert. Klappt nicht.
OTL bringt nach wie vor nach kurzer Zeit: "Out of Memory".
:(

edit: Mit dem "Out of Memory"-Problem schein ich wohl nicht alleine zu sein. Das hier hat gerade noch einer gepostet.
www.trojaner-board.de/108738-externe-festplatte-enthaelt-nur-noch-verknuepfungen-cpu-auslastung.html

Dann probier es mal so:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

So hat's funktioniert!!

OTL.Txt:


Extras.Txt:

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

So, OTL-Fix durchgeführt. Hier das Logfile:

Ist das System nun wieder clean?

Es bestehen allerdings noch folgende Probleme:

1. Ich habe festgestellt, dass es unterhalb von C:\Users\ROBBY\Appdata\Local eine gefährliche Zirkelschlussverknüpfung gibt. Evtl. ist diese auch schuld am Out-of-Memory-Problem des OTL. Denn während des Scans ist mir aufgefallen, dass immer tiefer gescannt wurde, die Ordner aber immer "Anwendungsdaten" hießen. Als Baumstruktur dargestellt sieht das so aus:
C:\
--Robby\
----Appdata\
------Local\
--------Anwendungsdaten\
----------Anwendungsdaten\
------------Anwendungsdaten\
--------------Anwendungsdaten\
----------------Anwendungsdaten\
... (bis in die Unendlichkeit)

Die Ordner existieren aber nicht wirklich, sondern es befindet sich in C:\Users\ROBBY\Appdata\Local eine versteckte Verknüpfung namens "Anwendungsdaten", die offensichtlich auf sich selbst verweist. So verschachtelt sich das quasi unendlich. Das ist doch sicher auch das Werk des Trojaners, oder? Wie soll ich das beheben? Einfach die Verknüpfung löschen? Ich will halt nichts kaputt machen. Es befinden sich dort übrigens noch weitere Verknüpfungen namens "Temporary Internet Files", "Verlauf" und "Anwendungsdaten - Verknüpfung".

2. Vielleicht hängt das auch mit dem 1.Punkt zusammen: Im Startmenü fehlen nach wie vor die Standard-Einträge (Systemsteuerung, etc.). Und unter "Alle Programme" sind zwar alle Ordner vorhanden, allerdings befinden sich keine Verknüpfungen darin. Ne Idee, wie ich das wiederherstellen kann? Die unhide.exe hatte ich ja schon vor Kurzem ausgeführt.

3. Die Windows-Firewall lässt sich nicht einschalten. Meldung: "Einige der Einstellungen können von der Windows-Firewall nicht geändert werden. Fehlercode: 0x80070424"

Vielen Dank für den großartigen Support, der bis hierher schon geleistet wurde!
Robin

Erstmal (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Hallo Arne,

TDSS-Killer hat nichts gefunden.
Die unhide.exe hatte ich ja schon einmal ausgeführt. Dennoch wurden die Verknüpfungen im Startmenü nicht wiederhergestellt.
Ein erneuter Versuch, unhide.exe auszuführen scheitert jetzt mit der Meldung:
"C:\Users\ROBBY\AppData\Local\Temp\RarSFX0\unhide.bat konnte nicht gefunden werden. Stellen Sie sicher, dass Sie den Namen richtig eingegeben haben und wiederholen Sie den Vorgang."

Hast du einen Tipp für die im vorigen Abschnitt beschriebenen Probleme mit der seltsamen Zirkel-Verknüpfung und der Firewall?


Hier noch vollständigkeitshalber das Log von TDSS-Killer:

Nein, mit Glück bekommen wir die späöter noch im Griff, v.a. das mit der Firewall, wenn nicht wirst du wohl oder übel neu aufsetzen müssen.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Die Datei heisst bei mir ComboFix.exe.
Wenn ich diese ausführe, hängt der Dekomprimierungsvorgang bei ca. 98% und nichts tut sich mehr. :(

Ja, ist noch nicht richtig angepasst worden, früher hatten wir immer drauf gepocht CF in cofi.exe umzubenennen, doch dieser Schritt ist sehr selten wirklich notwendig.

Starte Windows neu, lösch die alte combofix.exe, lade CF neu runter und probier es bitte nochmal.

Leider gleiches Ergebnis.
Hab es sogar an einem anderen Rechner runtergeladen, um zu verhindern, dass der Browser es aus dem Cache holt.

Anderes Besnutzerkonto und abgesicherten Modus hab ich auch schon probiert. Hängt trotzdem immer bei 98%.

Ich meine, dass hier erst kürzlich jemand das gleiche Problem hatte. Finde den Thread aber nicht mehr.

Hm, notfalls könntest du mal die combofix.exe direkt nach C: kopieren, anschließend startest du den abgesicherten Modus mit Eingabeaufforderung und startest über die Konsole (Eingabeaufforderung) Combofix.exe

Gleiches Problem auch mit dieser Variante. :(

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe Vista und Win7 User aswMBR per Rechtsklick "als Administrator ausführen"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Hier das aswMBR-Log:

PS:
Meine Firewall sagt zur Zeit GAR NIX. ;)

Auch das ist ok. Merkwürdig, dass CF bei dir nicht läuft :(

Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Arne, ich mach ja alles, was du sagst... Malwarebytes und ESET Log hatte ich schon gepostet. Trotzdem nochmal machen?

Ja das ist zur Kontrolle, lass ESET meintwegen erstmal weg

Hier das Logfile des Vollscans mit Malwarebytes:

Logfile entfernt - offensichtlich ein altes Logfile...

Ist das noch ein altes Log? :confused:

Ups? Hää? Stimmt, da steht ja 27.01. Das gibt's doch gar nicht...
Und das neue Logfile find ich nicht. Hab ich's etwa nicht richtig gespeichert?
Na dann muss ich den Suchlauf wohl nochmal komplett durchführen. *grummel*

Na hat MBAM denn was gefunden?

Hier nun das aktuelle Malwarebytes-Logfile:

Und hier das Logfile von SUPERAntiSpyware:

Und der ESET Online Scanner hat nur diesen einen Fund gemeldet:

Das sind nur noch Überreste und Cookies. Bitte alles entfernen.
Rechner ansonsten wieder soweit ok?

Mit welchem Tool soll ich vorzugsweise entfernen? MBAM oder SUPERAntiSpyware? Oder mit beiden? In welcher Reihenfolge?

Alles ok, bis darauf, dass sich die Windows-Firewall nach wie vor nicht aktivieren lässt. Vermutlich irgendwie verbogen? Gibt's ein Windows-Firewall-Repair-Programm?

edit: Noch eine Auffälligkeit: Beim Herunterfahren möchte Windows immer 6 Updates installieren. Das macht es auch, dann wird der Rechner ausgeschaltet. Nur nach dem Hochfahren geht das Gleiche wieder von vorne los. Es will beim Herunterfahren immer diese 6 Updates installieren. Hängt da irgendwie in einer Endlos-Loop.

Die jew. Funde vom jew. Programm sollten IMHO auch mit dem jew. Programm entfernt werden :D

Zu den Updates, ja da müsste man schonmal wissen was für Updates das sind. Vllt mal die Bezeichnung (KB1234567) aller 6 Updates durchgeben

So, kurzes Status-Update:
- PC ist wieder clean
- Das Windows Update Problem hat sich auch erledigt, nachdem ich jetzt das SP1 für Win7 installiert hab

Das einzige, verbleibende Problem ist, dass sich die Windows-Firewall nach wie vor nicht aktivieren lässt.
Ich habe das Problem jetzt auch mal genauer untersucht und festgestellt, dass der Trojaner offensichtlich ein paar Dienste zerstört hat, u.a. auch den Dienst Windows-Firewall. Die Dienste wurden gar nicht mehr unter services.msc aufgelistet. Ein Blick in die Registry zeigte dann auch warum: der Trojaner hat offensichtlich unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services gewütet und dort komplette Schlüssel geleert.

Die geleerten Schlüssel hab ich nun wiederhergestellt, indem ich von einem gesunden Win7-System die Schlüssel exportiert und hier wieder importiert habe. Die Dienste sind nun wieder da, laufen auch zum großen Teil. Nur der Windows-Firewall-Dienst lässt sich immer noch nicht starten. Grund ist wohl der abhängige Basisfilterdienst, der sich mit der Meldung "Zugriff verweigert" nicht starten lässt. Vermutlich hat der Trojaner auch etwas an den Registry-Berechtigungen geändert...

Langer Rede, kurzer Sinn: Gibt es evtl. ein Tool, mit dem man die Standard-Windows-Dienste reparieren bzw. zurücksetzen kann? Oder habt ihr Erfahrungen, was man in einem solchen Fall am besten macht?

Ein Tool kenn ich incht, aber mit regedit kannst du auch die Berechtigungen sehen und editieren.
Deine Vorgehensweise war übrigens nicht verkehrt, ich hätte es wohl auch mit einem Regexport und -import gemacht :)

Der Export/Import hat funktioniert. Allerdings lässt sich ein Dienst immer noch nicht Starten: Der Dienst Basisfiltermodul.
Solange der nicht läuft, wird auch der Windows-Firewall-Dienst nicht laufen, weil er von ihm abhängig ist.

Versuche ich den Basisfiltermodul-Dienst zu starten, so bekomme ich "Fehler 5: Zugriff verweigert". Ich schließe daraus, dass etwas an den Berechtigungen auf die Registry-Schlüssel geändert wurde. Ich hab es schon mit subinacl versucht, aber irgendwie klappt's nicht.

Habt ihr vielleicht wo ein Script auf Lager, mit dem man sämtliche Berechtigungen auf die Schlüssel unterhalb von HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services wieder so setzen kann, wie es sein sollte?

Nee so ein script hab ich nicht, überprüf doch mal mit regedit erst die Berechtungen dieses Schlüssels

Ich hab's geschafft! Die Firewall läuft wieder!

Ich hab den Basisfiltermodul Dienst wieder zum Laufen bekommen und nachdem dieser lief, lief auch die Firewall wieder!

Der entscheidende Trick ist: Es reicht nicht aus, lediglich den Schlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BFE frisch zu importieren, man muss auch die Berechtigungen korrekt setzen!

Man muss nämlich dem Benutzer "NT Service\BFE" Vollzugriff auf diesen Schlüssel erteilen! Ist dies nicht der Fall bekommt man eben die Meldung "Fehler 5: Zugriff verweigert".

Wie man das machen kann ist hier beschrieben: www.gandalf.net/firewall/
Den Link sollte man sich merken! Ist sicher auch für euch Helfer nützlich, falls ihr mal wieder den Fall habt, dass ein Trojaner Dienste gelöscht oder zerstört hat.

An dieser Stelle jetzt mal noch offiziell meinen herzlichsten Dank für die kompetente Hilfe!

Die o.g. Lösung hätte übrigens auch hier geholfen:
http://www.trojaner-board.de/56907-t...ehler-5-a.html

(Sorry für URL-Pasting, aber wie verlinkt man in diesem Forum denn korrekt? Wenn ich den "Link einfügen"-Button benutze, setzt dieser zwar die url-Tags, aber Auswirkungen hat es keine...
Nachtrag: Aaahh.. Intern auf Threads kann man wohl verlinken, aber auf externe Links??)

Danke für die Info :)
Dass es ein Berechtigungsproblem ist, hab ich vermutet, schön von dir, dass du gleich einen Link postest wie man diese wieder richtig setzt! :daumenhoc


Nein externe Links darfst du hier setzen, jedenfalls nicht klickbar.
Und naja, der Strang ist da von Mitte 2008 also fast vier Jahre alt :dummguck:

Wenn ich dich richtig verstehe ist nun wieder alles i.O.?

Ich weiß, aber man findet ihn eben, wenn man im Forum oder bei Google sucht. Drum dachte ich, wäre es nicht schlecht, auch dort die Lösung zu posten. Ich bin schließlich auch auf diesen Thread gestoßen, war dann aber enttäuscht, dass es anscheinend keine Lösung gab.

Yep! Läuft alles wieder einwandfrei!
Deshalb auch oben mein abschließender Dank an das Board und natürlich v.a. an dich, Arne!

Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt.
Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:

Adobe - Andere Version des Adobe Flash Player installieren

Notfalls kann man auch von Chip.de runterladen => http://filepony.de/?q=Flash+Player

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.