Java:CVE-2011-3544-AX und viele versteckte Objekte entdeckt, Rechner bockt
 

Hallo,

ich bin mir nicht sicher, wann die Probleme wirklich anfingen. Am 29.2. nach dem morgendlichen Boot wollte jedenfalls Adobe Flash Player eine update einspielen. Ich hatte schon mal Probleme damit, dass sich ein Trojaner in dieser Verkleidung bei mir eingeschlichen hat und würde eigentlich lieber die Finger von dem Player lassen. Leider kann man ohne ihn die Videos auf der Seite der WDR-Maus nicht ansehen, und die liebt mein Sohn nun mal. Naja, also eingespielt.

Danach hatte ich diverse Probleme, und habe im Adobe Forum um Hilfe gebeten (siehe Adobe Forums: hxxp://forums.adobe.com/message/4236783). Irgendwann im Lauf der Diskussion wurde mir klar, dass ich nach dem update nicht neu gebootet hatte (was wohl verlangt war). Nach dem Reboot lief so ziemlich alles wieder normal. Depp, ich, dachte ich.

Bis vorgestern abend (4. März). Bei dem Versuch, mich bei einem Battlefield Bad Company 2 Server anzumelden fror das Spiel ein. Ich konnte dann an dem Abend noch weiterspielen, am nächsten Morgen aber nach erneutem Hochfahren nicht mehr viel. Bad Company 2 konnte ich nicht mehr starten. Auch Blacklight: Retribution stürzte beim Start ab. Videos konnte ich auch nicht mehr abspielen (der Windows Media Player ging in Winterschlaf oder hängte sich ganz auf, auch VLC war betroffen). Andere Programme ohne online Komponente funktionierten hingegen, soweit ich feststellen konnte.

Ich beschloss, mir meinen Netzwerk-Verkehr mal näher anzusehen. Ich lud den Microsoft Network Monitor 3.4 von der Chip Seite(hxxp://www.chip.de/downloads/Microsoft-Network-Monitor_27843950.html) und entdeckte mit seiner Hilfe, dass da außer dem physisch vorhandenen Netzwerkadapter noch zwei weitere LAN-Verbindungen gelistet wurden: isatap.xxx_Easybox und, hoppala, Teredo Tunneling Pseudo-Interface (der Name lässt dem Laien ja ohnehin das Blut gefrieren: "Tunnel" igitt, "Pseudo" ohgott, und Teredo klingt doch auch nach einer terroristischen Vereinigung!!! Sehr unglücklich gewählt). "Teredo" googeln und das Ding abschalten war eins (Haken in den Eigenschaften der LAN-Verbindung bei IPv6 entfernen und bestätigen; Ausführen "cmd", dann "netsh interface teredo set state disabled", habe ich sicherheitshalber beides gemacht).

Danach funktionierten Battlefield und Blacklight wieder normal. Ruhe hatte ich deswegen aber keine. Ich habe auf dem Rechner noch eine parallele XP-Partition eingerichtet. Ich musste am Nachmittag darin arbeiten, und habe in der Zwischenzeit das auf dieser Partition verwendete Avast 5 mal einen Scan über die Vista Partition machen lassen. Gefunden wurde Java:CVE-2011-3544-AX in E:\Users\xxx\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\49\33a49331-4da93ca2|>Update.class. Zurück in Vista habe ich noch einen Scan mit Avira gemacht, dieses fand über 30 versteckte Objekte in der Registry. Also doch mal wieder zum Trojaner Board.

Die dds.txt., attach.txt sowie die Berichte von Avast und Avira habe ich in ein .zip Archiv auf Dropbox (hxxp://dl.dropbox.com/u/5117968/DDS.zip), da das Erzeugen eines Anhangs hier im Board nicht geklappt hat (meine Registrierung habe ich bestätigt).

Vielen Dank schon jetzt für Eure Hilfe.

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Ich habe in der Zwischenzeit Avast auf der XP Partition auf Version 7 aktualisiert und mal einen Boot scan begonnen. Der hat weitere Schädlinge gefunden. Ich breche den Scan dann mal ab und beginne Deine Instruktionen abzuarbeiten. Dürfte allerdings so 2-3 Tage dauern. Bei ca. 2,5 Terabyte Daten 2 Vollscans ...

NB: Die Scans mache ich aus Vista, XP kann die externe 3TB Platte nicht lesen.

Ich müsste eigentlich auch dringend in der Zwischenzeit an einigen Dokumenten arbeiten. Gibt es eine Möglichkeit, mir die Daten aus dem System zu holen, ohne die Gefahr einer Infektion zu laufen?

Danke

JdD

Und warum schriebst du dan nicht gleich rein was genau wo gefunden wurde? Immer wieder muss ich extra danach fragen :(

Gemach, gemach, ich war mit der letzten Antwort noch nicht fertig; die habe ich nämlich von einem anderen Rechner aus erstellt, der Bootscan lief ja noch. Hier das Log. Ich stelle auch noch die alten Scans ein, der Log hier unten ist auch noch dabei.

C: ist dabei die XP-Partition, E: die Vista Partition (Wenn ich den Rechner aus Vista starte, ist die Vista Partition natürlich C:, die XP Partition D:; so gesehen im dds log)

Ok. Mach bitte die Vollscans mit MBAM und ESET

Was schief gehen kann, geht schief. Ich habe gestern den MBAM Scan gestartet, heute morgen ware er durch. Nach Fertigstellung ist mir aufgefallen, dass offensichtlich mein USB-Hub währen des Scans stromlos wurde (der Stecker hinten ist etwas wackelig; normalerweise fummel ich da nicht groß rum, die Fummelei gestern war aber wohl ausreichend), so dass die USB-Sticks und die zweite externe Festplatte nicht gescannt wurden.

Ich habe zunächst den von MBAm geforderten Neustart durchgeführt. Runterfahren dauerte endlos lange; nach dem wieder Hochfahren hat der Rechner erst mal eine ganze Zeit lang gerödelt, wobei LCore (Logitech Gaming Software), wmplayer.exe und taskmgr.exe die hauptsächlich aktiven Prozesse waren, und Extension CLSID Verification Host immer wieder mal kurz ansprang und wieder verschwand.

Dann habe ich nochmal einen vollständigen Scan mit MBAM gestartet, und nur die beim vorherigen ausgelassenen Laufwerke angehakt. Wieder 3 Funde. Zwischen dem 2. und 3. Fund sprang allerdings plötzlich ein Avira Fenster auf: Schädling entdeckt, Zugriff verweigert. Hatte ich doch glatt übersehen, Avira vor dem 2. Scan auszuschalten. Blieb mir auch nichts anderes übrig, als den Fund von Avira beseitigen zu lassen. Die 3 Funde von MBAM habe ich gelöscht und neu gestartet.

Alle Logs (inkl. Avira Log) sind hier dran, zusammen noch einmal mit den historischen MBAM logs. Ich war mir nicht sicher, ob die Sammlung gestern vollständig war.

Soll ich jetzt den ESET online scan machen, oder lieber nochmal einen kompletten MBAM?

Mach den Vollscan mit MBAM auf der externen Platte. Die interne wurde ja voll durchsucht oder nicht? Wenn ja, dann reicht es nur die externe Platte voll zu scannen mit MBAM

Danach machste ESET

Hier sind die logs. Keine weiteren Funde durch MBAM, 3 Funde bei ESET (alle auf der XP-Partition)

Den ESET Scan habe ich zweimal gestartet, wie Du aus dem Log sehen wirst. Beim ersten Mal habe ich kurz nach dem Start bemerkt, dass ich vergessen hatte, den Recycler zu leeren. Gestoppt, geleert, neu gestartet.

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hm. OTL scannt seit 8 Stunden in einem schier endlosen Baum von C:\Users\Default User\Lokale Einstellungen\Application Data\Application Data\Anwendungsdaten\Application Data\Anwendungsdaten\Application Data....
Der Ordner C:\Benutzer wird mit 15,7 GB angegeben. Woher kommt dieser Wust von Zeug? Ist das ein Resultat von Trojaner- und ähnlichen Effekten?

So, hier also das OTL Log

OTL Logfile:
--- --- ---

Hm. Da fällt mir auf: Shareaza sollte eigentlich nicht mehr auftauchen. Das meinte ich, entfernt zu haben.

Hoppla. Gerade sehe ich, OTL hat noch ein weiteres Log, bezeichnet mit "Extras" erstellt. Ist zu lang um es hier einzubinden, daher als Anhang

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Der Rechner wurde neu gestartet, dabei kam eine Fehlermeldung zu explorer.exe (ich habe zu schnell OK geklickt um den Inhalt genauer zu lesen; die gleiche Fehlermeldung kam jedenfalls auch schon vorher diverse Male, da habe ich die Viren/Trojaner/Exploits/Whatever als Ursache vermutet).

Der Rechner fuhr jedenfalls auch nicht ganz runter, blieb mit schwarzem Bildschirm hängen (keine HDD Aktivitäten). Ich habe dann einen hard reset gemacht.

Hier das Log

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg

Bittesehr

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Voila das log

Combofix Logfile:
--- --- ---

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehalalrm!

• Starte die aswMBR.exe Vista und Win7 User aswMBR per Rechtsklick "als Administrator ausführen"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Bittesehr

Hm. Beim runterfahren nach dem Scan gab's einen Bluescreen. Der Rechner hat aber zu schnell den Reboot gestartet um zu lesen, warum.

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

OH HILFE!!!!

Der Bluescreen von vorgestern abend war wohl doch fataler. Meine externe 3 GB Festplatte wird nicht mehr erkannt. Am USB 3.0 Anschluss liegt es wohl eher nicht, denn ein USB 3.0 Stick läuft am gleichen Anschluss einwandfrei. Was mache ich jetzt? So ein Mist!!!!

Beim Start nach dem Bluescreen kam ein Windows Hinweis, dass die Datei Mini....dmp wohl bei der Aufklärung helfen könnte. Keine Ahnung ob das stimmt, aber ich habe sie mal hier eingestellt. Ich werde so gar nicht schlau draus.

Ich werde morgen auch versuchen, den Support für die Platte (in England) zu erreichen.

Hmpf. 3 Neustarts später geht das Ding auf einmal wieder. Bei den vorangegangenen Malen ging jeweils beim Herunterfahren irgendwas nicht so wie sonst. Dann einmal doch, dann war sie wieder da.
Trotzdem seltsam. Jetzt gerade bem Einloggen hier auf dem Board bekam ich ein Popup. "Sie sind dabei Daten über eine sichere Verbindung zu auszutauschen. Niemand anders kann die Daten, die sie an den Empfäner senden, sehen" oder jedenfalls sinngemäß sowas. "Nicht mehr anzeigen" angehakt, Ok geklickt, da kam das popup gleich nochmal.
Naja, jetzt mache ich erstmal den MBAM scan (wieder 11 Stunden; ein Spaß! Aber hilft ja nix)

Hier mal das MBAM Ergebnis, doch nochmal (oder neu?) 1 Fund

Hmmm. Was ich da gerade auf dem Malwarebytes-Forum über Sality gelesen habe macht nicht gerade Mut. Mist!!!!

Nachdem Malwarebytes den Rechner neu gebootet hat, wollte ich eben den SuperAntiSpyWare Scan anschließen. Beim Reboot habe ich aber gesehen, dass das Bios eine neue Konfigurationsdatei erstellt hat. Das ist normalerweise ein Zeichen dafür, dass eine meiner Festplatten nicht genug Saft bekommt; die taucht dann im Explorer nicht auf. Also erst gecheckt. Es waren dennoch alle da, nur auf einer der externen Festplatten wurde zwar das Dateisystem angezeigt, die Ordner waren aber leer. Erst dachte ich mir, mache ich den Scan trotzdem. Also erstmal Avira Echtzeit-Scanner ausschalten. Ich konnte zwar den Haken entfernen, das icon hat aber nicht auf den geschlossenen Regenschirm gewechselt. Programm gestartet, der Echtzeit Scanner wurde als inaktiv angezeigt. Da entschloss ich mich, doch noch einmal zu booten. Beim runterfahren kam wieder die Meldung, explorer.exe sei noch beschäftigt. Auf "Beenden" geklickt, dann das gleiche Verhalten wie schon gesten Abend unter den selben Umständen: Erst laaaange schwarzer Bildschirm, dann blue screen, der aber so schnell verschwindet, dass man nichts lesen kann, dann automatischer reboot. Der ging dann glatt. Ich glaube, das Herunterfahren bei ausgeschaltetem Avira Echtzeitscanner ist der gemeinsame Nenner beim Auftreten dieses Verhaltens.
Jetzt werde ich den Scanner und alle anderen laufenden Programme und überflüssigen Dienste wieder ausschalten und dann den Superantispyware Scan machen.

Wo zum Geier hast du das her, was soll das eigentlich sein?

Frag mich bitte was Leichteres. Bewusst und absichtlich habe ich mich in dem Verzeichnis in den letzten 12 Monaten jedenfalls nicht bewegt.

Jetzt verstehe ich den Hintergrund Deiner Frage (nach der PN vom Kollegen, der mir ein "Bringschuld" attestiert hat, wegen Verdacht auf ilegale Software; daran hatte ich nicht mal gedacht). Das ist der Installer für eine Erweiterung zu einer Mod für Morrowind (die Mod heißt Sea of Destiny, die Erweiterung Frost Fall, also Sea of Destiny: Frost Fall, kurz sodff). Frei verfügbar auf hxxp://www.gamefront.com/files/listing/pub2/elder-scrolls-3-morrowind. Beispielsweise.

Meine Soft ist legit. Alle 2 TB (500 GB Sicherungskopien, Dubletten und anderen Müll habe ich inzwischen gelöscht, um die tagelangen Scans zu beschleunigen).

Ich wollte das eigentlich hinterfragen weil ich wissen wollte, ob das ein Fehlalarm ist oder eher nicht!

Ich mache meinem Alias alle Ehre. Diese PN habe ich gestern bekommen

Ich hätte nur auf die Zahl der Beiträge von dem Jungen sehen müssen, dann wäre mir klar gewesen, dass der hier kein Admin oder sonstwas ist. Aber der Vorwurf, ich hätte mir die Malware über cracks eingefangen, hat mich vor heiligem Zorn blind gemacht.

Naja. Hier jedenfalls der (editierte) Auswurf von SAS (die tracking cookies habe ich gelöscht; davon sind immerhin 504 gefunden worden; ich schicke Dir die Liste gerne per PN). Ich habe SAS noch nichts löschen lassen, sondern lasse den Scan result jetzt mal so stehen bis ich von Dir höre..

Trojan.Agent/Gen-StartPage in \PROJECT BLACKOUT\UNINST.EXE ist ein bestätigter false positive laut SAS Forum.
Die anderen Funde, die mir nach false positives aussehen, habe ich an SAS eingeschickt. Das sind

Adware.Zwangi
F:\PROGRAMME\INFRARECORDER\UNINSTALL.EXE
L:\Lxxx\Hxxx\EIGENE DATEIEN\FREECIV\UNINSTALL.EXE
Heur.Agent/Gen-WhiteBox
G:\GAMES\PATCHES\STAR_RULER\SR_V1.0.5.0-V1.0.5.2.EXE
G:\GAMES\PATCHES\STAR_RULER\SR_V1.0.5.2-V1.0.5.4.EXE
G:\GAMES\PATCHES\STAR_RULER\SR_V1.0.7.2-V1.0.7.4.EXE
Trojan.Agent/Gen-FraudPack
G:\GAMES\PATCHES\STAR_RULER\SR_V1.0.6.0-V1.0.6.2.EXE

Ich habe für das Schreiben dieser Antwort längere Zeit benötigt, während der ich offensichtlich automatisch ausgelogt wurde. Dann sieht es immer erst mal aus, als müsste man alles nochmal schreiben. Ich plädiere für entweder:
1. Vergrößerung der Zeitspanne bis zum automatischen Kick,
oder
2. Konservierung der "Nachricht"-Box über den Kick hinaus

P.S. Keine Ergebnisse bei Google zu sodff.exe und "Sality". Ich würde das File ja mal bei Virustotal prüfen lassen, aber es ist natürlich jetzt weg.

Hier ist, was virustotal zu der Version von sodff.exe sagt, die momentan unter hxxp://www.gamefront.com/files/3969878/Sea_of_Destiny__Frost_Fall heruntergeladen werden kann

Ich habe diese aktuelle Version des sodff.exe noch einmal von hxxp://www.gamefront.com/files/3969878/Sea_of_Destiny__Frost_Fall heruntergeladen, auf einen USB Stick kopiert, und den mit Malwarebytes gescannt. Das Ergebnis ist immer noch der Fund von Virus.Sality. Es handelt sich also mit ziemlicher Sicherheit um einen falschen Alarm.

Noch eine Anmerkung zum Forum: laut e-mail Benachrichtigung hat mir popeye2 auf meine Antwort hin noch eine PN gesendet. Die kann ich aber nicht einsehen. Wenn ich oben rechts auf "Private Benachrichtigungen: 1" klicke, komme ich immer nur zu der alten, ersten Nachricht von Popeye2, auf die Zweite kann ich nirgends zugreifen.

Bin ich jetzt endgültig allen so auf die Nerven gegangen, dass keiner mehr Lust hat? Falls ja, entschuldige ich mich.

Also solche Aussagen bringen mich immer wieder zum Kopfschütteln :balla:
Was erwartest du in einem Forum? Glaubst du das ist hier eine Hotline wo jeder Helfer 24/7 zu Befehl auf deine Reaktionen wartet!?

ICH habe auch ein Privatleben und es kann auch mal sein, dass man mal erst abends oder am nächsten Tag antwortet!

Sry für die deutlichen Worte, aber manchmal hab ich den Eindruck dass solche Banalitäten eben doch nicht immer für jeden klar sind. :rolleyes:



Edit: So, nachdem was ich gesehen habe, sollte die sodff.exe ein Mod für ein Spiel sein.


Diese Patches kennst du, was soll das sein?

Du möchtest mal den Haken oben rechts beim Login setzen => angemeldet bleiben

Nein, glaube ich nicht. Ich habe aber einige Kommentare vom Stapel gelassen, die man schon auch in den falschen Hals kriegen kann, wie mir leider erst hinterher klar wurde (Genau wie ich die PN von Popeye2 in den falschen Hals gekriegt habe. Er wollte mir, glaube ich jetzt, nur helfen, ein Missverständnis zu vermeiden). Dafür wollte ich mich entschuldigen. Nicht auf Antwort drängen.

Doch, ist mir klar, und war mir klar. Schwamm drüber.

Genau

Das sind Patches zu dem Spiel Star Ruler. Star Ruler war anfangs recht unfertig, und wurde in einer langen Reihe von Patches verbessert und spielbar gemacht. Ich habe es von Gamersgate gekauft, und die stellen die Patches auf ihrer Webseite zum Runterladen ein (nicht so wie Steam, wo die Patches automatisch eingespielt werden). Eigentlich brauche ich die Patches jetzt nicht mehr, denn ich habe das Spiel ja gepatcht, aber ich halte die Installationsroutinen eigentlich immer komplett vor (vielleicht geht Gamersgate ja doch mal pleite).

FreeCiv ist ebenfalls ein Spiel, im wesentlichen eine Freeware Version des Klassikers Civilization. Dafür gibt es auch eine uninstall.exe. ich habe die Datei zwar noch nicht benutzt ode bewusst ihre Existenz zur Kenntnis genommen, bin aber auch nicht erstaunt darüber, sie zu finden.
InfraRecorder ist ein Open-Source-Brenntool (hxxp://www.chip.de/downloads/InfraRecorder-32-Bit_23790700.html). Ich brenne nur selten was auf CD, daher habe ich keine kommerzielle Soft dafür. Hier gilt im Wesentlichen das gleiche wie für die FreeCiv uninstall.exe.

Ah so geht das. Ich habe mich immer gewundert, was der Effekt dieses Hakens ist. Noob halt.

Gut. Dann kann man das als Fehlalarm abstempeln.
Noch Probleme?

Wegen der anderen Funde zB hier:

Adware.TryMedia
G:\SYSTEM VOLUME INFORMATION\_RESTORE{E196F8E3-EA37-43A7-9F59-119537B7DE90}\RP250\A0071554.EXE

In System Volume Information sind die Dateien für Wiederherstellungspunkte gespeichert.

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Je nun. Ich habe immer noch SAS offen, und es wartet auf Anweisungen (da ich nicht weiß, ob sich die Situation nach dem Schließen des Programms wieder herstellen lässt, läuft der Rechner seit dem Scan). Die 500 Tracking cookies lösche ich natürlich einfach. sodff.exe und die 4 Star Ruler Patches sind wohl vertrauenswürdig.

Was mache ich mit dem Rest? Mal bei Virustotal scannen? Die _Restore files auf G:\ und L:\ kann man sicher schlicht löschen (G:\war mal eine Bootpartition, ist es aber nicht mehr; wie ein Systemwiederherstellungspunkt auf die externe Platte L:\ kommt, ist mir allerdings ein Rätsel), zumindest Vista lässt mich in die Sytem Volume Information Verzeichnisse aber gar nicht rein. Die Google\Chrome\Cache Dateien kann man wohl auch gefahrlos runterschmeißen. Keine Ahnung woher die kommen, ich benutze Chrome nur sehr selten.

Die Systemwiederherstellung auf C:\ habe ich jetzt jedenfalls mal deaktiviert.

Ich habe die Uninstaller von Freeciv und infrarecorder sowie die Star Ruler patches auf das SAS false positives forum gestellt und über die entsprechende Funktion des Programms an SAS gesendet. Leider scheint SAS auf solche Beiträge nicht zu reagieren.

Zu dem Rest hab ich mich doch geäußert oder meinst du wieder was anderes :confused:

Dann muss ich Dich falsch (oder eben nicht) verstanden haben. Zu den folgenden Hits sah ich noch keine Handlungsanweisung (also: SAS löschen lassen oder eben nicht)

Die Hits in den _restore dateien lasse ich SAS löschen, die von mir als unproblematisch gesehenen (die uninstaller) lasse ich stehen

Malwarebytes just confirmed the false positive sodff.exe. The next library should no longer yield a hit.

Schau dir doch mal die Pfade an, das sind alles TEMP oder CACHE Pfade! Temporäre Dateien kann man immer nach einer Zeit löschen lassen

Ok, alle gelöscht außer den besprochenen.

Was ist jetzt noch an Problemen offen?

1. Die 40 geschachtelten Lagen von Verzeichnissen in C:\Users\Default User\Lokale Einstellungen\Application Data\Application Data\Anwendungsdaten\Application Data\Anwendungsdaten\Application Data.... finde ich ein bisschen seltsam. Ist das so, oder ist da was faul?

2. Die folgenden Ergebnisse des ESET scans habe ich nicht als entfernt in Erinnerung. Ich weiß nicht, ob das Teil des OTL Fixes war.
D:\Dokumente und Einstellungen\Jxxx\Desktop\freeripmp3-setup.exe multiple threats (unable to clean) 00000000000000000000000000000000 I
D:\Dokumente und Einstellungen\Jxxx\Lokale Einstellungen\temp\jar_cache654725622443473107.tmp Java/TrojanDownloader.OpenStream.NAX trojan (unable to clean) 00000000000000000000000000000000 I
D:\RECYCLER\S-1-5-21-2000478354-1770027372-682003330-1003\Dc30.exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I

3. Woher der blue screen kommt, kläre ich jetzt erst mal auf der Hardware Seite. Der kommt nämlich immer noch unter bestimmten Umständen.

Ich glaub's ja echt nicht. Gerade habe ich eine e-mail von einem Freund bekommen. Ich wollte sie öffnen, ging nicht in IE. Die Seite blieb weiß und leer. Auf Firefox gewechselt, und nochmal aufgemacht. Hat lang gedauert, irgendwann war sie da. War mit 99%iger Wahrscheinlichkeit auch wirklich von ihm. Gleichzeitig ging aber eine Werbung für irgendeine Pornoseite auf. Außerdem stand was im Hintergrund, das ich aber versehentlich zu schnell weggeklickt habe, um es zu lesen. Könnte eine Warnung von irgendeinem der Antivirenprogramme gewesen sein. Müssen wir jetzt von vorne loslegen? Ich habe eben Malwaebytes aktualisiert und einen Quick Scan machenlassen, kein Fund.

Die Funde kannst du auch manuell leeren! Bei ESET waren das aber nur die üblichen Treffer in Setups wenn diese Toolbars enthalten und eben der Ordner vom JavaCache. Das kann man doch manuell leeren!

Und was für eine E-Mail dir dein Freund da so schickt kann ich nicht beurteilen. Aber vom Webmail bin ich nicht überzeugt, richte dir dein E-Mailkonto mit einem Mailclient wie zB Mozilla Thunderbird ein. E-Mail sollte man sich grundsätzlich als reinen Text darstellen lassen