Bundespolizei Virus ch8l0.exe in C:\User\USERNAME\Appdata\Local\Temp\ch810.exe
 

Hallo Trojaner Board,
ich habe eben mir eben einen Bundspolizei-Trojaner eingefangen.

AntiVir hat leider nichts entdeckt.

Ich nutze Windows7 64Bit ultimate.

Im abgesicherten Modus konnte der PC noch gestartet werden.

Habe dann mit der Kaspersky-CD den Rechner gestartet und mit dem windows-Unlock tool den Rechner wieder frei bekommen.

Nach einem Neustart wurde beim ersten Scan mit Malwarebytes die Datei ch8l0.exe gefunden und bereinigt. Beim 2. Scan nach einem Neustart wurde nichts mehr gefunden.

Habe nun aber trotzdem Bedenken, dass etwas auf dem Rechner übrig geblieben ist. Deshlab habe ich eben einen Scan mit OTL durchgeführt und würde Euch darum bitten, diesen Scan einmal durchzusehen, ob da noch etwas kritisches übrig geblieben ist.

Vielen Dank schon mal!

Hier die dds-scan-Daten:

.DDS Logfile:
--- --- ---

Und dann noch die Attach.txt:

.
UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.
IF REQUESTED, ZIP IT UP & ATTACH IT
.
DDS (Ver_2011-08-26.01)
.
Microsoft Windows 7 Ultimate
Boot Device: \Device\HarddiskVolume1
Install Date: 28.02.1980 19:30:58
System Uptime: 01.04.2012 17:40:27 (0 hours ago)
.
Motherboard: Hewlett-Packard | | 30BE
Processor: Intel(R) Core(TM)2 Duo CPU T9300 @ 2.50GHz | U10 | 2475/200mhz
.
==== Disk Partitions =========================
.
C: is FIXED (NTFS) - 149 GiB total, 77,806 GiB free.
D: is CDROM ()
E: is FIXED (NTFS) - 303 GiB total, 42,168 GiB free.
F: is FIXED (NTFS) - 92 GiB total, 66,748 GiB free.
G: is FIXED (NTFS) - 19 GiB total, 3,656 GiB free.
S: is FIXED (NTFS) - 14 GiB total, 9,891 GiB free.
.
==== Disabled Device Manager Items =============
.
Class GUID: {4d36e972-e325-11ce-bfc1-08002be10318}
Description: VMware Virtual Ethernet Adapter for VMnet1
Device ID: ROOT\VMWARE\0000
Manufacturer: VMware, Inc.
Name: VMware Virtual Ethernet Adapter for VMnet1
PNP Device ID: ROOT\VMWARE\0000
Service: VMnetAdapter
.
Class GUID: {4d36e972-e325-11ce-bfc1-08002be10318}
Description: VMware Virtual Ethernet Adapter for VMnet8
Device ID: ROOT\VMWARE\0001
Manufacturer: VMware, Inc.
Name: VMware Virtual Ethernet Adapter for VMnet8
PNP Device ID: ROOT\VMWARE\0001
Service: VMnetAdapter
.
==== System Restore Points ===================
.
RP94: 01.04.2012 16:36:07 - wiederherstellungspnkt nach 1.04.2012 BKA Trojaner
.
==== Installed Programs ======================
.
Acronis*True*Image*Home
ActiveCheck component for HP Active Support Library
Adobe Acrobat 5.0
Adobe AIR
Adobe Connect Add-in
Adobe Reader X (10.1.0) - Deutsch
AFPL Ghostscript 8.54
AFPL Ghostscript Fonts
Any DVD Shrink 1.3.1
Audacity 1.2.6
Avidemux 2.5
Avira AntiVir Personal - Free Antivirus
Biet-O-Matic v2.14.8
Canon MP Navigator 2.2
CanoScan Toolbox Ver4.1
Compatibility Pack für 2007 Office System
Credential Manager for HP ProtectTools
CrystalDiskInfo 4.3.0
eDocPrintPro v3.15.2
ElsterFormular
Free Studio version 5.3.2
FreePDF (Remove only)
GMX ProfiFax
GMX SMS-Manager
GMX Upload-Manager
Google Earth
Google Update Helper
gs_x86
Gupta Runtime 4.0
HP Battery Check
HP Broadband Wireless Modules
HP Customer Experience Enhancements
HP ESU for Microsoft Windows 7
HP JavaCard for HP ProtectTools
HP Product Detection
HP ProtectTools Security Manager
HP ProtectTools Security Manager Suite
HP SoftPaq Download Manager
HP System Default Settings
HP Wireless Assistant
HPAsset component for HP Active Support Library
IrfanView (remove only)
Java Auto Updater
Java(TM) 6 Update 29
K-Lite Mega Codec Pack 6.8.0
KML Generator 2.05
Malwarebytes Anti-Malware Version 1.60.1.1000
McAfee Security Scan Plus
Microsoft Office XP Professional mit FrontPage
Microsoft Silverlight
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
Microsoft Visual C++ 2010 x86 Redistributable - 10.0.30319
Mozilla Firefox 11.0 (x86 de)
Mozilla Thunderbird 11.0.1 (x86 de)
Mp3tag v2.49a
MSXML 4.0 SP2 (KB954430)
MSXML 4.0 SP2 (KB973688)
PDF Blender
PL-2303 USB-to-Serial
Report Builder 6.1
RICOH Media Driver
ScanSoft OmniPage SE 4.0
SeaTools for Windows
Security Update for CAPICOM (KB931906)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2160841)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2446708)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2478663)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2518870)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2539636)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2572078)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2633870)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656351)
Security Update for Microsoft .NET Framework 4 Client Profile DEU Language Pack (KB2478663)
Security Update for Microsoft .NET Framework 4 Client Profile DEU Language Pack (KB2518870)
Security Update for Microsoft .NET Framework 4 Extended (KB2487367)
Security Update for Microsoft .NET Framework 4 Extended (KB2656351)
Sierra Wireless AirCard Watcher
Skype™ 5.8
TeamViewer 6
TeamViewer 7
Tera Term 4.66
Texas Instruments PCIxx21/x515/xx12 drivers.
TIPCI
tools-windows
Total Commander (Remove or Repair)
Unify Runtime 5.2 MSI
Uninstall 1.0.0.1
Update for Microsoft .NET Framework 4 Client Profile (KB2468871)
Update for Microsoft .NET Framework 4 Client Profile (KB2533523)
Update for Microsoft .NET Framework 4 Client Profile (KB2600217)
Update for Microsoft .NET Framework 4 Extended (KB2468871)
Update for Microsoft .NET Framework 4 Extended (KB2533523)
Update for Microsoft .NET Framework 4 Extended (KB2600217)
VC80CRTRedist - 8.0.50727.6195
VISUAL Enterprise 6.5.4 SP3
VMware Player
VueScan
Windows Media Player Firefox Plugin
Winmail Opener 1.4
.
==== End Of File ===========================


Logs vom OTL-scan folgen sofort.

Hier die Logs vom Scan:

Extras.txt:OTL Logfile:
--- --- ---

Und dann noch OTL.txtOTL Logfile:
--- --- ---

Ohne die Logs von Malwarebytes und Co wird das hier nichts. :glaskugel:
Alles von Malwarebytes (und evtl. anderen Scannern) muss hier gepostet werden.

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

ok - sorry, wusste nicht, dass diese Logs auch wichtig sind.

Finde ich irgendwo ein Log von Kaspersky? Ich hatte ja als erstes die Kaspersky-Notfall-CD verwendet um das unlock-Tool zu entfernen. Da da ja alles von der CD gestartet wurde, gibts vielleicht kein Log?!?

Hier das Log von Malwarebytes, das die im Titel genannt exe gefunden und gelöscht hat:

NAch diesem ersten Scan liefen alle Quickscans ohne Fund durch. Ein Scan des kompletten Systems ergab den Fund eines files, was mit RiskWare.Tool.CK indentifiziert wurde:

danach liefen ein weiterer Quickscan und ein kompletter Scan ohne Fund durch.

Danke für Deine Unterstützung!

Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

Ich habe Malwarebytes gestern erst installiert. Alle logs habe ich mal zusammengepackt. siehe unten. Es gibt ein Log mit dem Datum 12.01.2012 - ich kann mich aber nicht daran erinnern das Tools schon mal genutzt zu haben....

Da gibt es auch ein Quarantäne-Verzeichnis in dem einige Dateien drin stehen. Macht es Sinn das anzuschauen? Habs mal hier hin kopiert:

hxxp://troebs.de/BKA/Malwarebytes_Anti-Malware.rar

Das Verzeichnis sieht so aus:
http://troebs.de/BKA/mlwarebytes_quarantine.gif

alle Logs von MWB als zip hier:
hxxp://troebs.de/BKA/logs.rar

Ich hoffe das mit den Links funktioniert....

Ja hat geklappt mit den Logs

Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo Arne,
und wieder was gefunden....

hier der Log von ESET:

Habe eben noch einen anderen Rechner hier bei mir im Netz durchsuchen lassen - er scheint sauber (mit Malwarebytes und ESET gescannt)...

Und nun?

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus wieder uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

Hallo Arne,
ich hab eben mal alles im Startmenü durchgesehen und mit dem Rechner normal gearbeitet. Es scheint alles zu gehen (was ich heute genutzt habe) und im Startmenü fehlt eigentlich nix....

Gruß und schönen Abend Dir!
Heiko

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hier das Log vom OTL-Scan:

OTL Logfile:
--- --- ---

Hier das Log vom OTL-Scan:

OTL Logfile:
--- --- ---

[/CODE]

Sagmal gehörst du auch zur der Fraktion, die sich Serien und Kinofilme über dubiose Portale anschaut?
Wenn ja: in Zukunft Finger weg, diese illegalen Portale verbreiten Malware und wenn du in Zukunft malwarefrei sein wilst, musst du auf legale Alternativen ausweichen und auf solche riskanten Streamingseiten verzichten!
Gerade solche Streamingseiten sind für die aktuelle Welle der Erpresserschädlinge verantwortlich, die Windows blockieren und 50 oder 100 EUR erpressen wollen!!

Hallo Arne,

dieser player ist doch bei dem DIVX-Pack mit dabei gewesen. HAb vor langer Zeit mal mit Divix ein paar Hochzeits-Videos komprimiert... brauch ich ned mehr! Is der illegal?

Zum Thema Video schauen: da gibts genug für meine geringe Zeit in der Mediathek der öffentlich rechtlichen.... ausserdem ist Babyschauen bei uns noch viel spannender!

Hab grad nochmal geschaut. Das DIVIX plus pack ist wohl noch installiert.... finde es aber nicht zum deinstallieren in der SW-Liste der Systemsteuerung - schon verdächtig!

Dieser BKA-Trojaner erschien bei mir als ich nach Carports für unseren Garten gesucht hab... soweit ich das in Erinnerung hab, gabs da keine Videos rund herum...

Aber seitdem die Browser schon immer vorab-Ansichten laden, wenn man nach was sucht im Netz (v.a. Google), bin ich mir gar nicht mehr sicher, ob man üebrhaupt noch suchen sollte....

wie siehst Du das?

Nein das nicht. Aber ich beobachte immer wieder, dass der DivX Web Player genutzt wird, um illegale Streams zu sehen, deswegen kam dieser Hinweis
Schmeiß DivX runter wenn du es nicht mehr brauchst

Und was willst du dann machen wenn du was suchst? :confused:
Sry versteh nicht wirklich was du meinst

würde ich ja gerne, aber es gibt keine Deinstallationsroutine des Paketes... soll ich in der Registry die DIVIX Einträge löschen und danach die Files im Programmverzeichnis? Oder eher irgendein Tool nehmen, um es los zu werden?


Genau das ist ja das Problem - man muss suchen und alleine darin lauern ja schon irgendwelche Gefahren....

Aber so ist das nunmal...


Gibt es auf meinem System jetzt eigentlich noch was bösartiges, oder nicht?

Gruß,
Heiko

Versuch es hier mit => http://filepony.de/download-revo_uninstaller/

Schonmal was davon gehört, dass man seinen Rechner absichern muss bevor man surft? Und dazu gehört nicht das Installieren von einem Virenscanner und das wars dann :balla:
Mehr dazu später

ok - das ich nicht sicher unterwegs war, habe ich gemerkt....

So - Divx ist weg. Habs nochmal runtergeladen, installiert und dann ging die Deinstallation. Scheint nun weg zu sein.

Was kann ich tun, um in Zukunft sicher(er) unterwegs zu sein?

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

auf ein Neues:

OTL-Scan-Log:

OTL Logfile:
--- --- ---

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hallo Arne!
bin eben erst wieder zurück am PC...

Script habe ich ausgeführt - Rechner ist einmal neu gestartet.

Hier das LOG:

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten, Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg

Hier das TDSS-log:

Zu Deiner Info: InforVisualDrillback ist ein Tool, was ich hier installiert habe, da ich mit einem ERP-System namens Visual von Infor experimentiere...

HP ProtectTools Service kommt VERMUTLICH von HP, da das hier ein HP-Notebook ist.

SAFEBOOT sagt mir nichts....

Das ist so ok

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

hmmm - hab gerade ComboFix gestartet - zuvor AVIRA und alles andere abgestellt (Windows Defender hab ich vergessen... sorry!).

Das ist passiert:

Bei "Fertiggestellt Stufe 7" erschien eine Fehlermeldung: Dienstprogramm "Find String" (QGREP) funktioniert nicht mehr....

Was tun? Hab gerade die Windows-Fehlermeldung bestätigt mit "PROGRAMM SCHLIESSEN". Die folgenden Funktionen sind recht schnell abgelaufen bis Stufe_32...

es geht weiter....

rechner startet neu....

habe mich angemeldet...

Combofix wünscht, dass ich keine anderen Programme starte bevor es fertig ist....

Logfile erscheint.

Beim Versuch ein Programm zu starten wird eine Fehlermeldung wegen Schlüssel angezeigt... also Neustart.

Nach dem Neustart scheint alles wieder zu gehen.... hier dann jetzt das LOG:

Combofix Logfile:
--- --- ---

Bitte diese beiden Dateien bei uns hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

gesagt... getan!

Falscher Alarm, die Dateien sind ok

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehalalrm!

• Starte die aswMBR.exe Vista und Win7 User aswMBR per Rechtsklick "als Administrator ausführen"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

und wieder ein Log:

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

musste heute zu nem Gartenarbeitseinsatz - deswegen erst jetzt die Logs:

SASPW:
ist in skype ein Trojaner?!?

Die Cookies hatte ich auch mal deaktiviert... hatte ich zumindest gedacht...

Dann noch MWB-Log:

Danke und vorösterlichen Gruß,
Heiko

Sieht ok aus, da wurden nur Cookies gefunden und ein Fehlalarm war dabei.
Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )


Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller http://filepony.de/download-cookie_culler/
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ich halte es so, dass ich zum "wilden Surfen" den Opera-Browser oder Chromium unter meinem Linux verwende. Mein Hauptbrowser (Firefox) speichert nur die Cookies von den Sites die ich auch will, alles andere lehne ich manuell ab (der FF fragt mich immer) - die anderen Browser nehmen alles an Cookies zwar an, aber spätestens beim nächsten Start von Opera oder Chromium sind keine Cookies mehr da.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Hallo Arne,
es sieht ganz gut aus - kann aktuell nichts mehr feststellen... Danke für Deine Hilfe!

Kannst Du sagen, was es jetzt genau war und wo es her kam?

Die genannten Tools werde ich mir ansehen. Danke für die Links! Passwörter lass ich eh nicht speichern... muss mir die Einstellungen im FF nochmal genauer anschauen.

Kann ich sonst noch was tun, um in Zukunft von so was geschützt zu sein?

Vielen Dank nochmal und an der Stelle schon mal frohe Ostereiersuche!

Gruß,
Heiko

Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt. Mit Hilfe von OTL kannst du auch viele Tools entfernen:

Starte bitte OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.


Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken.


Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:

Adobe - Andere Version des Adobe Flash Player installieren

Notfalls kann man auch von Chip.de runterladen => http://filepony.de/?q=Flash+Player

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.