Security Shield - System infiziert?
 

Hallo,

ich weiß, dass schon viel über den "Security Shield" geschrieben worden ist, aber ich weiß nicht, ob jemand schon mal exakt dasselbe Problem hatte.

Heute beim Surfen (mit Firefox 13.0.1) ist plötzlich ein Fenster aufgegangen, das den Titel "Security Shield" hatte und vom Aussehen her an das Windows-Sicherheitscenter oder "Microsoft Security Essentials" erinnerte (sah so ähnlich aus wie hier: http://www.trojaner-board.de/89160-m...entfernen.html). Da sich das Fenster nicht normal schließen ließ, habe ich es über den Taskmanager beendet. Im Systray hatte ich auch ein Symbol, das wie ein Schutzschild aussah, das ist dann aber auch weggegangen.

Ich habe mir danach mehrere Websites zum Thema angesehen. Im Gegensatz zu den Schilderungen auf den anderen Websites hatte ich aber weder Probleme, eine Internetverbindung aufzubauen (ich kann ganz normal surfen, auch kein Proxy-Eintrag in den IE-Einstellungen), noch habe ich "verdächtige" Hintergrundprozesse, alles sieht eigentlich so wie immer aus, Sicherheitscenter meldet Firewall als aktiv.

Gibt es noch irgendwelche Möglichkeiten, wie sich der Virus verstecken könnte? Existieren vielleicht Varianten dieser Scareware, die mit Java laufen?

Ich poste mal mein HijackThis-Logfile für alle Fälle:
Bis dann,
Nicomedian

Hi there!

Sorry, dass ich gestern die HijackThis-Logfile gepostet habe. Ich habe jetzt eure Anweisungen befolgt und mein System mit den angegebenen Tools gecheckt. Die Logs sind als Zip-File im Anhang.

Könnt ihr mir jetzt helfen? Wie gesagt, dem Anschein nach ist keine Infektion erkennbar.

Vielen Dank,
Nicomedian

Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Hallo,

danke für die Antwort.

Hier ist der Inhalt der mbam-log-2012-07-17 (16-21-40).txt:
Und hier ist der Inhalt der log.txt von ESET:
Während des Scans mit Malwarebytes meldete Avira zusätzlich einen Virenfund, die Datei habe ich dann in Quarantäne verschoben:
Kann man aus den Logfiles schließen, ob der Virus/Trojaner auch tatsächlich aktiv ist oder sich einfach nur auf dem Rechner befindet?

Bis dann,
Nicomedian

P.S. Sollte die Internet-Verbindung während des ESET-Scans bestehen bleiben? Der Scan dauerte insgesamt mehr als vier Stunden und ich hatte ja Avira deaktiviert.

Vermüllte Software von Softonic scheint gerade stark in Mode zu sein! http://cosgan.de/images/midi/boese/a040.gif

Finger weg von Softonic!! :pfui:

Softonic ist eine Toolbar- und Adwareschleuder! Finger weg! Software lädt man sich mit oberster Priorität direkt vom Hersteller und nicht von solchen Toolbarklitschen wie Softonic! Im Notfall würde natürlich chip.de gehen

adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Search.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

Hallo,

gestern Abend hat mir Avira einen Virenfund (TR/Kryptik.jfx.29) in der "C:\Dokumente und Einstellungen\M**s\Lokale Einstellungen\Anwendungsdaten\etwqgnrfo.exe" gemeldet. Die Datei habe ich dann in Quarantäne von Avira verschoben.

Hier ist der Inhalt der AdwCleaner[R1].txt:
Ich meine mich zu erinnern, dass ich das Programm dann sowieso nicht über den Softonic-Downloader installiert habe, da ich eine Offline-Installationsdatei wollte.

Bis dann,
Nicomedian

adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Delete.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Hallo,

ich habe AdwCleaner jetzt ausgeführt und dabel folgende Logfile erhalten: AdwCleaner[S1].txt:
Beim Booten von Windows XP vor dem Check hatte ich eine Fehlermeldung mit Bezug auf "ANIWZCSdS.exe" (die zum Treiber meiner D-Link-WLAN-Karte gehört). Kann das was mit dem Virus zu tun haben oder ist das reiner Zufall?

Kannst du schon irgendwas dazu sagen, wie gefährlich dieser Security Shield jetzt eigentlich ist? Muss ich mir Sorgen um meine Daten machen oder handelt es sich dabei eher um eine "normale" Scareware, die den User dazu bringen soll, für eine angebliche Desinfizierung des Rechners zu bezahlen, sonst aber keine weiteren Auswirkungen hat?

Ist die Tatsache, dass die infizierte Datei "etwqgnrfo.exe" nicht bei den aktiven Prozessen auftaucht und auch sonst bei den aktiven Prozessen nichts gefunden wurden, irgendwie positiv zu bewerten?

Bis dann und alles Gute,
Nicomedian

@cosinus: Gerade ist beim Surfen der Bildschirm schwarz geworden und auf dem Monitor kam nur die Meldung "No signal". Ich misstraue dem Rechner immer mehr. Allerdings hab ich noch eine Parallelinstallation von Windows 7 auf dem Rechner. Kann ich die ohne Probleme benutzen, auch wenn ich unter XP den Security Shield hatte?

Was soll kich jetzt machen? Gibt es eine realistische Chance, den Rechner mit vertretbarem Aufwand wieder clean zu kriegen oder sollte ich das System besser neu aufsetzen?

Vielen Dank,
Nicomedian

P.S. Danke für deine Hilfe.

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

Zu 1) Der normale Windows-Modus funktioniert eigentlich problemlos, außer dem genannten Problem, das gestern aufgetreten ist (kann aber auch ein Treiber-Problem sein). Außerdem hat sich das System in den letzten Tagen mind. einmal mit Bluescreen (allerdings nach langer Uptime) aufgehängt, Fehlercode kann ich spontan aber in der Ereignisanzeige nicht finden.
Zu 2) Im Startmenü ist alles vorhanden. Allerdings habe ich versucht, Java manuell (über das Symbol in der Systemsteuerung) zu aktualisieren, und es funktioniert nicht.

@cosinus: Kriege ich das System - wenn es wirklich infiziert ist - noch mal richtig sauber, oder sollte ich das besser neu aufsetzen?

Bis dann,
Nicomedian

Ja das kriegen wir schon hin

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hallo,

hier ist das neue OTL-Logfile: OTL.Txt:
Außerdem funktioniert das Java-Update jetzt wieder. Ich habe gerade ein Update gemacht und jetzt Java 6 Update 33 installiert.

Schönes Wochenende und alles Gute,
Nicomedian

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hi there!

Habe den Fix jetzt ausgeführt und hier ist das Logfile:
Sieht das jetzt soweit okay aus?

Eine Frage habe ich noch: Es wurde von Avira ja auch mal der "EXP/CVE.2010.0842.N" in der Datei "C:\Dokumente und Einstellungen\M**s\Lokale Einstellungen\Temp\jar_cache7171570183039623872.tmp" gefunden. Für mich sieht das so aus wie eine Cache-Datei von Java. Die Datei habe ich dann in die Quarantäne von Avira verschoben, wo sie immer noch liegt. Soll ich die Datei einfach aus der Quarantäne löschen oder müssen wir noch etwas Anderes checken? Wenn nicht, war das alles?

Bis dann und alles Gute,
Nicomedian

P.S. Vielen Dank für deine Hilfe!

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg

Hier ist das TDSS-Killer-Logfile:
Bis dann,
Nicomedian

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Hi there!

Hier ist das ComboFix-Log:
Bis dann,
Nicomedian

Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).



Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

Hallo,

hier sind die Logfiles.

Logfile von GMER:
Logfile von OSAM:
Logfile von aswMBR:
Schönen Sonntag,
Nicomedian

Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hallo,

hier ist das Logfile von Malwarebytes:
Und hier ist das Logfile von SUPERAntiSpyware:
Bis dann,
Nicomedian

Ist das bekannt?

Nein, wusste ich bis jetzt nicht. Ist aber schon länger, dass ich diese Software installiert habe. Kann es nicht sein, dass das einfach nur ein "ungewöhnlicher Laufzeitpacker" (so nennt Avira das) ist?

Bis dann,
Nicomedian

Hi there!

Bezüglich der "mp3DC207.exe" scheint es Entwarnung zu geben. Ich habe die Datei unter Verdacht auf Fehlalarm bei Avira hochgeladen und die Datei wurde als "KNOWN CLEAN" eingestuft. Auszug aus der E-Mail von Avira:
Außerdem habe ich beide Dateien ("mp3DC202.exe" und "mp3DC207.exe") bei Virustotal hochgeladen und dort auch keine Virusmeldung erhalten. Interessanterweise stand dort, dass auch "SUPERAntiSpyware" keinen Virus erkannt hatte, obwohl die Offline-Version ja einen Fund gemeldet hat (und das auch mit den neuen Definitionen noch tut). Die Files sind aber schon mehrere Jahre alt.

Abseits davon, wie ist denn die Lage in Bezug auf den Security Shield? Avira AntiVir hat in den Dateien "C:\System Volume Information\_restore{4FE8F9E4-6F98-4846-A823-7B6A05720E8C}\RP216\A0041642.exe" und "C:\_OTL\MovedFiles\07242012_200152\C_Dokumente und Einstellungen\M**s\Lokale Einstellungen\Anwendungsdaten\etwqgnrfo.exe" nun auch einen Virus gefunden, der bei Avira allerdings "TR/Kryptik.jfx.29" heißt. Da es sich dabei ja nur um den Cache der Systemwiederherstellung und das Verzeichnis für Dateien, die OTL verschoben hat, handelt, kann ich diese Dateien einfach löschen? Oder sollte ich das besser nicht tun?

Vielen Dank im Voraus,
Nicomedian

P.S. Seitdem ich Combofix ausgeführt habe, scheint in der CMD.EXE die falsche Codepage eingestellt zu sein, da die Umlaute nicht mehr richtig angezeigt werden. (So wie in "Dr³cken Sie eine beliebige Taste...") Weißt du, wie man das korrigieren kann?

Dann sind das Fehlalarme von superantispyware

Sieht ok aus, da wurden nur Cookies und Überreste gefunden.
Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )


Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller http://filepony.de/download-cookie_culler/
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ich halte es so, dass ich zum "wilden Surfen" den Opera-Browser oder Chromium unter meinem Linux verwende. Mein Hauptbrowser (Firefox) speichert nur die Cookies von den Sites die ich auch will, alles andere lehne ich manuell ab (der FF fragt mich immer) - die anderen Browser nehmen alles an Cookies zwar an, aber spätestens beim nächsten Start von Opera oder Chromium sind keine Cookies mehr da.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Hi cosinus,

das System scheint soweit wieder okay zu sein. Die mutmaßliche Datei, die für den Security Shield verantwortlich war, scheint ja auch nicht mehr an ihrem Platz zu sein.

Wäre das Add-on BetterPrivacy (siehe auch https://www.google.de/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0CFIQFjAA&url=https%3A%2F%2Faddons.mozilla.org%2Fde%2Ffirefox%2Faddon%2Fbetterprivacy%2F&ei=nSIcUO2OKc_ts gb_-YCYBA&usg=AFQjCNF31Kl3vKiZroJUTx9cM9FD_HGRYw&cad=rja) auch eine Möglichkeit, die Cookies loszuwerden?

Soll ich die im letzten Beitrag genannten Dateien, in denen der Trojan.Lameshield gefunden wurde, jetzt einfach löschen, oder was soll ich damit machen?

Bis dann und alles Gute,
Nicomedian

Für die Cookies nehm ich immer CookieCuller oder ich lasse gleich alle löschen, nachdem der Fuchs beendet wurde (in Testprofilen zumindest)

Was du nimmst sei dir überlassen. Cookies sind nicht sicherheitsrelevant können aber nervig sein.

Mit dem lameshield meinst du wohl diesen
Sieh dir doch bitte mal den Pfad vorher an => C:\_OTL das ist der Q-Ordner von OTL

Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. Mit Hilfe von OTL kannst du auch viele Tools entfernen:

Starte bitte OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.


Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken.


Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:
Prüfen => Adobe - Flash Player
Downloadlinks => Adobe Flash Player Distribution | Adobe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Hi cosinus,

vielen Dank für deine Hilfe.

Bis dann und alles Gute,

Nicomedian

Hi there!

@cosinus: Eine Frage hab ich noch: Weißt du, wie ich das mit der falschen Codepage in der cmd.exe wieder korrigieren kann?

Außerdem kommt jetzt nach dem Bootmanager von Windows 7 (habe WinXP und Win7 parallel installiert) beim Start von WinXP immer noch zusätzlich der XP-Bootmanager, der mir noch die Option bietet, die Recovery Console zu starten. Die steht aber schon im Win7-Bootmanager. Kann ich den XP-Bootmanager deaktivieren, indem ich das Timeout auf null setze?

Bis dann,
Nicomedian

Google bei dir kaputt?

Sicher kann man das, aber das ist nun nicht gerade Sinn und Zweck das ganzen!
Was stört daran, wenn man 1-2 Sekunden länger wartet? Die Wiederherstellungskonsole kann in vielen Fällen hilfreich sein

Hi there!

Bei Google hab ich leider nichts Passendes gefunden. Es gibt dort den Hinweis, den Registry-Wert "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Nls\CodePage\OEMCP" zu ändern, aber dort steht schon 850 eingetragen, trotzdem ist in der cmd.exe (oder in anderen Kommandozeilen-basierten Programmen) die Codepage 1252 als Standard eingestellt. Na ja, ist ja nicht wirklich problematisch.

Bitte sag mir noch eins: Wie soll ich jetzt mit den Dateien verfahren, in denen der Trojan.Lameshield gefunden wurde, eine im System Restore und die andere im OTL-MovedFiles-Verzeichnis? Sollte ich die nicht besser löschen, damit dieser Trojan überhaupt nicht mehr auf meinem Rechner vorhanden ist?

Wenn ich die Datei im System Restore lösche, wird wahrscheinlich der Systemwiederherstellungspunkt, zu den sie gehört, ungültig, aber das wäre ja auch sinnvoll, damit der Trojan nicht noch mal durch eine Systemwiederherstellung aktiv werden kann. Könnte es aber sein, dass die Systemwiederherstellung (auch zu anderen Zeitpunkten) überhaupt nicht mehr funktioniert, wenn ich diese Datei lösche?

Vielen Dank,
Nicomedian

Das Problem istt mir noch nie untergekommen ich müsste da auch erst mal googlen

Wurde von mir in Posting #27 alles erklärt

In System Volume Information sind die Dateien für Wiederherstellungspunkte gespeichert.

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Hi cosinus,

dann lösche ich jetzt die Dateien. Wenn ich die Systemwiederherstellung jetzt ausschalte, kann ich die danach gleich wieder einschalten? Eigentlich möchte ich auf dieses Feature nicht verzichten. (Und man kann es ja auch benutzen, um Malware wieder loszuwerden.)

Ansonsten noch mal danke für die Hilfe bei der Desinfektion. Das hätte ich ganz sicher alleine nicht so hinbekommen. Ist der Rechner jetzt aber wirklich so sicher, dass ich auch 'kritische' Dinge wie Onlinebanking damit machen kann?

Bis dann,
Nicomedian

Ja, danach wieder einschalten. Das komplette Deaktivieren löscht alle Punkte und genau das ist ja das eigentlich was wir wollen.

100% Sicherheit gibt es nicht
Ich sagmal auf eigene Gefahr, dein System war aber auch nicht mit einem BankingTrojaner befallen.
Wer OnlineBanking lieber nicht mehr unter Windows machen will, installiert sich parallel ein Linux oder greift zu Sicheres Online-Banking mit Bankix | c't

Hallo,

der "TR/Kryptik.jfx.29" ist von Avira erneut gefunden worden, wieder im Verzeichnis "C:\System Volume Information\_restore\..". Dabei hatte ich die Systemwiederherstellung doch ausgeschaltet.

Hier ist das Log von Avira:
Bis dann,
Nicomedian

Hi cosinus,

ich glaube, das ist deswegen passiert, weil ich die Systemwiederherstellung schon wieder eingeschaltet hatte, bevor ich die Dateien aus dem OTL-MovedFiles-Verzeichnis gelöscht habe. Dann wurde wahrscheinlich ein Systemprüfpunkt erstellt und die infizierte Datei wurde gleich wieder gesichert.

Ciao
Nicomedian

mach bitte neue Vollscan mit Malwarebytes und ESET
Ich glaube aber nur, dass das irgendwelche Überreste sind

Hi there!

Malwarebytes hat jedenfalls nichts gefunden. Hier ist das Logfile:
Ciao
Nicomedian

Hi there!

Und hier ist das Log von ESET:
Bis dann,
Nicomedian

Das sind keine relevanten Funde gewesen
Was ist jetzt noch an Problemen überhaupt offen?

Hi there!

Wenn das kein Virus war, überhaupt nix mehr. Vielen Dank für deine Hilfe!

Nicomedian

P.S. Das mit der Codepage habe ich leider immer noch nicht gefixt bekommen.

Zur codepage weiß ich leider auch nichts, vllt hilft Google weiter

Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. Mit Hilfe von OTL kannst du auch viele Tools entfernen:

Starte bitte OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.


Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken.


Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:
Prüfen => Adobe - Flash Player
Downloadlinks => Adobe Flash Player Distribution | Adobe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.