Wie hast du sasw gestartet? Einfach per Doppelklick?

Bitte so wie es in der Anleitung steht auch ausführen!

Ich weiß nicht mehr wie ich das gemacht habe. Ich habe nochmal gescannt:

Sieht ok aus, da wurden nur Cookies gefunden, die können alle weg. Die anderen Funde sehen für mich nach Fehlalarme aus.
Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )


Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller http://filepony.de/download-cookie_culler/
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ich halte es so, dass ich zum "wilden Surfen" den Opera-Browser oder Chromium unter meinem Linux verwende. Mein Hauptbrowser (Firefox) speichert nur die Cookies von den Sites die ich auch will, alles andere lehne ich manuell ab (der FF fragt mich immer) - die anderen Browser nehmen alles an Cookies zwar an, aber spätestens beim nächsten Start von Opera oder Chromium sind keine Cookies mehr da.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Hallo cosinus,

ja, das System läuft problemlos. Allerdings wird die Datei evre.exe, die ich im Threadstart erwähnte, von keinem Programm hier als Schädling erkannt. Als diese noch durch Autostart gestartet wurde, liefen ja keine aktuellen Mozilla-Programme. Das war ja die Ursache, weshalb ich mich hier gemeldet habe. Ich hatte diese Datei beim Untersuchen meines Rechners gefunden und selbst unter Quarantäne gestellt.
So einen Cookie-Manager für Mozilla werde ich mir mal ansehen, guter Tipp.
Kann ich jetzt mit der deinstallation der Scanner beginnen?

Zusammenhang besteht wie? Was hat der Schädling im Autostart mit laufenden Mozilla-Programmen zu tun?

Ja das weiß ich ja eben nicht.
Nochmal, irgendwann aktualisierte ich Firefox. Danach lief Firefox nicht mehr, er hängte sich nach dem Start auf. Nur ältere Versionen als 13 liefen noch. Dasselbe bei Thunderbird. Alles andere lief. Unter einen anderen Benutzer liefen aber beide. Danach untersuchte ich Einträge in der Registry unter RUN. Da fiel mir dieser genannte Prozess auf, der nur unter meinen Benutzer gestartet wurde. Also killte ich ihn und Mozilla-Programme ließen sich wieder starten.
Woher diese EXE gekommen ist, weiß ich nicht. Sie wird ja auch noch nicht einmal von SUPERAntiSpyware als Schädling erkannt.

Soll ich die EXE mal senden?

Ist diese EXE denn immer noch da?!
Und irgendwie ist ist doch einleuchtend dass nicht jede Malware von einem Virenscanner gefunden kann, kein Virenscanner erkennt jeden Schädling!

Jetzt hat Malwarebytes ihn bemängelt: Trojan.Zbot. Ich hatte die EXE in 'evre.exe.nicht starten' umbenannt. Aber warum erst jetzt und was heißt Zbot, so einfach und offentsichtlich arbeitet doch kein Bot-Netz?

Das Log bitte dazu immer posten!

Außerdem magst du vllt mal Posting #3 vergleichen, da hat ESET das Teil auch gefunden und es lag längt in einer Q:

Log liefere ich nach.
Nein, in das von mir angelegte Quarantäne-Verzeichnis hatte ich die Datei selbst kopiert, nachdem ich sie entdeckt hatte. Allerdings ordnen beide Scanner die Datei unterschiedlich ein: Kryptik.AMOL bzw. ZBOT. Sieht für mich so aus, als wenn die Scanner zwar erkennen, dass die EXE irgendwie verdächtig erscheint, aber nicht warum.

Kein Virenscanner sagt dir warum! Entweder findet ein Scanner in einer Datei etwas oder nicht, wenn er etwas findet dann siehst du nur die Meldung welcher Schädling da drin gefunden wurde. Wo bitte ist das hier signifikant anders? :wtf:

Hast du diese Datei schonmal bei Virustotal ausgewertet? Ich nehme mal stark an, dass diese neuere Malware ist.

Signifikant anders ist das hier, weil dieselbe Datei zwei unterschiedliche Signaturen enthält. Jedenfalls meinen das zwei unterschiedlich Scanner.

Ich werde die Datei mal bei VirusTotal untersuchen lassen, gute Idee.

Hast du noch einen Tipp für mich? Oder kann ich jetzt die Scanner deinstallieren?

Oh wie überraschend, zwei verschiedene Virenscanner melden unterschiedliche Schädlingsnamen :D

Ich befürchte, so kommen wir nicht weiter. :(

Trotzdem vielen Dank für deine Unterstützung und die Tipps für die Schädlingssuche.

Ich warte eigentlich noch auf der Ergebnis von VT :pfeiff: