Firefox leitet auf fremde Seiten um
 

Hallo Leute,
Nachdem dem Download eines Torrents sprang Avira AntiVir an und meldete Virenbefall. Ein Trayicon mit weissem Kreuz auf rotem Grund erschien und Firefox öffnete ungewollt Seiten. Eine Reinigung mit AntiVir erfolgte folgendermassen:
Daraufhin bin ich hier her gekommen, hab gelesen und ausprobiert und im wesentlichen CCLEANER, Malware's Anti-Malware und Hijackthis in Reihe laufen lassen. Mal im abgesicherten Modus, mal nicht, da ich mir da nicht so ganz sicher war.
Das Trayicon ist bisher nicht wieder aufgetaucht. Die Redirects bleiben aber nach einem Neustart.
Die letzte Session hat folgende Reports erzeugt:

Hallo und :hallo:

Weißt du noch was du runtergeladen hast? Bitte schicke mir den Link als PN. Du hilfst damit anderen.

Offensichtlich hast du Glück gehabt. Teste, ob es die Umleitungen auch im Internet Explorer gibt.

Systemdetails mit RSIT prüfen

• Lade Random's System Information Tool (RSIT) von random/random herunter,
• speichere es auf Deinem Desktop.
• Starte mit Doppelklick die RSIT.exe.
• Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
• Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
• Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
• Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

ciao, andreas

Ich werde mal schauen, ob ich die Links/Dateien/Seiten noch finde und PN dir dann.
Hier die zwei rsit reports in mehreren Teilen:

log.txt, Teil 2

log.txt, Teil 3

info.txt, Teil 1

info.txt, Teil 2

info.txt, Teil 3
Das wars. Sorry für die vielen Posts, aber ich darf nur 25000 Zeichen posten. Zum hochladen waren die Dateien anscheinend auch zu groß (jeweils 47 kb). Eine andere Möglichkeit wäre noch ein .zip, aber ich weiss nicht ob das gewünscht ist und ob ich mit meinem System zur Zeit .zip's erstellen darf.

Gruß
Raketenmann

Er hat es doch geschafft. :(

Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  
  Sollte sich ComboFix nicht starten lassen, dann benenne es um in cf.com und versuche es nocheinmal.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Ich habe nun
- ComboFix.exe runtergeladen und auf den Desktop kopiert
- Avira ausgemacht
- CCleaner laufen lassen
- Combofix gestartet, (Windows bestätigt, dass es eine vertrauenswürdige Software ist)
Dann taucht ein DOS Fenster mit namen "." auf in dem steht:
Scheint also nicht richtig gelaufen zu sein? Eine Log Datei ist zumindest nicht entstanden (aber eine Datei namens "biosinfo" liegt neuerlich unter C:/)
Ich habe die Datei auch nochmal in "cf.com" umbenannt. Das führte aber zu einem Fenster mit gleicher Meldung.
Darf ich die .exe kopieren, oder muss sie dort ausgefürht werden, wo sie hingeladen wurde? Darf ich sie auch aus meinem downloads order ausführen oder lad ich sie nochmal direkt auf den Desktop?
Muss ich irgendwas im "Abgesicherten Modus" machen?

Gruß
Philipp

Du sollst sie auf deinen Desktop runterladen und dort starten, nicht aus irgendwelchen Ordnern.

ciao, andreas

Ich habe Combofix nochmal auf den Desktop geladen und die Anleitung von oben Schritt für Schritt durchgeführt. Nach wie vor erscheint die zuvor gepostete Meldung in einem DOS-artigen Fenster und es wird keine log Datei angelegt.

Gruß
Raketenmann

:( Dann versuchen wir es anders. Poste bitte ein aktuelles HJT-Log. Anschliessend diese beiden Scanner laufenlassen und Log posten:

http://www.trojaner-board.de/51187-a...i-malware.html

http://www.trojaner-board.de/51871-a...tispyware.html (nur Punkt 1-3)

ciao, andreas

Ok, HJT-Log folgt. Malware's Anti-Malware möchte ja meistens neu starten, den Neustart dann durchführen und danach den anderen Scan machen?

Ja, unbedingt, sonst werden die Schädlinge nicht gelöscht.

ciao, andreas

Ok, da bin ich wieder^^ die Scans haben ein wenig gedauert und zwischendurch hab ich dann auch mal geschlafen^^.

Erstelle eine neue Text-Datei auf deinem Desktop, kopiere den kompletten Text aus der Box hinein:
Speichere die Datei (Dateityp: Alle Dateien) mit dem Namen DoppelklickeMir.bat ab und starte sie mit Doppelklick. Poste anschliessend das Log von ComboFix.

ciao, andreas

Beim Starten kommt die blaue DOS Konsole und nach einiger Zeit erscheint ein Fenster in dem Combofix fragt, ob es sich updaten darf. Darf es oder ist das nur ein Trick irgendeiner Malware?

Paranoid: Raketenmann

Er muss sogar, das passt schon und wenn er dich fragt, ob die Systemwiederherstellungskonsole installiert werden soll, dann klickst du auf ja.

ciao, andreas

Hier das Log von Combofix.exe

Combofix-log, Teil 2

1.) Deinstalliere:

• Adobe Reader 6.0.1
• Apple Software Update
• BitTorrent 4.0.4
• Bonjour
• ICQ Toolbar
• J2SE Development Kit 5.0 Update 5
• J2SE Runtime Environment 5.0 Update 11
• J2SE Runtime Environment 5.0 Update 4
• J2SE Runtime Environment 5.0 Update 5
• Java 2 Platform, Enterprise Edition 1.4 SDK
• Java(TM) 6 Update 2
• Java(TM) 6 Update 3
• Java(TM) 6 Update 5
• Java(TM) SE Runtime Environment 6 Update 1
• Skype 3.1
• Skype Plugin Manager

Ich staune doch immer wieder darüber, wieviele Leute die Adobe Master Collection haben. Doch ich war schlau, ich habe mir auch über Torrent folgende Datei besorgt:
Nur seitdem ich die gestartet habe, benimmt sich mein Computer so komisch. ;)

2.) Installiere (Toolbars immer abwählen, Haken weg):

• Downloaddetails: Windows XP Service Pack 3
• Adobe Reader oder besser FoxIt Reader
• Die offizielle Skype-Website ? Skype jetzt kostenlos herunterladen für kostenlose Anrufe und Internetanrufe
• Java-Downloads für alle Betriebssysteme - Sun Microsystems

3.) Poste ein aktuelles HJT-Log.

4.) Ich warte noch immer auf die PN mit dem Downloadlink.

ciao, andreas

Beim Schritt "Aktuelle Konfiguration wird untersucht" taucht ein "Service Pack 3 Setup-Fehler" auf:
Die Datei c:\windows\apppatch\drvmain.sdb ist geöffnet oder wird von einer anderen Anwendung verwendet. Wiederholen oder Abbrechen.
Allerdings sind an sich keine Anwendungen offen (nur einige im Systemtray laufen). Ich hab allerdings nach den ganzen Deinstalls nicht neugestartet :S.
Abbrechen, neustarten, nochmal versuchen?
Oder habt ihr eine Idee, welches Programm das sein könnte?

Gruß
Philipp

Ich habe nur kurz recherchiert, aber vll könnte das hier helfen:
SP2 - Error drvmain.sdb is open - Windows Update
Dort steht, alle Netzwerkverbindungen trennen.

ciao, andreas

Hatte nach einiger Recherche jetzt einfach mal neu gestartet *duck*, wollte dann meinen Post editieren und dann deine Antwort gesehen *doppelduck*.
Jetzt installiert er....

Gruß
Raketenmann

Hauptsache geht. :)

Alter Adminspruch: Ein Reboot tut immer gut. :D

ciao, andreas

Ist auch unter Programmieren nicht unbekannt ;-) "Rebuild all" wirkt da auch oft Wunder...
Aktuelles HJT:

Schönes HJT-Log, nur die Zeit gefällt mir nicht. :)

Da bin ich knallhart, ich möchte ein aktuelles. ;)

ciao, andreas

p.s.: Klick nochmal auf Editieren, sonst sage ich allen, dass du Heino heißt. :)

Ist aktuell. Ich glaube meine MB-Batterie ist ein wenig schwach. Wenn der Rechner zu lange aus war, läuft die Uhr nicht mehr weiter. Das hab ich schon, seit ich das neue MB hab und war zu faul das auszutauschen.:Boogie:

Gruß
Raketenmann

Edit:
Im Moment hab ich keine redirects. Bin ich geheilt?

Edit2:
ist geschehen.

Mir geht es nicht um die Uhrzeit als solche, sondern darum, das Bonjour noch zu sehen ist, dass du deinstallieren solltest. :aufsmaul:
Träum weiter. :lach:

Also kontrolliere nochmal deine Liste und poste ein neues HJT-Log.

ciao, andreas

Oh, stimmt. Hmm.. Ich hatte das über Systemeinstellungen->Software entfernt, das weiss ich. Keine Ahnung, warum es jetzt wieder da ist. Ich bin im Moment bei der Arbeit und werde heute abend dann nochmal versuchen, es weg zu bekommen.

Grüße vom Raketenmann

OK, 2 Minuten warte ich noch. :D

ciao, andreas

In der Systemsteuerung->Software ist Bonjour nicht mehr zu finden. Soll ich es vielleicht mal so versuchen wie hier
How To Uninstall or Remove Bonjour mDNSResponder.exe Raymond.CC Blog
beschrieben?

Gruß
Raketenmann

Das ist eine Möglichkeit, die zweite ist Au revoir bonjour.exe

Ist zwar französisch, aber zwei Knöpfe zu drücken bekommt man auch ohne französich hin. :)

ciao, andreas

Hab Bonjour mit dem französischen Tool entfernt.
HJT sagt jetzt:

Poste bitte ein aktuelles Rsit- und Combofix-Log, wir haben soviel gelöscht, das ich nicht mehr weiß, was da überhaupt noch ist.

Du hast da einige Tools zum Übertakten installiert. Brauchst du die überhaupt?

ciao, andreas

Übertacktungstools? Hab ich noch nie wissentlich installiert.
RSIT log:

RSIT letzter Teil

ComboFix log, erster Teil

Beim ComboFix-Log fehlt die Hälfte. :)

ciao, andreas

Hmm... der Rest des files ist 420599 Zeichen lang. Da ich in jeden Post nur 25k Zeichen einfügen kann, sind das 17 posts....
Soll ich das log vielleicht zippen und anhängen, verschicken oder nur einen bestimmten ausschnitt posten?

Gruß
Raketenmann

Edit 1
Deswegen auch "Erster Teil" :-)

Lade es bei einem Filehoster hoch und poste den Link.

ciao, andreas

Ok, log ist jetzt hier zu finden.
http://rapidshare.com/files/232211557/cflog.txt.html

Gruß vom Raketenmann

1.) Deinstalliere:

• SuperAntiSpyware
• Logitech Desktop Manager (es sei denn, du brauchst ihn)
• Mozilla Firefox (1.0.7)
• Mozilla Firefox (3.0.5)
• Mozilla Thunderbird (1.0.2)

2.) Installiere (Toolbars immer abwählen, Haken weg):

• Mozilla Thunderbird auf Deutsch | Mozilla Europe
• Der Webbrowser Firefox | Schneller, sicherer & anpassbar | Mozilla Europe

3.) Starte HJT => Do a system scan only => Markiere:
=> Fix checked

4.) Lade die Datei
bitte bei uns hoch. Die Datei ist nicht sichtbar. Markiere die Zeile in der Box, kopiere und füge sie bei uns ein. http://www.trojaner-board.de/54791-a...ner-board.html

5.) Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Beim draufziehen der Datei mit rechter Maustaste erschien ein ContextMenu. Dort hab ich Öffnen mit ausgewählt (Alternative war abbrechen). Das startete dann ComboFix und hat augenscheinlich das Skript ausgeführt und am Ende neu gestartet.
Soll ich _das_ Log jetzt hochladen, oder ComboFix _nochmal_ laufen lassen? Ich verstehe das jetzt mal so und lass es ein zweites Mal laufen. Das alte Log halte ich aber noch vor, falls das noch benötigt wird.

Gruß
Raketenmann

Ja.
Nein.

1.) Deaktiviere den Wächter von Avira.

2.) Packe den Ordner c:\qoobox als Rar- oder Zipdatei, lade es bei einem Filehoster hoch und schicke mir den Link als PN.

3.) Aktiviere den Wächter von Avira.

4.) Start => Ausführen => combofix /u => OK

5.) Poste ein aktuelles HJT-Log.

ciao, andreas

Dann bitte das unten ignorieren und das hier lesen:

Von 12kB auf 7KB, das gefällt. :) Sollte der nichts mehr finden, dann hast du es geschafft. :)

Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Lab: Anti-Virus, Internet Security, Mobile Security & Antiviren-Software und Services für Unternehmen
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

ciao, andreas

Beim Updaten der Virendatenbank hab ich einen BSoD + Neustart bekommen. Nach dem Neustart hab ich die Installation dann erneut gestartet und jetzt untersucht er seit zwei Stunden und ist bei 12%. Dauert also noch bis morgen, bis ich ein Log habe. Allerdings hat er auch schon 24 Viren, 208 infizierte Objekte und 4 verdächtige Objekte gefunden :pukeface:
(Ich glaube er war gerade dabei, Dokumente und Einstellungen zu scannen. Als ich gestern ürigens Thunderbird installiert habe, ist der nach der Installation gleich angesprungen und hat Mails abgeholt. Eigentlich nutze ich den aber gar nicht mehr, höchstens mal für Newsgroups).

Grüße
Raketenmann

Das hört sich aber gar nicht gut an. Lies doch schonmal als Vorbereitung: http://www.trojaner-board.de/51262-a...sicherung.html

ciao, andreas

Oje, das musste ich erstmal verdauen. Hab mein System schon seid vielen Jahren und war immer so stolz drauf, dass es stabil läuft ;-).

Prinzipiel sieht es bei mir so aus:
c: System und Programme
e: Daten wie Musik und Projekte
f: Applikationen
g: Applikationen und wenige daten, g ist noch neu.

Ich wollte jetzt alles wichtige an Daten von c, e und f auf g sichern, dann c, e und f formatieren (ist physisch auch eine Platte, g eine andere) und dann das System wieder auf c aufspielen. Jetzt hab ich aber folgende Fragen:

- Ist das ok, Daten auf g zu sichern und g nicht zu Formatieren? Oder verschlepp ich meine Infektion vielleicht nur?
- _Muss_ e auch formatiert werden, oder nur die Partition c? Dann bräuchte ich meine Musik nicht zu sichern.
- Darf ich DVD's brennen, oder kommen Schädlinge da mit drauf?
- Was muss ich beim Archivieren von Outlook's Ordnern beachten, damit ich nicht beim Reimport Trojaner verschleppt habe (wenn sowas überhaupt geht).
Gibts da nicht vielleicht eine von euren tollen Anleitungen? :-)

Achja: Ich würde dann vielleicht von XP auf Vista oder sogar Windows 7 beta umsteigen (gute Idee?). Oder ist es besonders wichtig, dass ich jetzt erstmal wieder das gleiche Betriebssystem nutze?

Gruß vom Raketenmann

Poste bitte das Log von Kaspersky, ich muss wissen, was wo gefunden wurde.

ciao, andreas

Hab keins. Ich hatte das eine Nacht durchlaufen lassen und am nächsten Morgen war der Rechner neugestartet -_-. Ich starte dann gleich nochmal, wenn du das brauchst.

Gruß
Raketenmann

Ja. Ich war nur im ersten Augenblick aufgrund der Menge der Meldungen erschrocken, aber eigentlich zählt nur, was er wo findet. Der Kasper zählt ja auch die Cookies und die sind nun wirklich nicht schädlich.

ciao, andreas

Hier das Ergebnis vom Kaspersky Online Scannner.
RapidShare: Easy Filehosting
MD5: C2E8B07F02ED93A851A19BFDD0F48CAE
Ich hab schon gesehen, dass da viele Mails aus dem Thunderbird drin vorkommen. Den benutz ich für Mails gar nicht mehr (nur manchmal für Newsgroups). Ich hatte den neu installiert, wie hier geschrieben wurde, daraufhin ist der gleich angesprungen und hat ein paar Mails abgeholt o_O. Allerdings sind die im Log erwähnten Mails anscheinend eher Alte, aus der Zeit, als ich TB noch genutzt hab. Nur meine 2 Cent.

Gruß
Raketenmann

Entwarnung. Er hat tatsächlich nur Mails gefunden, die meisten davon im Papierkorb, aber auch etliche in deinem Posteingang. Dann hat er aber noch die in der Quarantäne von Combofix gefunden, das ich dich eigentlich schon längst deinstallieren ließ.

Also nochmal:
Start => Ausführen => combofix /u => OK

Dann löscht du alle Mails und vor allem deinen Papierkorb von Thunderbird.

1.) CureIT Dr.Web

• Downloade Dr.Web CureIt!
• Speichere es auf deinem Desktop.
• Entpacke es in einen eigenen Ordner.
• Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.

• Lass alle Malware in den Quarantaene Ordner verschieben.
• Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr.Web CureIt! abstellen.
• Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.

• Speichere das Logfile - siehe Anleitung - und poste es.

2.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

3.) Überprüfe den Rechner mit PrevXCSI.

Logs nur posten, falls etwas gefunden wird. Zum Abschluss ein HJT-Log posten.

ciao, andreas

Hab ich auch deinstalliert. Ich hab jetzt trotzdem nochmal "combofix /u" ausgeführt. Die MessageBox sagt dann, dass combofix nicht gefunden wurde.
hmm.. soll ich dann was von Hand löschen?

Gruß
Raketenmann

Ja.

Lösche die Ordner (falls vorhanden):
C:\Qoobox
C:\Combofix
C:\windows\erdnt

und die Datei:
C:\combofix.txt

ciao, andreas

Hier schonmal das log von CureIT Dr Web

ActiveScan:
http://rapidshare.com/files/234000464/ActiveScan.txt.html

MD5: 6F48215F287185958105FCB5D161EDB6

Prevx 3.0 hat einen "High Risk Worm" gefunden. Hab nichts zum Log speichern gefunden.
Status: Threat (License required to clean)
Name: mcfmfli.sys in c:\windows\system32\drivers\
Threat Identified: High Risk Worm

1.) Lade die Datei
bitte bei uns hoch. http://www.trojaner-board.de/54791-a...ner-board.html

2.) Starte Malwarebytes, führe das Update durch, starte eine Quickscan und poste das Log.

ciao, andreas

Das Fenster von Prevx ist nochmal aufgegangen, dort steht immer noch das gleiche drin wie vorher. Soll der auch weiterhin an und installiert bleiben?

Gruß
Raketenmann

Nein, der kann genauso deinstalliert werden, wie

• Panda Online Scan
• Kaspersky Online Scan
• DrWeb CureIt

Kontrolliere, ob es einen Ordner
gibt. Falls ja, dann samt Inhalt löschen.

Und du hast noch immer nicht deine verseuchten Emails gelöscht, bitte nachholen.

1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.

2.) Lade dir den Regseeker

http://www.hoverdesk.net/images/reg-find.jpg

• Klick auf Clean the registry
• Klick auf OK
• Warte bis er fertig gesucht hat
• Klick auf Select => markiere nur die Grünen
• Klick auf Action => Delete

Wiederhole die Suche und das Entfernen mit dem Regseeker entweder zehnmal oder solange bis entweder keine oder immer die gleichen grünen gefunden werden.

3.) Lade dir den Microsoft RegClean - Download - CHIP Online, starte ihn und klicke auf Fix Errors und zwar solange, bis Fix Errors grau bleibt.

4.) Wegen der hochgeladenen Datei müssen wir noch etwas warten. Prevx hat sie erkannt, VT sagt 8/40, aber Prevx war nicht dabei. Das könnte mal wieder ein Fehlalarm sein.

5.) Gibt es noch irgendwelche Auffälligkeiten oder verhält sich der Rechner wieder normal?

ciao, andreas

p.s.: Gerade Antwort von Kaspersky erhalten, die Datei ist sauber. Einfach abwarten, was die anderen schreiben.

Wenn ich Thunderbird öffne ist da absolut nichts mehr drin. Alle Ordner sind leer. Ich kann den aber sonst auch deinstallieren und Notfalls den Thunderbird Ordner aus den Anwendungsdaten von Hand löschen, wenn das nötig ist.

Wenn ich Ordner lösche, reicht es, die mit Entf + Papierkorb leeren zu löschen?
DrWeb cureit hat keinen Uninstaller? Kann ich einfach die exe auf dem Desktop löschen?

Hmm. :confused: Wenn alle Stricke reissen, dann machen wir das so.

Lass im Anschluss nochmal Avira so laufen: http://www.trojaner-board.de/54192-a...tellungen.html

Schneller geht es, wenn du mit [Umschalt][Entf] löscht, dann landet es erst gar nicht im Papierkorb. ;)

ciao, andreas

Hier nochmal das Ergebnis von VT (zur Beweissicherung und Untermauerung von: Traue niemals der Aussage eines AVPs):
Man achte nur auf die Bezeichnungen: Win-Trojan/Avenger.61440, Win32.Banker, Trojan.Win32.Malware.1, W32/Agent.HHSF, Rootkit/Agent.LNB, Trojan-PWS.Bancos.PWN (PWS=Passwordstealer, Banker :lach:), Hoax..Agent.61440 (das passt schon eher :))

Weitere Nachricht von Fortinet: Datei ist sauber.

ciao, andreas

p.s.: Jetzt sind es schon 9/40. :D http://www.virustotal.com/de/analisi...346fa238801352

Ok, also verbleibt die ' mcfmfli.sys' erstmal auf meinem System?
Und der Popcaploader? Ich weiss leider noch nicht wie ich DrWeb sauber entferne...:(

Ja. Das müssen Falschmeldungen sein, da hake ich nach. Es scheint fast so, als würden die Bezeichnungen für die Schädlinge(oder auch nicht) nicht ermittelt sondern gewürfelt.
Der ist in Quarantäne von DrWeb. Falls du ihn deinstalliert hast, dann lösche den Ordner
mit [Umschalt][Entf].

Gibt es noch irgendwelche Auffälligkeiten, denn wir jagen zur Zeit nur noch Falschmeldungen hinterher?

ciao, andreas

Auffälligkeiten bemerke ich keine mehr.
- keine Umleitungen
- keine Trayicons
Einzig der Ordner
'C:\Programme\EbatesMoeMoneyMaker'
kam mir seltsam vor. Als mir die Anleitung zur Systeminstallation empfohlen wurde, hab ich den Programme Ordner mal durchgestöbert und da war er mir nicht aufgefallen. Das kann allerdings auch ganz unbedeutend sein. Ich werde einfach mal darauf achten, ob sowas wieder auftaucht.

Gruß
Philipp

Dann bist du entlassen. :) Lies noch die letzten beiden Links in meiner Signatur, damit dir das nicht wieder passiert.

ciao, andreas

Juchu!
Nochmal vielen vielen Dank, john.doe. Die Hilfe war sehr freundlich, schnell und geduldig.

Grüße
Raketenmann