Hallo!

OTL:
MBAM:
SAS:
Ergebnis Virus Total: hxxp://www.virustotal.com/file-scan/report.html?id=b28dda912427d049a9d8b05ab522f653f7f7dd5c30fd07493c62aea1251baaf8-1309696253# (Was sind das für Angaben?)

Fragen:
- Inwiefern "umgeleitet"? Ich werde auf keine merkwürdigen Seiten geleitet, es öffnet sich auch nichts.
- Allerdings sind nach dem OTL-Fix die versteckten Dateien wieder sichtbar.
- Den CTFMON-Remover habe ich vor Ewigkeiten mal eingesetzt, weil die ctfom.exe mir beim Programmstart mal Probleme gemacht hat und irgendwie zweimal vorhanden war oder so. Ist aber, wie gesagt, schon ewig her. Auf jeden Fall ist die EXE nicht mehr im Autostart - wenn dies aber sein MUSS oder ohne Probleme sein KANN, darfs natürlich auch behoben werden. ;)

Beste Grüße!

Hallo deckbett,



VirusTotal prüft eine Datei mit über 40 Scannern hintereinander. Dies wird oft bei Dateien eingesetzt, bei denen man nicht sicher sagen kann, ob sie schädlich sind oder nicht. VT hilft manchmal bei solchen Entscheidungen. :)


Mein Fehler, du wurdest ja auf keine Seiten umgeleitet. Das ist jedoch typisch für das TDSS Rootkit, mit dem du infiziert warst.
Die beiden IE-Prozesse, von denen du gesprochen hast, sollten nun allerdings nicht mehr im Taskmanager zu sehen sein (bei geschlossenem IE).


:eek: Ok, muss ich mir nochmal genauer ansehen. Bitte die verscheckten Dateien wieder "unsichtbar" machen, siehe dazu Schritt # 1.


Vielen Dank für die Informationen.




Schritt # 1: Systemdateien verstecken
Gehe bitte auf Start -> Computer --> Organisieren --> Ordner und Suchoptionen.
Wechsle auf den Reiter Ansicht.

• Setze den Hacken bei Geschützte Systemdateien ausblenden ( empfohlen )
• Setze den Hacken bei Erweiterungen bei bekannten Dateitypen ausblenden
• Aktiviere Alle Dateien und Ordner nicht anzeigen

Drücke auf Übernehmen und OK

Lösche keinesfalls Ordner oder Dateien ohne Anweisung





Schritt # 2: Java deinstallieren/neu installieren

• Schließe alle Internet Browser.
• Folge dem Pfad: Start -> Systemsteuerung -> Programme deinstallieren
• Deinstalliere bitte Java(TM) 6 Update 23
• Lade dir anschließend Java(TM) 6 Update 26 von hier auf deinen Desktop.
• Installiere anschließend die neue Version mit Rechtsklick -> Als Administrator ausführen

Schritt # 3: Wichtige Updates

• Deinstalliere bitte deine aktuelle Version von Adobe Reader:
  Start --> Systemsteuerung --> Programme deinstallieren --> Adobe Reader
  und lade dir die neue Version von Hier herunter.
• Entferne den Hacken für den McAfee SecurityScan.

Schritt # 4: ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
• Dein Anti-Virus-Programm während des Scans deaktivieren.
  
  Button http://img695.imageshack.us/img695/1599/eset1l.jpg (<< klick) drücken.
  • Firefox-User:
    Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
  • IE-User:
    müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Hacken bei Yes, i accept the Terms of Use.
• Drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Scan archives".
• Gehe sicher das bei Remove Found Threads kein Hacken gesetzt ist.
• http://img707.imageshack.us/img707/687/starteg.jpg drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

• Klicke Finish.
• Browser schließen.

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und kopiere folgenden Text in das Ausführen Fenster.
Poste nun den Inhalt der log.txt.





Schritt # 5: Durchführung einer Sicherheitskontrolle
Downloade Dir bitte SecurityCheck

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS- Box.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Wenn der Scan beendet wurde sollte sich ein Textdokument ( checkup.txt ) öffnen.
• Poste den Inhalt bitte hier.

Schritt # 6: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• das Logfile des ESET Online Scanners und
• das Logfile von SecurityCheck.

Hallo!

ESET:
Security Check:

Hallo deckbett,





Wenn du keine Probleme mehr hast, dann sind wir hier fertig. Dein Rechner ist sauber. :daumenhoc
Zum Schluss müssen wir noch ein paar abschließende Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern.





Schritt # 1: ComboFix deinstallieren
Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.

Windows-Taste + R drücken. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK.
http://larusso.trojaner-board.de/Images/CFuninstall.jpg

Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden.

Nun die eben deaktivierten Programme wieder aktivieren.





Schritt # 2: Systembereinigung mit OTL
Als Nächstes müssen wir alle Programme, die zur Malwarebeseitigung notwendig waren, entfernen:

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Button Bereinigung.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.

Schritt # 3: Programme deinstallieren/löschen

• Deinstalliere/Lösche gegebenenfalls weitere Dateien und Programme, die wir verwendet haben, manuell, falls sie noch nicht von deinem Rechner entfernt wurden.

Schritt # 4: TeaTimer aktivieren

• Starte Spybot S&D => stelle im Menü "Modus" den "Erweiterten Modus" ein
• Klicke dann links unten auf "Werkzeuge"
• Klicke auf "Resident"
• Das Häkchen bei Resident "TeaTimer" hinzufügen(Schutz aller Systemeinstellungen)
• Spybot Search&Destroy schließen
• Rechner neu starten.
  Bebilderte Anleitung.

Schritt # 5: ESET Online Scanner

• Ich würde dir empfehlen, 1 mal pro Woche auch mit diesem Scanner dein System zu prüfen.
• Möchtest Du ESET denoch deinstallieren:
  Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und kopiere folgenden Text in das Ausführen Fenster.
  
  Code:

  ---

  "%ProgramFiles%\Eset\Eset Online Scanner\OnlineScannerUninstaller.exe"

  ---

• Drücke OK.

Schritt # 6: Adobe Flash Player aktualisieren

• Lade dir die neuste Version des Flash Players von Adobe für Firefox und den Internet Explorer herunter.
• Installiere die neuste Version auf deinem Computer.

Schritt # 7: Windows Update aktivieren
Sehen wir nach ob die Updates für Windows sich automatisch downloaden. Das ist der beste Weg um all die Sicherheits- Patches und Fixes zu erhalten.

• Windows + R Taste drücken.
• Kopiere nun folgenden Text in die Kommandozeile:
  
  Code:

  ---

  RunDll32.exe shell32.dll,Control_RunDLL wscui.cpl

  ---

• Klicke auf Ok.
• Stelle sicher, dass die automatischen Updates aktiviert sind.
• Downloade und installiere gegebenenfalls alle verfügbaren Updates.

Schritt # 8: Schutz vor weiteren Infektionen
Damit du in Zukunft vor ähnlichen Infektionen geschützt bist, empfehle ich dir noch ein paar nützliche Programme inklusive ein paar Tipps.

• Vergewissere dich, dass dein Virenscanner stets aktuell ist und regelmäßig Updates erhält.
• Daneben empfehle ich dir die Verwendung eines der folgenden Anti-Malware tools:
  • Malwarebytes' Anti-Malware
  • SuperAntiSpyware
  • Emsisoft AntiMalware
• SpywareBlaster
  Eine kurze Einführung findest du Hier
• MVPs hosts file
  Eine Einführung findest du hier
• Öffne keine E-Mails oder deren Anhänge, wenn du den Absender nicht kennst!
• Verwende keine Filesharing Programme, da damit sehr oft Malware übertragen wird!
• Verwende keine Keygens, Cracks oder andere illegale Software!
• Wähle bei der Installation eines Programms immer die benutzerdefinierte Variante. Somit kannst du unnötige Toolbars, etc. abwählen!
• Halte ALLE deine Programme aktuell, z. B. mit dem Online Secunia Inspector!

Schritt # 9: Passwörter ändern

• Du warst mit Malware infiziert, die Passwörter ausspäht.
• Darum bitte ich dich, alle deine Passwörter (E-Mail, Ebay, Amazon, Online Banking, Facebook, etc.) zu ändern.

Schritt # 10: Deine Rückmeldung
Bitte gib mir kurz Bescheid, wenn alles erledigt ist und du keine Fragen mehr hast, damit ich das Thema aus meinen Abos löschen kann.

Wow, super, dafür bedanke ich mich schonmal! :)

- Passwörter sind zwar nicht wenige, werden demnächst aber alle geändert,
- ComboFix ist deinstalliert,
- OTL automatisch und
- die anderen genutzten Programme manuell entfernt.

ABER:

- Unter "C:" habe ich die beiden Ordner "Boot" und "MSOCache", die mir vorher zumindest nicht aufgefallen sind.
- Ist es korrekt, dass sowohl der Ordner "Programme" UND "ProgramData" existieren?

- Unter "Benutzer" ebenfalls: "Default" und "IUSR_NMPR" sind mir irgendwie neu... (Zusätzlich zu "Benutzer1". "Benutzer2", "Gast" und "Öffentlich".)

- Außerdem bei allen Benutzern: sichtbarer "AppData"-Ordner und zwei oder mehr "NTUSER.DAT" mit unterschiedlichen Endungen und Groß-/Kleinschreibung.

Ansonsten komme ich zu allen meinen Ordnern/Dateien problemlos.

- TeaTimer: Kann es sein, dass dieser (nach Systemstart) ordentlich CPU verbraucht?!

- Ich benutze zukünftig folgende Programme:
* Malwarebytes' Anti-Malware (neu)
* SuperAntiSpyware (neu)
* SpywareBlaster
* Spybot S&D
* Avira Antivir
* ClearProg

"Fehlt" da noch irgendwas, bzw. passen von meiner Kombi manche nicht zusammen?
Generell lasse ich meine Sicherheitsprogramme regelmäßig updaten und kontrollieren.
Auch die Defragmentierung lasse ich einmal pro Monat laufen, außerdem speichere ich in diesem Intervall meine Daten auf einer externen Festplatte.

Gibt es eigtl. Programme, die einem auch das System "sauberhalten"? Z.B. fiel mir durch die Kontrolle wieder auf, dass sich unter "Programme" immer wieder Ordner ansammeln, die man nicht mehr benötigt, weil das Programm dazu gar nicht mehr existiert. Ich finde das immer ganz fürchterlich und denke mir, dass das auf Dauer ja auch nicht so gut sein kann für die Leistung des Rechners...?

Eine Frage zum "Echtzeitschutz" von SUPERAntiSpyware: Dieser ist derzeit deaktiviert - soll das so bleiben? Es läuft ja auch Antivir und nun auch Spybot.

Diese sogenannten Filesharing-Programme, Keygens und Cracks sollten bei mir eigentlich nicht "ins Haus kommen", da ich noch nicht mal weiß, was das ist. *g*

Eine Frage bzgl. Spam-E-Mails: Ich bin bei Yahoo und nutze die Filterfunktion. Dennoch kann ich im Spam-Ordner Mails öffnen (weil manchmal ja auch wichtiges darin landet, bzw. manche Mails abgemeldet werden könnten) - kann dabei was passieren? Viel bekomme ich da eh nicht.

Ja, das wäre erstmal mein Fragenkatalog. *g*

Nochmals danke und bis demnächst! :)

Hallo deckbett,



Die vier von dir genannten Ordner sind alle legitim. Es besteht kein Grund zur Sorge. :) Sie befinden sich auch auf meinem Rechner.


Das sind alles legale Dateien und Ordner. Bei IUSR_NMPR handelt es sich um einen Gastaccount oder einen Internetnutzungsaccount.
Vergewissere dich, dass alle versteckten Dateien und Systemdateien nicht angezeigt werden:

Gehe bitte auf Start --> Systemsteuerung --> Extras --> Ordneroptionen.
Wechsle auf den Reiter Ansicht.

• Setze den Hacken bei Geschützte Systemdateien ausblenden ( empfohlen )
• Setze den Hacken bei Erweiterungen bei bekannten Dateitypen ausblenden
• Aktiviere Alle Dateien und Ordner nicht anzeigen

Drücke auf Übernehmen und OK


Ja, das ist möglich. Wenn du MBAM und SAS verwendest, kannst du auch auf Spybot verzichten.


Die Programme sollten sich nicht in die Quere kommen. Wenn du deinen Computer routinemäßige auf Malware überprüfst darfst du nur nicht alle Programme gleichzeitig nach Schadsoftware suchen lassen, sondern immer nur eines. :)


Sollte einmal ein Ordner von einer Deinstallation "übrig" sein, so kannst du diesen auch manuell löschen (sofern du sicher weißt, dass du das Programm deinstalliert hast und nicht mehr benötigst).


Mit SAS kannst du deinen Rechner, wie auch mit MBAM regelmäßig auf Malware überprüfen. Für den Echtzeitschutz müsstest du Geld zahlen, was aber meiner Meinung nicht notwendig ist.


Umso besser.... :daumenhoc


Mails, deren Absender ich nicht kenne, werden ohne zu öffnen in den Papierkorb verschoben und sofort gelöscht. Das ist mein Tipp. Für gewöhnlich "passiert" nur etwas, wenn du dir eine Datei auf den Rechner ladest, aber 100% sicher ist das auch nicht.


Naja, ich hoffe, dass wir uns, was Malware angeht, hier im Forum nicht mehr sehen werden; denn so kann ich hoffen, dass dein Rechner nicht nochmals infiziert wurde. ;)

Ich bin froh, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen.