Unsicher, ob Facebook Virus oder nicht?!
 

Hallo Community,
ich bin vollkommen neu in solchen Foren, daher bitte ich jetzt schon mal darum, mich auf gemachte Fehler aufmerksam zu machen und es mir nachzusehen. :-)
Ich habe auf meinem Rechner, wie schon einige andere auch, einen Link über Facebook von einem Bekannten zugesendet bekommen. (Der Link sah folgendermaßen aus: hxxp://www......maximilian-adam.com/.......) Diesen habe ich anschließend angeklickt und es wurde eine Datei auf meinem Rechner gespeichert. Diese habe ich allerdings nicht ausgeführt, sondern direkt wieder gelöscht. (in meiner anfänglichen Panik) Die Datei hat folgenden Namen: IMG04506864689.JPG.scr. Nun habe ich sowohl Sophos Antivirus, Spybot und Malwarebytes (Quick-Scan) laufen lassen. Sophos lief ohne Ergebnis. Malwarebytes ebenfalls. Lediglich Spybot hat Dinge erkannt, die ich aber über Spybot auch entfernen konnte. Dies habe ich dann auch gemacht und nun zeigt Spybot mir die Meldung, das es keine Spione mehr findet.
Gerade fiel mir noch ein das ich ebenfalls mal im Task-Manager und Autostart nachgeschaut habe ob sich dort unerwünschte Prozesse befinden. Jedoch kann ich auch dort keine "Unsauberheiten" feststellen.
Kann ich davon ausgehen, das mein PC nun sauber ist, da ich diese Datei nicht geöffnet habe? Habe nämlich wichtige Online-Banking Dinge zu regeln und bin mir momentan nicht so sicher ob ich dies nun auch machen soll.
Vielen Dank schon einmal im Voraus führ eure Hilfe.

Du bist hier aber schon seit zwei Jahren mit diesem Nickname registriert ;) so neu kannst du nicht sein :lach:

Bitte trotzdem ALLE Logs davon posten.

Zitat:
Das wusste ich selber nicht mehr das ich hier schon mal registriert war^^

Ich habe den Log gestern nicht gespeichert, werde aber einen durchführen und anschließend das ergebnis hochladen.

Quick-Scan oder Vollständiger Scan?

Schau doch erstmal im Reiter Logdateien nach!
Du hast doch bestimmt schondie Funde beim letzten Mal entfernt. Und diese will ich sehen.

gestern gab's keine funde ^^
aber hier die log vom gestrigen Quick-Scan:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 7909

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

09.10.2011 20:14:45
mbam-log-2011-10-09 (20-14-45).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 179014
Laufzeit: 5 Minute(n), 19 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Ja und davor? Oder gabs niemals Funde? :confused:

Es gab niemal's funde bei Malwarebytes.
Lediglich Spybot S&D hat gestern zwei dinge gefunden, die ich aber damit löschen konnte. und heute zeigt der mir da an es sei alles OK, wenn ich damit scanne.

Ich kann das Programm nicht einschätzen und habe wenig bis gar keine Ahnung und daher wollte ich hier im Forum mal nachfragen und auf Nummer sicher gehen...

Da der letzte vollständige Scan über eine Stunde gedauert hat , hier das aktuelle Ergebnis:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 7917

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

10.10.2011 21:34:16
mbam-log-2011-10-10 (21-34-16).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 382877
Laufzeit: 1 Stunde(n), 26 Minute(n), 25 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Kann Sophos Anti-Virus irgendwie nicht beenden. Kann dort lediglich die Firewall "aus stellen" Würde das ausreichen?

Nein - Sophos dann deinstallieren und frühestens dann wieder installieren wenn wir hier durch sind

Ich würde es echt gerne deinstallieren aber es funktioniert nicht. Ich versuche es über Systemsteuerung aber man sagt mir die ganze ZEit ich hätte dazu keine Rechte.

Sophos Anti-Virus Small Business Edition deinstallieren

Wahrscheinlich ist die Reihenfolge wichtig ist aber nur eine Vermutung. Ich kenne Sophos-Produkte nicht. Wer hat das überhaupt installiert? Kommt im Homebreich eher selten bis garnicht vor.

Hab nun einfach die Autostart-Funktion deaktiviert. Werde es danach ja eh wieder aktivieren wollen. Somit ist es jedenfalls nun möglich den Scan durchzuführen.

Hab das Programm von der Uni bekommen! Soll ganz gut sein und versorgt sich ständig mit Updates. Hab bis jetzt noch keine Probleme gehabt.
Führe nun den Scan durch und lade anschließend die log.datei hoch. Hast du schon eine Tendenz für mich? Oder kann man sowas erst am Ende eindeutig sagen?
Beste Grüße!

Leider habe ich vergessen vorher noch einmal die Energieoptionen zu überprüfen. Somit ist der Scan durchs Herunterfahren unterbrochen worden.- Daher werde ich jetzt noch einmal einen starten und knappe 2h auf ein Ergebnis warten :-P Meld mich dann mit der Log-File. Sorry, aber da hab ich vorher echt nicht dran gedacht^^

So, hier nun meine log-datei aus dem ESET-Scan:

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=ade84037fe3e154f98745988a4aae1ad
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-10-12 09:21:08
# local_time=2011-10-12 11:21:08 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 2
# compatibility_mode=1024 16777215 100 0 28483355 28483355 0 0
# compatibility_mode=5893 16776573 100 94 222 70034439 0 0
# compatibility_mode=8192 67108863 100 0 118 118 0 0
# compatibility_mode=8449 16775166 50 99 53544 50842507 46343 0
# scanned=216950
# found=0
# cleaned=0
# scan_time=6679

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hier die Log-Datei von OTL.

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hier die log :-P

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Ich kann soweit auf alles zugreifen. Bzw. bis jetzt is mir nichts gegenteiliges aufgefallen.
Hier die Log vom Scan mit Kaspersky:

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

log-file die nächste^^

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

ich weiß nicht ob das zu weit führen sollte aber wäre es möglich, das du mir am ende erklärst welches programm was gemacht hat?^^ will ja nicht dumm sterben^^ und könntest du mal einen zwischenstand geben, wo wir uns gerade befinden....:-P
meld mich gleich mit der nächsten log-file.

hier die log-datei:

Du hast das sicher beachtet und umgesetzt?

=> Starte die aswMBR.exe: Vista und Win7 User mit Rechtsklick "als Administrator starten"

Ich hab es gerade gesehen das das Initiallisieren nicht funktioniert hat. Starte gerade einen neuen Scan. Derweil habe ich gemerkt, dass von meiner Kreditkarte Geld abgebucht wurde (Aus Russland), obwohl ich seit dem keine Aktivität mehr auf diesem Konto per Online-Banking über diesen Rechner hatte. Könnte das mit einem Trojaner/Virus in Verbindung stehen?
Wird der Rechner nachher wieder so sicher sein wie zuvor oder ist eine Neuinstallation gerade vor dem genannten HIntergrund sinnvoller?

hier die neue log

Hinweise auf einen Bankingschädling sah ich so nicht, deswegen kommt diese Information ein wenig plötzlich.
Hast du sonst irgendwie was noch nicht erwähnt? Andere Funde auf diesem Rechner, wurde der vllt schonmal bereinigt, gab es schonmal Probleme mit nicht legitimen Abbuchungen vom Konto?

Nein, gab es nocht nicht. das ganze muss auch nicht damit zusammenhängen. Es kann sich theoretisch auch um eine Manipulation gehandelt haben an einer Bank.Das will ich hier nicht ausschließen. Nur merkwürdig das es so zusammen kommt^^ Vielleicht aber auch nur Zufall.

Welche Schädlinge hast du denn gesehen?

Ich habe lediglich mit der spybot-software zwei funde bereinigt. das war vor der aktivität hier im forum.

Arg, ich bin ein wenig überfordert und weiß gerade nicht was ich tun soll :-/
Eigentlich würde ich eine Neuinstallation bevorzugen. Lediglich folgendes Problem beschäftigt mich. Ist der Rechner danach sauber? (Sprich hat das Virus/Trojaner meinen bootsektor angegriffen?) Wie kriege ich meine E-Mails, Fotos und Dokumente sauber auf die neue Version?

Wie weit sind wir denn mit der Scanning-Prozedur momentan? Zumal ich meinen Rechner langsam mal wieder in vollem umfang nutzen müsste....(kein Vorwurf an dich das es nicht schnell genug geht....bitte nicht falsch verstehen)
Grüße...

Weche Schädlinge GENAU da waren lässt sich nicht imme einfach sagen und auch nicht immer genau erklären. Ich hab jedenfalls so keine gesehen, die fürs Onlinebanking gefährlich sein könnten. Allerdings müssen wir noch den MBR neu machen, falls du noch weiter bereinigen willst.

Was soll es jetzt sein? Weiter Bereinigung oder doch lieber format c + Neuinstallation von Windows?

wir können das bereinigen noch zu ende bringen. aber durch die ganzen programme sind so viele ordner entstanden etc^^

dachte da kann es auch nicht verkehrt sein mal alles neu aufzusetzen. Würdest du mir da auch ein paar hilfreiche Tipps geben? Wie bekomm ich meine Dokumente und Fotos sicher auf meine neue Version? Das sind die Fragen die mich momentan am meisten beschäftigen.
Beste Grüße.

Einfach was du brauchst auf eine externe Platte kopieren. Unterstützen können dich auch Backupprogramme. Hier zB => Übersicht: Die beste Backup-Freeware - NETZWELT

Also brauch ich mir keine GEdanken machen das ich da was "mitziehe"??? Oder hast du nichts sonderbar schädliches gefunden :-P

Wenn würde ich Daten so sichern, wenn ich weiß, dass diese Daten von einem (potentiell) kompromittiertem Windows stammen. Dann sichere ich nicht über das verseuchte Windows, sondern über eine Live-CD (Linux), siehe auch (ist eine andere Anleitung, sie kommt von mmk (Markus Klaffke)) 2. Link in meiner Signatur.


Hier eine kurze Anleitung zu PartedMagic, funktioniert prinzipell so aber fast genauso mit allen anderen Live-Systemen auch.

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 180 MB sein
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist

http://partedmagic.com/lib/exe/fetch...ia=desktop.png

4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken
5. Mounte die Partitionen wo Windows installiert ist, meistens isses /dev/sda1 und natürlich noch etwaige andere Partitionen, wo noch Daten liegen und die gesichert werden müssen - natürlich auch die der externen Platte (du bekommmst nur Lese- und Schreibzugriffe auf die Dateisysteme, wenn diese gemountet sind)
6. Kopiere die Daten der internen Platte auf die externe Platte - kopiere nur persönliche Dateien, Musik, Videos, etc. auf die Backupplatte, KEINE ausführbaren Dateien wie Programme/Spiele/Setups!!
7. Wenn fertig, starte den Rechner neu, schalte die ext. Platte ab und boote von der Windows-DVD zur Neuinstallation (Anleitung beachten)

Vielen Dank für die Mühe und die ganzen Hinweise. Ich schag mir jetzt mal den Tag mit Windows um die Ohren :-P