Neue Funde von Avira Antivir! Was nun?
 

Hallo!

Bei einem routinemäßigen Check mit Avira Antivir wurden auf meinem Rechner neue Bedrohungen gefunden.
Vielleicht kann sich von Euch jemand mal kurz das Protokoll ansehen und mir mitteilen, ob weitere Scans/Checks erforderlich sind.

Hier das Protokoll:
Der Scan mit Malwarebytes Anti-Malware dagegen hat keine weiteren Bedrohungen als Ergebnis:
Vielen Dank im Voraus für eine Rückmeldung.

Viele Grüße
Petain

Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo Arne,

freut mich, dass Du mir hilfst.

Hier das Log vom ESET Online Scanner:

Wie vorgegeben hatte ich KEINEN Haken bei "Remove Found Threats" gesetzt.

Mir ist gerade noch aufgefallen, dass Windows Defender momentan nicht mehr funktioniert.
Die Fehlermeldung habe ich mal als Bilddatei angehängt.
Weiß nicht, ob das was zu bedeuten hat.

Bin schon gespannt auf Deine nächste Antwort.

Grüße
Petain

Was soll das sein?!

"Trainer" sind immer hochriskantes Zeug. Lass die Finger davon!

Hallo Arne!

Es handelt sich hier um eine alte Version von dem Download-Manager Getright. Diese Software hatte ich früher genutzt. In heutigen Zeiten mit DSL, brauche ich die Software nicht mehr. Kann ich gerne löschen.

Was meinst Du mit "Trainer" sind hochriskantes Zeug? Meinst Du damit wirklich Management-Simulations-Spiele?
a2goldtrainer.exe stammte von einem vor ca. 10 Jahren gekauften FußballManager "Anstoss 2 Gold Edition" (Hersteller: Ascaron)
Spielen tue ich das schon längere Zeit nicht mehr. Der Ordner auf meiner Festplatte war so eine Art Datensicherungsordner. Könnte ich auch gerne löschen.

Grüße,
Petain

Aber doch nicht der "Trainer"! Sog. Trainer sind meistens irgendwelche Schummeltools (Cheats) aus sehr dubiosen Ecken!

Ok, verstehe!

Habe damals wirklich mit Cheats gearbeitet um als "Fußball-Trainer" erfolgreicher zu sein. Daher kann es schon sein, dass "a2goldtrainer.exe" keine Original-Datei von der Installations-CD war.
Werde mich zukünftig von derartigen "Trainern" fernhalten.

Nachdem ich dieses Spiel (Anstoss2) nicht mehr auf meinem Rechner brauche, werde ich den gesamten Dateiordner löschen.

Getright nutze ich auch nicht mehr. Das war nur hilfreich, wenn man mal ein par MB über ISDN downloaden musste. Werde ich auch löschen.

Wie geht es danach weiter?

Hallo Arne!

Ergänzend zu meinem letzten Post habe ich mir inzwischen die anderen Funde vom Eset Online auch mal genauer betrachtet.
Aus meiner Sicht kann das alles gelöscht werden. Diese Sachen habe ich mir irgendwann beim Surfen heruntergeladen, aber dann aus Zeitgründen nie installiert und genutzt. Brauche diese Programme nämlich auch gar nicht.

Bei manchen Sachen (Heidi.exe und go392.exe) habe ich zudem keine Idee, was sich dahinter verbergen soll. Somit ist löschen auch hier wohl die einzig richtige Entscheidung.

Gib mir bitte Bescheid, falls ich (noch) nicht löschen soll (weil es z.B. die weiteren Analysen und Checks auf meinem Rechner erschwert) und lass mich wissen mit welchen Scans es weiter gehen soll.

Dank Dir im Voraus.

Grüße
Petain

Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

Hallo Arne!

Ich habe auf Deine Anweisungen hin aus folgenden Thread schon Scans mit Malwarebytes durchgeführt:
http://www.trojaner-board.de/109661-...-17-viren.html

Hier das Log vom ersten damaligen Scan (war unwissenderweise ohne Adminrechte erzeugt worden):

Die restlichen Logs hänge ich Dir als Datei an.
Die Logs vom 26.02. waren entstanden bei den Scans meiner USB-Stifte und meiner SD-Karte.

Grüße
Petain

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hallo Arne!

Die Funde vom ESET-Online-Scanner kann ich vorher alle löschen, oder?

Grüße
Petain

Ja weg damit

Hallo Arne!

Die ESET-Online-Scanner-Funde habe ich alle gelöscht.

Nachfolgend die OTL.Txt vom CustomScan:

Das "Run 3" kommt von den Einsätzen bei der vorherigen Virenbekämpfung.
Ebenso die Spuren in OTL.Txt bezüglich SuperAntiSpyware oder anderer Diagnosetools.

OTL Logfile:
--- --- ---



Vielen Dank im Voraus für die nächsten Anweisungen.

Grüße,
Petain

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hallo Arne!

Mein letzter OTL-Fix (anderer Thread) war erst erfolgreich, nachdem wir folgende Kommandos weggelassen hatten.

Ich starte den OTL-Fix mal mit dem kompletten Code aus Deiner Vorgabe und lasse den OTL-Fix mal über die Nacht laufen. Hoffe natürlich, dass der OTL-Fix ganz normal durchläuft und sich nicht wieder aufhängt.

Kannst Du mir trotzdem kurz mitteilen, ob nach ca. 9 Stunden Laufzeit ein Weiterwarten Sinn machen würde? Werde Deine Antwort auf einem anderen Computer lesen.

Dank Dir im Voraus für Deine Rückmeldung.

Grüße
Petain

Mach den Fix im abgsicherten Modus mal

Vielen Dank für die schnelle Rückmeldung.

Habe den Rechner jetzt direkt im abgesicherten Modus gestartet und versuche es auf diesem Weg.

Hier der Link zum Post von damals:
http://www.trojaner-board.de/109661-...tml#post777825

Aber vielleicht habe ich ja dieses Mal Glück und alles läuft durch.

Hallo Arne!

Dieses Mal hat es im abgesicherten Modus beim zweiten Versuch proplemlos geklappt. *freu*

Beim ersten Versuch hatten sich beim Kopieren leider unbeabsichtigt Zeilenumbrüche eingeschlichen (war mein Fehler, da ich die Anweisungen bzw. den Code erst in den Editor zum Bearbeiten (wegen Zurückänderung der ****-Usernamen) eingefügt hatte - SORRY - wieder was gelernt). Da hatte sich OTL dann aufgehangen und ich musste abbrechen und nochmals beginnen.

Ich hoffe, dass hatte keine zu großen negativen Einflüsse auf die Brauchbarkeit des Protokolls. Gib mir bitte Bescheid, wenn wir den CustomerScan deswegen wiederholen müssen.

Hier nun das komplette Logfile vom Fix:

Bin bereit für weitere Anweisungen.

Viele Grüße
Petain

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Hallo Arne!

Hier das Log zu TDSS-Killer:

Unhide.exe habe ich nicht ausgeführt. Ich vermisse aktuell keine Dateien und Anwendungen.

Bin bereit für weitere Anweisungen.

Grüße
Petain

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Hallo Arne,

hier das Logfile:

Um Rückfragen vorzubeugen: Mein erster ComboFix-Lauf im Februar war von Dir angeordnet gewesen.

Bin bereit für weitere Anweisungen.

Viele Grüße
Petain

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

Hallo Arne!

Was ich mich schon lange Frage: Ist es eigentlich bei den Scans entscheidend, von welchem Account aus ich die ganzen Prüfungen anstarte?
Ich führe alle Scans vom Administrator-Account aus durch. Es gibt aber noch 3 weitere Accounts auf meinem Rechner.

Hier nun die Logs:

1. GMER


2. OSAM

Was ist das denn?


3. aswMBR

Grüße
Petain

Solange du Adminrechte hast ist das egal von welchem Konto aus.
catchme ist ein rootkitscanner, der von CF benutzt wird => catchme

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hallo Arne!

Nachfolgend die beiden Logs:

1. Malwarebytes

2. SuperAntiSpyware

Habe auf jeden Fall per Rechtsklick als Administrator gestartet. Warum hier limitiert steht, verstehe ich nicht.


Weitere Schritte?
1. Die Cookies würde ich wieder löschen?
2. Von 6 FFUNLOCK-Dateien (jeweils in einer Zip-Datei und außerhalb der Zip-Datei - jeweils auf meiner normalen Festplatte und in 2 Datensicherungen) hat SuperAntiSpyware nur zwei gefunden.
Interessanterweise unterscheiden sich die gefundenen Dateien von den anderen in der Änderungs-Uhrzeit im WindowsExplorer. Eigentlich sollten es alles exakte Kopien (weil 1:1 Datensicherungen) sein.
Kann hier ein Virus etwas verändert haben?
Ich würde die bemängelten Dateien auch löschen.

Bist Du damit einverstanden???

Hast Du einen alternativen Programmvorschlag zum Beenden von laufenden Prozessen (aus einer sicheren bzw. sauberen Quelle)?
Dann würde ich dieses FFUNLOCK komplett löschen.

Viele Grüße
Petain

Sieht ok aus, da wurden nur Cookies gefunden. Das andere sind eher Fehlalarme. Aber wenn du es eh nicht mehr brauchst kannst es ja löschen.
Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Hallo Arne!

Ich hatte meinen Rechner zwischendurch ausgeschaltet. Daher lasse ich SuperAntiSpyware jetzt mal nochmals laufen und werde dann die Cookies und die besagten FFUNLOCK-Dateien löschen lassen.

Weitere Probleme und Funde habe ich eigentlich nicht.

Aber kann es sein, dass die Diagnoseprogramme einige Ordner sichtbar gemacht haben, welche ich bisher nicht wahrgenommen hatte?
Beispiel: C:/Boot

Auf meiner externen Festplatte sind jetzt auch zwei leere Verzeichnisse mit Erstellungsdatum 19.05.2005 und 20.10.2005 sichtbar: "_Restore" und "Recycled".
Kann sein, dass ich die Festplatte 2005 gekauft habe.

Werden diese Ordner nach der Deinstallation der Diagnoseprogramme wieder unsichtbar? Kann ich "_Restore" und "Recycled" bedenkenlos löschen oder werden diese für irgendwas benötigt? In den Eigenschaften stand "Schreibgeschützt".

Grüße
Petain

Die Objekte werden einfach nur nich angezeigt in der Standardansicht. Einfach andersrum vorgehen wie hier beschrieben http://www.trojaner-board.de/59624-a...-sichtbar.html


Nein
Ich weiß auch nicht warum solche Objekte nerven

Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt.
Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:

Adobe - Andere Version des Adobe Flash Player installieren

Notfalls kann man auch von Chip.de runterladen => http://filepony.de/?q=Flash+Player

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Hallo Arne!

Zuerst einmal vielen Dank für Deine Unterstützung bis hierher!

Im Moment bin ich ziemlich ratlos. Ich habe auf Eurer Seite schon viel gelernt und wende deutlich mehr als in der Vergangenheit auch wieder "brain.exe" an.

Doch leider habe ich keine guten Neuigkeiten. Ich wollte vor den Maßnahmen zur Absicherung und nach der (abgeschlossenen) Bereinigung für mich selbst nochmals einen Avira Antivir-Lauf ohne Virenfund durchführen.

Der Suchlauf hat jedoch zwei Funde gemeldet. Interessanterweise waren die Funde auf der externen Festplatte. Auf dieser sind zwei Datensicherungen meiner Daten (also nur Dokumente, Bilder, Videodateien usw. und keine Systemsicherungen). Ich habe in den Datensicherungen dieselbe Ordnerstruktur wie auf der Systemfestplatte.
In der einen Datensicherung gab es keinen Fund und auf der Systemfestplatte (im PC eingebaute Festplatte) unter den gleichen Pfaden/Ordnern auch keinen. Die in Quarantäne verschobenen Dateien waren in der anderen Datensicherung und auf meiner Systemfestplatte also nicht zu finden.

Ab des ESET Online Scanner hatte ich bei den vorangegangenen Bereinigungen auch immer die externe Festplatte komplett mit einbezogen.

Log:
Bitte schreib mir Deine Meinung zu den Funden.
Ich hoffe die Dinger sind nicht allzu gefährlich.
Was sollen wir nun tun?

Ich würde jetzt noch Malwarebytes laufen lassen und davon ebenfalls ein Log hochladen. Soll ich anschließend auch schon den ESET Online Scanner laufen lassen?

Vielen Dank im Voraus für Deine weitere Hilfe.

Grüße
Petain

P.S. mein "brain.exe" versteht das momentan nicht.

Hallo Arne!

Dieser Beitrag heute ist die Fortsetzung von gestern. Hoffe den gestrigen Beitrag hast Du schon gelesen.

Ich habe nochmals neue Erkenntnisse gewonnen:
Die beiden neuen Funde waren schon vor meinem ersten Beitrag auf Trojaner-Board (am 11.02.2012) auf meiner Systemfestplatte (unter Partition K:) beseitigt worden. Das habe ich in meinem allerersten Beitrag in diesem Forum gefunden:
http://www.trojaner-board.de/109661-...tml#post770887

Chronolgie in Stichpunkten:
- 08.02.2012: Meldung "Windows Security Center ..." tritt auf, inkl. der Drohung, dass die Festplatte innerhalb von 24 gelöscht würde, wenn nicht bezahlt würde
- 08.02.2012: Avira Antivir Komplettscan (ohne externe Festplatte) durchgeführt => die beiden Funde und weitere wurden gelöscht
- 09.02.2012: Datensicherung auf externe Festplatte wegen Drohung der Festplattenlöschung (in neuer Sicherung waren die beiden Funde nicht mehr enthalten, daher verstehe ich jetzt, warum die Funde gestern nur in einer Datensicherung vorhanden waren)
- 11.02.2012: Eintrag/Post auf Trojaner-Board mit Bitte um Hilfe


Die externe Festplatte hatte ich auch damals erst beginnend mit dem Scan vom ESET Online Scanner geprüft (bei der restlichen Bereinigung war die externe Festplatte immer mit dabei). Daher hatte ich die externe Festplatte auch in diesem Thread erst mit einbezogen, als der ESET Online Scanner an der Reihe war. (Auch wieder ein Anfängerfehler meinerseits!)
So dürften uns diese beiden Funde bisher durch die Lappen gegangen sein.
Scheinbar hat nur Avira Antivir diese beiden Funde erkannt.

Nachdem die beiden Dateien im Unterordner "Downloads_Programme_Ungetestet" zu finden waren, ist die Wahrscheinlichkeit, dass ich diese noch nie geöffnet/ausgeführt habe sehr, sehr hoch.
Habe in diesen Unterordner schon seit mindestens zwei Jahren nichts mehr hinein geschoben.


Hier noch das neueste Malwarebytes-Log inkl. Scan über die externe Festplatte:

Ich bin dankbar für Eure Unterstützung hier.
Was sollten wir nun tun?

Grüße
Petain

Was du da auf deiner externen Platte drauf hast musst du ja wohl auch dann wissen was das ist!

Was soll das sein? Ein ungetestetes Programm WBS1.EXE :balla:

Hallo Arne!

Ich muss gestehen, dass ich nicht weiß, was "wbs1.exe" und "rdl.zip" gewesen sein sollen. Es dürften Programme gewesen sein, sonst hätte ich die Dateien nicht in den Ordner "Downloads_Programme_Ungetestet" einsortiert.
Früher habe ich die Dateinamen von Downloads nie umbenannt.
Dass die Dateien schon sehr alt gewesen sein dürften, zeigt die Tatsache, dass die neueste Datei im Verzeichnis "Downloads_Programme_Ungetestet" das Datum 10.11.2005 im WindowsExplorer trägt. Neuere Sachen hatte ich nicht mehr in diesen Ordner hinein sortiert.

Nach den Erfahrungen der letzten Wochen in Bezug auf Virenbefall, habe ich eh beschlossen sehr vieles ohne weitere Tests zu löschen.
Dazu gehören auf jeden Fall nicht erkennbare Dateien (mit Buchstabenabkürzungen wie wbs oder rdl ...), aber auch andere Dateien, von denen ich nicht mehr weiß aus welcher Quelle sie stammen.
Was man nicht neu aus vertrauenswürdigen Quellen herunterladen kann, ist mir (und meinem brain.exe) inzwischen zu riskant geworden.

Ich wollte mit diesen geplanten Löschaktionen nur warten, bis wir mit der Bereinigung fertig sind, damit ich nicht eventuelle weitere Prüfungen erschwere.

Sind aus Deiner Sicht nach diesen neuen Funden nochmalige bzw. weitere Checks erforderlich oder dürfte mein System nun sauber sein?
Kann ich mit den Absicherungsmaßnahmen beginnen?

Grüße,
Petain

Hallo Arne!

Ich hoffe meine gestrigen Fragen waren nicht zu dumm:

Vielleicht hast Du aber auch nur meinen gestrigen Beitrag übersehen.

Zusätzlich hätte ich noch folgende Fragestellung:
Ich habe in der Systemsteuerung gesehen, dass bei mir "Java (TM) 6 Update 24" installiert ist. Eigentlich hat mein Rechner regelmäßig bei den Symbolen rechts unten darauf hingewiesen, dass ein neues JAVA Update verfügbar wäre. Ich habe das immer angeklickt und dann auch mein Administrator-Passwort eingegeben. Eigentlich müsste ich dann doch jetzt Update 31 haben, oder? Gibt es sowas? Vielleicht habe ich etwas falsch gemacht. Oder sind das nur kleinere Zwischenupdates gewesen und man muss die Hauptupdates selber installieren?
(Betriebssystem Vista)

Grüße
Petain

Nein wir wären eigentlich durch gewesen. Und zum Thema Java hab ich mich geäußert, du musst alle alten Versionen deinstallieren!

Vielen Dank für Deine schnelle Antwort.

Dann fange ich heute damit an die Diagnoseprogramme zu löschen und werde die Absicherungsmaßnahmen durchführen.

Melde mich nochmals wenn ich fertig bin oder wenn noch Fragen auftauchen.

Viele Grüße
Petain

Hallo Arne!

Bei der Deinstallation einer JAVA-Version bekomme ich folgende Fehlermeldung!
Es handelt sich um "Java (TM) 6 Update 2".
5 oder 6 andere alte Java Versionen konnte ich problemlos löschen.

JavaRa funktioniert hier auch nicht. Es wird zwar gemeldet, dass die Dateien gelöscht worden wären. Aber in der Systemsteuerung wird die Java Version noch angezeigt.

Hast Du einen Rat, was ich noch versuchen kann?
Der Windows-Installer hat ja bei den anderen Java-Versionen problemlos funktioniert.

Grüße
Petain

Probier es mal mit dem Revo Uninstaller => http://filepony.de/download-revo_uninstaller/

Hallo Arne!

Danke für den Tipp mit dem Revo Uninstaller! Damit hat es geklappt die letzte überflüssige Java Version zu deinstallieren.

Ansonsten habe ich inzwischen auch die anderen Absicherungsmaßnahmen durchgearbeitet.

Was soll ich mit dem Verzeichnis "C:\_OTL" machen? Löschen?
Was ist mit den Quarantäneverzeichnissen? Soll ich die Inhalte darin löschen?
Gibt es außer dem Quarantäneverzeichnis von Avira Antivir nach der Deinstallation der benutzen Diagnoseprogramme noch andere Rückstände/Quarantäneverzeichnisse, welche ich löschen sollte?

Grüße
Petain

Was stört dich daran! Das ist die Q von OTL!

Überleg doch mal was eine Quarantäne ist. Ob da die schädliche Datei drinbleibt oder nicht, das hat keine Auswirkungen. Schädlinge in der Quarantäne können nichts mehr anrichten, sie sind dort isoliert. Du solltest grundsätzlich mit der Quarantäne arbeiten, denn falls der Virenscanner durch einen Fehlalarm was wichtiges löscht, kannst Du notfalls noch über die Quarantäne an die Datei ran.

Hallo Arne!

Vielen Dank für die Rückmeldung. Ich lasse die Quarantäne einfach so bestehen. So kann man später auch noch gut nachvollziehen, welche Viren man beseitigt hat.

Noch eine andere Frage:
Auf Trojaner-Board wird immer wieder darauf verwiesen, dass Streaming-Seiten häufig Malware behergern.
Wie sieht es mit Videoportalen, wie Youtube oder myvideo aus? Stuft Ihr solche Seiten auch als potentiell gefährlich ein?
Gleiche Fragestellung gilt für Seiten wie Pro7 usw. wenn man verpasste Sendungen oder Folgen von Serien als "Stream" anschauen kann. Gefährlich oder nicht, da solche Sender vertrauenswürdig sind?

Bei kostenlosen OnlineSpielen kann man wahrscheinlich auch nur schwer beurteilen, ob die Webseiten potentiell gefährlich sind. Wie beurteilt Ihr solche Seiten?

Deine Einschätzung würde mich interessieren. "Damit ich weiß, was zu brain.exe kompatibel ist."

Grüße
Petain

Nein YT und MV sind ok die sind ja auch legal. Je dubioser desto mehr "Finger weg"

Hallo Arne!

Vielen Dank für die Info mit Youtube usw.

Ich hoffe einfach mal, dass ich mit "brain.exe" und den Absicherungsmaßnahmen nun längere Zeit von weiteren Malwareinfizierungen verschont bleibe.

Vielen Dank für die Hilfe und Deine Ausdauer bezüglich meiner Virenprobleme.
Ich kann nur sagen, macht weiter so. Eurer Angebot ist super.

Beste Grüße,
Petain