Mor.exe abgewendet?
 

Sorry war mir nicht ganz sicher ob ich das in einen Thread zum Thema mor.exe posten soll.

Gestern abend war ich auf TV Tropes auf der Seite von Dead Rising 2. Ich benutze Firefox und normaler Weise habe ich immer Cookies deaktiviert, aber weil ich einen kleinen Eintrag by Tv Tropes machen wollte änderte ich die Einstellung zu normalen Cookies (nicht von Drittanbierten) zu erlaube. Als ich dort war klickte ich auf ein Link zu einen Artikel auf der Seite siliconera.com. Wobei ich vergass die Cookies wieder zu deaktivieren.

Nachdem ich den Tab mit den Artikel schnell geschlossen hatte, da ich die Seite nicht kannte. Erschien prlötzlich von Anti-Vir die Anfrage ob mor.exe erlaubt werden soll oder zurückgewiesen werden sollte. Ich habe nähmlich die Anti-Vir Einstellung das es immer fragen soll bevor eine .exe datei ausgeführt werden soll.
Schnell klickte ich auf Zurückweisen und sah in meinen Ordner AppData/Local/Temp nach, da ich wusse dass dort meistens solche Malware und Viren .exe datein auftreten. Aber die Datei fehlte komplett.

Aus Angst suchte ich im Internet nach mor.exe und fand einen Eintrag hier. Ich follgte der ersten Anweisung, installiert Malwarebytes, updatete es zur neusten Version. Ging in den Abgesicherten Modus und ließ einen kompletten Scan machen.

Eine Stunde später kahm dieses Ergebniss heraus:

Mein Rechner wurde also als komplett clean berichtet. Ich ließ noch einmal einen komplett Scan mit meinen Avira machen (sowohl normal also auch speziell nach Mal-ware) und erneut wurde mir nichts angezeigt.

Ich scannte noch einmal mein Java order direkt mit Walwarebytes und erneut nicht ein Fund.

Ich entschloss mich dann ein paar wichtige Daten auf meine sonst getrennte exteren Festplatte zu koppieren (Text für die Uni und Bilder, keine exe dateien).

Aber wo ich nochmal nach informationen zur Malware suchend, auf Microsoft nachgelesen habe das die Gefahr die hinter der Malware mit mor.exe steht als "severe" beschrieben wird, bin ich mir nicht sicher ob ich nicht zu vorschnell war.

Also meine Frage ist. Kann ich dem Urteil von Malwarebytes trauen UND ist es möglich das ich durch das zurückweisen per Avira die Malwareattacke im Keim erstickt habe?

Oder sollte ich mir nun mehr Sorgen den je machen (da ich vielleicht meine Exterene Festplatte infiziert habe)?

Entschuldigt den Doppelpost. Aber ich konnte meinen Eintrag nicht editieren. Nach genaueren erinnern ist mir eingefallen das ich nicht die bloße Ausführung des Programms sonder das Herunter laden der exe Datei verboten habe. Das ist bei mir ebenfalls eingestellt. Ausführung von exe datein und das herunterladen von Ausführungen aus dem Internent brauchen meine Erlaubnis.

Jetzt ist die Frage ob mor.exe die Malware installiert oder von ihr herunter geladen wird.

Also ob ich das Sympton verhindert habe oder die Infektion?

Hier ist nochmal was mein Anvira gemacht hat:

Falls der remote IP code wichtig ist bitte sagen.

Führ bitte auch ESET aus, danach sehen wir weiter.

Hinweis: ESET zeigt durchaus öfter ein paar Fehlalarme. Deswegen soll auch von ESET immer nur erst das Log gepostet und nichts entfernt werden.

ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt so öffnen: per Rechtsklick => als Administrator ausführen
• Dein Anti-Virus-Programm während des Scans deaktivieren.
  
  Button http://img695.imageshack.us/img695/1599/eset1l.jpg (<< klick) drücken.
  • Firefox-User:
    Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
  • IE-User:
    müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Haken bei Yes, i accept the Terms of Use.
• Drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Scan archives".
• Gehe sicher das bei Remove Found Threats kein Hacken gesetzt ist.
• http://img707.imageshack.us/img707/687/starteg.jpg drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

• Klicke Finish.
• Browser schließen.

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und kopiere folgenden Text in das Ausführen Fenster.
Hinweis: Falls du ein 64-Bit-Windows einsetzt, lautet der Pfad so:

Poste nun den Inhalt der log.txt.

Okay, erst einmal vielen Dank.

Ich hoffe nur das temporäre abschalten meiner Firewall und Aviras hat mit nicht in den hinter gebissen.

Übrigens Avira hatte zwischen durch ein update gemacht da ich nur die Abwehrprogramme und Firewall abgeschaltet habe Avira selbst aber noch an war. Hoffe das macht keinen großen Unterschied

Auf jedenfall hier ist der Inhalt der Log datei.

Es sind zwei Suchdurchläufe weil ich beim ersten vergessen hatte den esetsmartinstaller als Administrator auszuführen:

Ich habe übrigens auch die letzten zwei Tage lange die Desinfec't CD des C'T magazines auf meinen Rechner angewedent und weder Avira, Kapersky, ClamAV oder BitDefender konnten etwas finden.

Ich hoffe du kannst mir jetzt die letzte Gewissheit geben.

Ich warte dann auf deine Antwort. Nochmal vielen Dank.

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Du hattest nur all Programme abschalten gesagt, ich war mir nicht sicher ob das auch Avira beinhaltete oder nur die normal Programme. Wenn ja, sag es dann mach ich den Suchlauf nochmal.

Ach ja, ich hoffe es macht keine zu große Änderung aber ich habe die Angaben meines Namens als User durch *Name* ersetzt in da ich den nicht einfach groß im Internent sichtbar haben wollte. Ich habe zur sicherheit aber auch noch die orginal OTL.txt datai mit dem drin falls das so wichtig ist.

So mal sehen was du mir aus diesen Daten noch sagen kannst.

OTL Logfile:
--- --- ---

Beim CustomScan ist irgenwas schiefegegangen. Hast du den Text da richtig 1:1 kopiert und eingefügt?

Also das was ich da gepostet habe war der Inhalt der log.txt datei.

Ich habe aber zwei Text Datein erhalten. Einmal Log.txt und extra.txt.

Ist es vielleicht der Inhalt von der Anderen die du brauchst oder war es vielleicht der Avira der noch aktive war?

Soll ich den Test nochmal machen? Vielleicht hatte ich einen Fehler gemacht?

Was genau ist den schief gelaufen?

Edit:
Okay, ich habe einen zweiten Lauf gemacht diesmal ist dieß der Inhalt und es gibt dort nun eindeutig mehr Informationen aus dem Custom Scan:

OTL Logfile:
--- --- ---

Ist dies besser oder sollte ich es nochmal versuchen?

Hast du wirklich alles vom Text abkopiert? Da gibt es den Button alles markieren bzw. alles kopieren
Die letzte Zeile für den CustomScan lautet CREATERESTOREPOINT

Sorry. Ich habe einen Edit in meinen vorherigen Post gemacht nachdem ich einen zweiten lauf gemacht habe, wobei ich aufgepasst habe die letzte Zeile diesmal mit zu kopieren. Kannst du nachsehen ob das nun die richtigen Informationen sind?

Ja so ist richtig!! :daumenhoc

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Okay, habe ich erledigt.

Kann ich mir sicher sein das ich nichts auf meinen Rechner habe?

Ach ja, ... Schuldige die Skepsis aber was genau habe ich hier jetzt eigentlich gemacht und welche Auswirkungen hat es auf meine Einstellungen und System?

Hier ist das Ergebnis, wie vorher habe ich meinen Name entfernt.

Mir fällt auch gerade ein ich hatte vergessen wieder Scanne Alle Benutzer anzuklicken. Oder war das unnötig?

Auf jeden fall vielen Dank schonmal.

Beim Fix ist das egal, nur bei der Logerstellung ist das wichtig

100% Sicherheit gibt es in keinem technischen Gerät - warum soll der Computer eine Ausnahme sein?

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg

Ich weiß das man sich nie 100% sicher sein kann, wer weiß vielleicht laufe ich auch mit irgendeinen Retrovirus im körper herum. Ich könnte mir auch nicht sicher sein wenn ich meine Rechner platt gemacht hätte und neu installiert.

Aber ich würde nun langsam gerne wissen was nun eigentlich das Ziel unserer Aktionen hier ist?

Sorry, ich möchte nicht undankbar klingen. Ich bin sehr Dankbar für deine Zeit, Aufmerksamkeit und Expertise mit der du mir hilfst, aber wie viel müssen wir noch machen und wofür?

Edit:Habe den Scan gemacht.

Hier ist das Ergebnis:
Erneut verzeihe meine Skepsis. Vielen Dank für deine Zeit.

Ist das nicht zu erkennen?
Eine Analyse ist nicht mit einem Tool getan. Und die Entfernung auch nicht wenn da da was sein sollte

Wir können auch einfach an dieser Stelle Schluss machen, denn bisher hab ich keine weiteren Hinweise auf Schädlinge und du fühlst dich eh nicht sehr wohl dabei :pfeiff:

Nochmal verzei mir, aber es ist nun eine Woche her und jedes mal wenn wir einen neun Scan machen fühle ich als würde mein Herz stehen bleiben, weil doch irgend etwas sein könnte.

Machen wir einfach weiter und vergessen wir meinen kurzen Ausbruch okay? Ich weiß du machst das alles hier in deiner freihen Zeit und aus gutem Willen.

Habe meinen log oben in einen Edit gepostet.