cloud behaviour .suspicious@1
 

Hallo zusammen,
heute tauchte bei mir ein merkwürdiges, mir unbekanntes Programm auf, das an das Comodo Anti-Virus-Zeichen erinnert, nur in giftgrün und mit dem Unterschied, dass es sich um nichts Gutes handelte. Ich hoffe, ihr könnt mir weiterhelfen!

Mein Laptop (Windows 7) lief teilweise etwas langsamer. Als ich die Anti-Virus-Nachricht von Comodo erhielt, dass es sich hierbei um cloud behaviour .suspicious@1 handelt, hab ich es zunächst in Quarantäne gesteckt und leider dann dort rausgelöscht. Einige Stunden später tauchte erneut die cloud behaviour Meldung erneut auf. Hier ein Ausschnitt aus weiteren Meldungen von Comodo:

(bitte Ansicht vergrößern)

Auf eurer Seite habe ich gelesen, dass es gut sei, mit Malwarebytes Anti-Malware einen QuickScan zu machen. Das habe ich getan; mit folgendem Ergebnis:

Als nächstes habe ich eure Schritte 1-3 beachtet:
1) defogger (wie beschrieben)
2) OTL (wie beschrieben)
Schritt 3) war wegen x64 basiertem- PC unnötig

Siehe OTL.txt :glaskugel::
OTL Logfile:
--- --- ---


Siehe Extras.txt
OTL Logfile:
--- --- ---



Warte auf weitere Anweisungen :crazy:

Danke vorab! Ohne euch wüsste ich nicht weiter...
lG

:hallo:

Mein Name ist Daniel und ich werde dir mit deinem Malware Relevanten Problemen helfen.

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen erst einmal durch. Sollte irgendetwas unklar sein, Frage bevor du beginnst.
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
• Sollte ich auf diese, sowie allen weiteren Antworten, innerhalb von 3 Tagen keine Antwort von dir erhalten, werde ich das Thema aus meinen Abonnements löschen.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst und Installiere / Deinstalliere keine Software ohne Aufforderung.
• Poste die Logfiles direkt in deinen Thread und nicht als Anhang, ausser du wurdest dazu aufgefordert. Erschwert mir das Auswerten.

Note: Sollte ich 48 Stunden nichts von mir hören lassen, schicke mir bitte eine PM. Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des PCs.


Macht der Rechner noch Probleme ?

Hi Daniel,

danke für deine Antwort! Ich habe nun nichts Verdächtiges mehr bemerkt. Kann ich jetzt schon davon ausgehen, dass die Gefahr vorbei ist, da ich die Malware in Quarantäne gesteckt hab? ;-)

lG

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo Daniel,

der ESET Scan hat folgende 5 wunde Punkte gefunden:

C:\Users\Marini\AppData\Local\Babylon\Setup\MyBabylonTB.exe a variant of Win32/Toolbar.Babylon application
C:\Users\Marini\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\30\4c07be9e-18811ca9 Java/Exploit.CVE-2012-0507.BW trojan
C:\Users\Marini\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\38\4c015e66-6320c29c Java/Exploit.CVE-2012-0507.CK trojan
C:\Users\Marini\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\46\6751df6e-329e86a1 a variant of Java/Exploit.CVE-2012-0507.CD trojan
C:\Windows\Installer\c4524d.msi a variant of Win32/Toolbar.Widgi application

Warte auf Weiteres. Danke :-)
LG

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt )
  Kopiere nun den Inhalt hier in Deinen Thread

Deinstalliere bitte deine aktuelle Version von Adobe Reader
Start--> Systemsteuerung--> Software--> Adobe Reader
und lade dir die neue Version von Hier herunter-
Entferne den Hacken für den McAfee SecurityScan bzw. Google Chrome.



Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

• Downloade dir bitte die neueste Java-Version von hier
• Speichere die jxpiinstall.exe
• Schließe alle laufenden Programme. Speziell deinen Browser.
• Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 5 ) herunter laden.
• Wenn die Installation beendet wurde
  Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
• Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

• Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
• Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
• Klicke auf Dateien löschen....
• Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
• Klicke erneut OK.

Starte bitte OTL.exe.
Wähle unter
Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.
Poste die OTL.txt und die Extras.txt hier in deinen Thread.

Hallo Daniel,

hier der erste Scan von ":commands [emptyJava] [reboot]"

und der neue OTL.txt:

der neue Extras.txt:


danke und viele Grüße!
:Boogie:

Huhu,
ich war eben bei Facebook und der wollte, dass ich mir das Adobe Flash Player 11 Plugin runterlade, um Videos von youtube ansehen zu können. Da ich vorher alles, was zu Adobe gehörte, deinstalliert habe, dachte ich, das sei okay und hab das dann durch Klicken auf den Link über Facebook von der Adobe.com Seite direkt herunterladen können.

Nun ist mir aber aufgefallen, dass ich folgende Fehlermeldungen erhalte, wenn eine Internetseite Werbung anzeigt (z.B. bei WEB.DE - E-Mail-Adresse kostenlos, FreeMail, Nachrichten & Services). Diese Meldungen kamen auch vor dem Deinstallieren häufig vor und mein Pc wurde kurzweilig langsam.

http://www.flickr.com/photos/8141872...n/photostream/

http://www.flickr.com/photos/8141872...in/photostream

please help! :-)

Huhu,
ich war eben bei Facebook und der wollte, dass ich mir das Adobe Flash Player 11 Plugin runterlade, um Videos von youtube ansehen zu können. Da ich vorher alles, was zu Adobe gehörte, deinstalliert habe, dachte ich, das sei okay und hab das dann durch Klicken auf den Link über Facebook von der Adobe.com Seite direkt herunterladen können.

Nun ist mir aber aufgefallen, dass ich folgende Fehlermeldungen erhalte, wenn eine Internetseite Werbung anzeigt (z.B. bei WEB.DE - E-Mail-Adresse kostenlos, FreeMail, Nachrichten & Services). Diese Meldungen kamen auch vor dem Deinstallieren häufig vor und mein Pc wurde kurzweilig langsam.

http://www.flickr.com/photos/8141872...n/photostream/

http://www.flickr.com/photos/8141872...in/photostream

please help! :-)

leider konnte ich meinen letzten Beitrag nicht editieren, daher hier noch einmal die Bilder (bei Flickr hochgeladen)

:rolleyes:


Starte bitte OTL.exe.
Wähle unter
Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.
Poste die OTL.txt und die Extras.txt hier in deinen Thread.

Hallo Daniel,

hier erneut die Daten:

OTL.txt:
Extras.txt:
danke vorab!

Hy

Das Problem hab ich in letzter Zeit auch häufiger.


Deinstalliere bitte
pdfforge Toolbar v4.5


Eventuell hilft eine Neuinstallation von Firefox


Firefox Backups
MozBackup - Backup tool for Firefox and Thunderbird

Hallo, ich hab die angegebene Datei deinstalliert und anschließend auch Firefox, um es nochmal neu zu istallieren. Arbeite jetzt mit explorer.

Ich hab versucht die neueste Version von firefox neu zu installieren, aber scheitere nach dem Punkt:

ich hab es mit Varianten versucht und als Admin sogar mein PW eingeben, aber nach Klicken auf OK schießt sich das Fenster und es passiert nichts weiter. Ich kann Firefox aber nicht auf dem Desktop finden und bei Programme taucht folgende Datei auf. Liegt es eventuell an dem defogger, den ich zu allererst (siehe meinen ersten Beitrag) so wie bei euch beschrieben, angewendet habe. Ich hab ehrlich gesagt keine Ahnung, was ich damit genau bewirkt habe.

Danke nochmals und schönes We... :)

Downloade dir eine neue Setup Datei.

Hey,
ich habe komischerweise die Werbung von TuneUp Utilities gesehen und es sah so aus, als wäre es ein Teil des Nachrichtenbeitrags. Jetzt wo ich mir das nochmal ansehe, taucht die Werbung mal auf, mal nicht. Je nach Skript oder so. (nur als Hinweis - vielleicht gehts auch anderen Usern so)
Jedenfalls habe ich nun Firefox. Es kam inzwischen ein paar mal ein Problem mit dem Adobe Plugin, das abgestürzt ist, aber sonst kein Anzeichen von Viren/Malware. Ist der PC nun wirklich sauber? Wie kann ich mich vergewissern?
Lieben Dank!

Vergewissern kannst du dich nur mit einer Neuinstallation, oder du vertraust uns

Vertrauen ist ok. Ich schätze, fürs erste hab ich mein Gewissen beruhigt:blabla:

Lieben Dank nochmal!

Das musste mir nochmal genauer erklären. Welche Werbung taucht wo auf ?

In deiner Nachricht vom 07.07.2012, 19:47, taucht über der Bemerkung die Werbeanzeige auf, die ich zuerst als Teil der Nachricht angesehen habe.

Kannst du mir mal nen Screenshot davon machen ?

hmm.. das ist jetzt etwas blöd, denn die Werbung wird gerade nicht angezeigt. Dabei hab ichs vorhin noch einmal gesehen und bemerkt, dass rechts davon in ganz klein google-Anzeigen dran stand. Es trug ein wenig zur Verwirrung bei, da es direkt über dem Kommentar "Downloade dir eine neue Setup Datei." stand und in schwarzer Schrift gehalten war. Vielleicht ist diese Werbe-Ansicht vom jeweiligen User oder auch einer Uhrzeitschaltung abhängig - keine Ahnung, was google da mit eurem Wissen oder ohne macht. Aber beweisen kann ich es im Moment leider nicht, sorry.

so, nach dem Ausloggen wurde es nochmal angezeigt, die Werbung ist allerdings eine andere.

Hm,

Ich bin hier schon so lange im Team, dass ich garnicht wusste, dass registrierte Teilnehmer auch die Werbungen geschalten bekommen.
Unregs immer.

Irgendwie müssen auch wir am Leben bleiben :)

ist ja alles gut :-)

Sehn wir uns noch ein letztes mal OTL Logs an.


Starte bitte OTL.exe.
Wähle unter
Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.
Poste die OTL.txt und die Extras.txt hier in deinen Thread.

hier sind sie:

Extras:

Ich sehe das Du sogenannte Registry Cleaner am System hast.
In deinem Fall TuneUp Utilities 2012.

Wir empfehlen auf keinen Fall jegliche Art von Registry Cleaner.

Der Grund ist ganz einfach:

Die Registry ist das Hirn des Systems. Funktioniert das Hirn nicht, funktioniert der Rest nicht mehr wirklich.
Wir lesen oft genug von Hilfesuchenden, dass deren System nach der Nutzung von Registry Cleanern nicht mehr booted.

• Wie soll der Cleaner zu 100% wissen ob der Eintrag benötigt wird oder nicht ?
• Es ist vollkommen egal ob ein paar verwaiste Registry Einträge am System sind oder nicht.
• Auch die dauernd angepriesene Beschleunigung des Systems ist nur bedingt wahr. Du würdest es nicht merken.

Ein sogenanntes False Positive von einem Cleaner kann auch dein System unbootbar machen.
Zerstörst Du die Registry, zerstörst Du Windows.

Ich empfehle Dir hiermit die oben genannte Software zu deinstallieren und in Zukunft auf solche Art von Software zu verzichten.

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt )
  Kopiere nun den Inhalt hier in Deinen Thread

Wenn es keine weiteren Probleme mehr gibt, sind wir hier fertig.



Starte bitte Defogger und klicke den Re-enable Button.
Defogger wir gegebenfalls einen Neustart verlangen. Dies bitte zulassen.

Wichtig: Sollte es eine Fehlermeldung geben, poste bitte die Defogger_reenable Log hier.



Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.

Windows-Taste + R drücke. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK.
http://larusso.trojaner-board.de/Images/CFuninstall.jpg

Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden.

Nun die eben deaktivierten Programme wieder aktivieren.




Starte bitte OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.



Hier noch ein paar Tipps zur Absicherung deines Systems.


Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.

• Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
• Windows Updates
  • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
  • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
• Gehe sicher das die automatischen Updates aktiviert sind.
• Software Updates
  Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
  Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.

Anti- Viren Software

• Gehe sicher, immer eine Anti Viren Software installiert zu haben und das diese auch up to date ist. Eine out of date Anti Virensoftware ist nutzlos!

Zusätzlicher Schutz

• MalwareBytes Anti Malware
  Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
  Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
  Ein Tutorial zur Verwendung findest Du hier.
• WinPatrol
  Diese Software macht einen Snapshot deines Systems und warnt dich vor eventuellen Änderungen. Downloade dir die Freeware Version von hier.

Sicheres Browsen

• SpywareBlaster
  Eine kurze Einführung findest du Hier
• MVPs hosts file
  Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
• WOT (Web of trust)
  Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.

Alternative Browser

Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.

• Opera
• Mozilla Firefox.
  • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
  • NoScript
    Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
    
  • AdblockPlus
    Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
    Es spart ausserdem Downloadkapazität.

Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )



Don'ts

• Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
• verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
• Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
• Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe

Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.


Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.

Hallo,
danke für den Tipp mit TuneUp Utilities. Als Anfänger weiß man sowas nicht. Habe es nun deinstalliert.

Hier auch der Inhalt von OTL:
die anderen Punkte werde ich gleich morgen in Angriff nehmen und mich melden, sobald ich sie abgeschlossen habe. LG

Hi,
bei mir ist leider folgendes Problem aufgetreten:
nach dem ich Windows + R gedrückt habe und "Combofix /Uninstall" eingegeben habe, kam die Fehlermeldung, dass Combofix nicht gefunden wurde und ich eventuell die Rechtschreibung überprüfen soll...