Java-Virus-Exploits- Rechner streikt bei gmer. Doch kein 32 bit?
 

Mein Rechner enthält/enthielt Erkennungsmuster des
Java-Virus JAVA/Inject.H --> Tesia.class, Exploits EXP/CVE-2011-3544.BW, Exploits EXP/CVE-2011-3544.BS, Java-Virus JAVA/Inject.F, Exploits EXP/2010-0840.WW.6

Ich habe Scans mit Antivir, Kaspersky und Eset durchgeführt und auch mit Antimalware. Allerdings habe ich keine Aufzeichnungen mehr oder finde sie nicht mehr zuverlässig. Ich habe die Virenprogramme immer wieder deinstalliert... (und dazu gelernt...).

Mich würde nebenbei auch mal interessieren, wieso Antivir seine eigene exe (verschiedene downloads) immer als Warnung mit dem Hinweis: diese Datei enthält ein "Kennwort" kennzeichnet. Muss ich da was anders machen?

Ich sende jetzt die Funddatei und dann die Dateien, die Ihr in der 1.Hilfe angebt - leider stopt es bei gmer und ich kann nichts mehr am Rechner machen - aber der Reihe nach:

defogger war ohne Ergebnis, der Rechner ging jedoch besser danach, Neustart wurde nicht gefordert.

OTL-TEXT
OTL Logfile:
--- --- ---


EXTRAS-Text
OTL Logfile:
--- --- ---


der Test auf 32 vs. 64bit ergab die Meldung, dass es eon x86 basierter- PC = 32bit sei. Ich habe mich zwar gewundert, weil ich es anders erinnerte, dachte aber, dass ich was verwechsel. Ich hab das nicht kopiert und komm nun ja an nichts mehr ran, denn der Rechner stürzte ab.

Einmal Neustart funktionierte, er zeigte diese Meldung (Foto 1942)

Nach dem 2.x zeigt er nur noch die Meldung (Foto 1943) Warning System BOT Fail - und oben in Fettdruck DDR2 800 Single Channel, 64-bit.
Auf Press F1 oder DEL reagiert er nicht. Auch zum Start F8 zu drücken funktioniert nicht - mag auch sein, dass er die Tastatur inzwischen nicht mehr erkennt, weil ich die zwischenzeitlich ans Netbook anschließen muss. Ich kann ihn nur direkt ausschalten und bei Neustart passiert das gleiche.

Geht nur noch der Schredder?

:confused::confused::confused:
Dank und Gruß!

Guch mal was da steht:

Please enter setup to load default and reboot again

Dein Rechner möchte, dass du ins BIOS gehst um dort die Standardwerte (default) zu laden. Dann versuchst du einfach nochmal zu booten.

Wenn das nichts wird, ist dein Fall etwas hier für die Hardwareecke!

aha, Du bist mir wohl gerade zuvor gekommen. Ich war dabei zu schreiben, dass sich was wie folgt geändert hat:

Ich hatte mir das mit dem BIOS letztlich auch gedacht und die Frage, wie ich da ohne Maus+Taste ran komme und habe vorhin nochmal gestartet, dabei die CD-Öffnung gedrückt und vor allem immer wieder F8 - und es hat geklappt: CD ist auf und es ging tatsächlich Windows wieder hoch-womit ich überhaupt nicht mehr gerechnet hatte. Auch die Maus funktionierte wieder nach einer Bedenkenszeit.
Ob die Tastatur von Anfang an ging, der Befehl F8 oder der, das CD-Laufwerk zu öffnen oder aber die lange Ruhezeit verantwortlich waren, weiß ich nicht.

Ich habe nochmal die msinfo untersucht -
folgende fettgemarkerten Daten deuten an und für sich auf ein 32bit System:

Betriebssystemname Microsoft Windows XP Professional
Version 5.1.2600 Service Pack 3 Build 2600
Betriebssystemhersteller Microsoft Corporation
Systemhersteller System manufacturer
Systemmodell System Product Name
Systemtyp X86-basierter PC
Prozessor x86 Family 15 Model 79 Stepping 2 AuthenticAMD ~1799 Mhz
BIOS-Version/-Datum Phoenix Technologies, LTD ASUS M2A-VM ACPI BIOS Revision 0302, 07.03.2007
SMBIOS-Version 2.4
Windows-Verzeichnis C:\WINDOWS
Systemverzeichnis C:\WINDOWS\system32
Startgerät \Device\HarddiskVolume1
Gebietsschema Deutschland

ok, ich hoffe, es ist ansonsten soweit ok, jetzt bin ich also wieder drin.
Ins Internet bin ich erstmal nicht gegangen.
Und GMER führe ich auch nicht mehr aus.
Wie gesagt: ich hatte auch in Erinnerung, dass ich eine 64-Version habe - woran das nun noch zu erkennen wäre, weiß ich nicht.

- Windows fordert jetzt och ein Update folgender Art:
Größe: 3,0 MB:
In Microsoft Office 2007 suites besteht ein Sicherheitsrisiko, das nach dem Öffnen einer in böswilliger Absicht veränderten Datei die Ausführung von beliebigem Code ermöglichen kann. Das Risiko wird mit diesem Update behoben.
Weitere Informationen zu diesem Update finden Sie unter hxxp://support.microsoft.com/kb/2596666

Soll ich? Soll ich nicht? Und was sonst?
Dank und Gruß!

Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Danke, vorher möchte ich zwei Dinge jedoch sicherheitshalber abfragen:

1.) Mir ist unwohl, das im vorherigen Beitrag von mir erwähnte windows update nicht zu machen, nachdem GMER den Rechner derart zum Abstürzen gebracht hat. Da möchte ich nochmal eine extra-Bestätigung haben, wenn es NICHT sein soll. Soll ich es also extra nicht machen?

2.)
ich weiß ja nicht, ob ich einen 64-BIT-Windows einsetze. Ist das nicht die Frage, die ich nach dem GMER-Absturz verstärkt habe?
Dank und Gruß

Du hast ein 32 Bit Windows und nein, die Windows-Updates kommen später! Erstmal machen wir die Analysen!

hallo,
hier die mbam-logs, die ich habe, da sie alle unter Anwendungen malwarebytes ware, und nicht in meiner eigenen Speicherung, nehme ich an, dass sie auch alle von diesem Rechner sind:

4.9.2010
20.6.12 17.28h
22.06.12 22.40h
15.07.12
Dank und Gruß!

adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Search.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

DANKE

adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Delete.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

ok, hier also AdwCleaner[S1].txt:
DANKE! GRUß!

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

1.) ja!

2.) Skype geht nicht immer ganz auf, das wird wohl aber ein Skype-Problem sein, weil ich das Netbook auch an habe und es da auch installiert ist.

Im Startmenu links beim Windows-Startbutton unter Alle Programme merke ich, dass OO3 angezeigt, aber leer ist.
OO3,2 ist da und funktioniert.
Es gibt Tools, von denen ich nicht weiß, wofür sie gut sind (System Tools, rot, Catalyst Control Centger usw. z.B.)
Epson Scan wird angezeigt, hab ich aber schon lange nicht mehr.
Skype wird 2x angezeigt, einmal mit icon, das andere mal ohne.
Adobe auch 2x - mit verschiedenen Angaben (1x Master, 1x Tools).
Windows Live auch 2x in verschiedenen Versionen (1x Messenger, 1x Messenger und Life call, k.A. wieso + wofür)

Bei C:\Programme seh ich auch Ordner, deren Anwendung ich eigentlich nicht mehr habe (Epson Drucker, Smilebox) und ich versuche es ja schon tiefenreinigend mit Revo Uninstaller zu entfernen (?) Da habe ich hab jetzt nicht alles durchgesehen, weil ich nicht sicher bin, ob Du nicht nur das Auto-Startmenu in der Menuleiste bzw. Alle Programme unter Start-Button meinst.

Wenn ich irgendwo detaillierter gucken soll, bitte nochmal sagen, was und wo genau.

Danke!

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

OTL Logfile:
OTL EXTRAS Logfile:
--- --- ---

--- --- ---
OTL EXTRAS Logfile:
--- --- ---


Oje, den Exctra-Text hätte ich fast übersehen und weiß nun auch nicht, ob Du den haben wolltest.
Egal - hier ist er in der Edition.

Eine Frage: "schließ alle Anwendungen" bedeutet, auch Kaspersky zu schließen? Hab ich jetzt gemacht.
Gibt es -und wenn, wo ist er - einen Unterschied beim Erkennen von Anwendungen vs. Programmen?
Dank :daumenhoc und Gruß

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danke und Gruß

Ich brauch den Quarantäneordner von OTL. Bitte folgendes machen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinflussen!
2.) Ordner MovedFiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten!

4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

das hab ich heute früh gemacht - wieso steht es jetzt nicht hier?
Hab ich vergessen, speichern zu klicken...:wtf:
Die anderen Dateien hab ich auch wieder hergestellt wie vordem.
Dank:daumenhoc und Gruß

Meine antworten kommen nicht an!

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg

Hier die Killerdatei.
:dankeschoen:! GUTE N8!

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Hallo, es war wieder anders, als gedacht:
Hierzu fällt mir ein, dass ich k.A. habe, ob mein Windows selber noch Hintergrundwächter hat. Ich hab mal gehört, dass es das auch gibt und weiß es nicht. (?)
leider nein.

Der Rechner zeigte nach ca. 10 Minuten wieder die blaue Meldung wie bei meinem ersten Beitrag zu diesem Themas (siehe jpg v. 11.07.12).

Nach Neustart finde ich keine log, weder auf dem Desktop noch unter C:\

Was ich erkenne ist ein aktualisierter Windows-Ordner, in dem neben den Ordnern unendlich viele KB123457 (u.Ä.) Textdokumente sind, eine direkt vor, die letzten 5 nach dem Combifix erstellt, aber ohne den Namen Combofix - eine Datei ist das windows-update über den Zeitraum - aber vermutlich weißt Du, was da zu finden ist.

Dann ein vermutlich neuer Combofix-Ordner, der die Übersicht über die auf dem Rechner gespeicherten Dateien abgibt, die ich auch anklicken kann, um in deren Ordner zu gelangen.

Außerdem eine Qoobox, die wohl auch erst in dem Rahmen der Combofix-Aktion bearbeitet oder erstellt wurde. Da sind auch wieder 5 Unterordner, einer = Quarantäne.

Wenn ich mehr schildern soll oder Screenshots schicken, bitte um Info wie ich das hier her senden kann (Screenshots) und was es sein soll.

Muss ich beunruhigt sein, weil sich mein Rechner so unagepasst verhält? :confused:

Dank und Gruß!

Ich brauch den Quarantäneordner von Combofix. Bitte folgendes machen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinflussen!
2.) Ordner Quarantine in C:\Qoobox in eine Datei zippen
3.) die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten!

4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

BESCHEID!
Dank und Gruß!
PS: ich mach die Anwendungsdateien wieder unsichtbar, ok?
Den Kaspersky werd ich auch morgen deinstallieren und Antivir wieder installieren, die 30 Tage Kaspersky-umsonst laufen ab und ich will den nicht dauerhaft haben - ist das ok oder stört das die Arbeit?

Starte Windows neu, lösch die alte combofix.exe, lade CF neu runter und starte das Tool bitte nochmal.

wieder das gleiche Ergebnis - also blaues Bildchen, Abbruch und Neustart erforderlich.
Kein log - alle Dateien mit Datum von gestern, nur im Quarantine-Ordner ist eine neue txt.Datei. Aufgemacht hab ich die nicht.

Spielt es vielleicht eine Rolle, dass ich die CF.exe nicht direkt auf dem desktop, sondern (so wie alle anderen bisher) in einem Ordner "Trojanertools" auf dem Desktop speichere? (um den Überblick nicht zu verlieren).

Außerdem wird mir gerade klar, dass ich die Ordneransicht ("geschützte Systemdateien ausblenden" usw.) dieses Mal nach dem Hochladen über den Upload Channel vergessen habe, wieder zurück zu stellen.
Jetzt eben hab ich es wieder eingestellt; das hat aber vermute ich nichts mit dem Problem hier zu tun, oder?

Quarantine zippen und senden?

Gruß und Dank!

jetzt kam auf dem USB-Stick, den ich vorher auch über den USB-HUB an obigem Rechner hatte - diese Meldung auf dem Netbook: http://www.trojaner-board.de/120070-...tml#post870881

wieso da jetzt < hxxp:// ... > steht, weiß ich nicht - ich hatte lediglich copy-paste gemacht. Also das meinte ich eben: hxxp://www.trojaner-board.de/120070-usb-stick-enthaelt-erkennungsmuster-adware-adware-adware-gen.html

Die combofix.exe sollte schon auf dem Desktop sein! Halte dich einfach genau an die Anleitungen!
Probier CF notfalls im abgesicherten Modus mit Netzwerktreibern aus!

ok, direkt vom Desktop aus gings auch nicht.
Weder F5 noch F( brachten (in Variationen getestet) den abgesicherten Modus.
Ich habs dann nach einer BEschreibung der TU-Berlin (Hoax-Info etc.) über msconfig gestartet - ich hoffe, auf welche Art lässt sich der log-Datei entnehmen -das geht weit über mein Verständnis hinaus...

sch.. wo sind denn diese eckigen Klammern - ich muss die immer kopieren, oder gehts auch mit den runden? (gut, nee, geht nicht, die sind aber eingebaut, wie nett ;-))

Combofix Logfile:
--- --- ---

einen schönen Tag und - wo ist denn das "Dankeschön"?
Naja, das jedenfalls will ich sagen!

Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).



Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

Da finde ich es ja wieder:
:dankeschoen:

gmer tuts bei mir nicht.

OSAM Logfile:
Nun erscheint im AutoStart In CD - das hatte ich vorher nicht mehr drin (und will es eigentlich auch nicht unbedingt).
Überhaupt febhlt mir merke ich Kenntnis über die Kontrolle des Autostart - gitb es da Hinweise bei Euch?

:dankeschoen:

Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

jetzt gibt es doch noch Funde und mir Unerklärliches.

Vorab: ich hatte direkt vorher Antivir wieder (wie angekündet) installiert.
Ich glaube, dass ich versehentlich eine alte exe genutzt habe, es kam der Hinweis, dass sie aus 2009 und nicht mehr upzudaten ist und ich habe abgebrochen, deinstalliert und eine neue Antivir.exe geladen und installiert. Die hat keinen Fund angezeigt. Ich habe eine recht hohe Sicherheitsstufe eingestellt (mehr, als die Standardversion)

Die folgenden Scans habe ich diesmal gemacht, ohne irgendwas im Autostart zu beenden. Ich hatte inzwischen den Eindruck, dass das bei den Scans ok oder sogar erwünscht ist, weil ich nicht aufgefordert wurde, es auszustellen - dass es vielleicht auch wichtig sein kann, das, was ich ja nutze, so zu belassen.

Bei Antispyware gab es jetzt nach der Installation (zusätzlich zu den neulich bereits erwähnten Aufforderungen, google Chrome und noch was zu nutzen) ganz zum Abschluss den Hinweis: "included with your install is a free trial of SUPERAntiSpayware Professional- Would you like to start the trial now? Click here, to learn more.
Decline Start Trial".

Das sah mir so aus, als wenn ich noch eine Zusatzversion dazu nehmen könnte und ich hab zuerst auf Decline geklickt. Damit ging das Programm runter, die Installation blieb allerdings bestehen.

Ich hab es nochmal gestartet und dann den Durchlauf gemacht.
Während dieses Scans meldete Antivir einen Fund, den ich in Quarantäne gestellt habe - Report siehe unten.

Antispyware habe ich nun auch wieder abgebrochen wie letztens beim Netbook, ohne zu löschen, weil ich nicht kapiere, ob ich das machen soll, oder nicht.

Der Windows-Updater meldet ja auch noch, dass ich das Update machen soll.
Ich hab das in Quarantäne belassen, hoffe, keinen Bockmist gemacht zu haben und sag mal wieder
:dankeschoen: !!!

Das halte ich für einen Fehlalarm, wewnngleich dieses Tool imho einen geringen Nutzen hat. Wie wärs mit deinstallieren?

SASW hat nur Cookies, einen Fehlalarm und einen Überrest in der Systemwiederherstellung gemeldet. Letztes auch Antivir.

Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )


Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller http://filepony.de/download-cookie_culler/
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ich halte es so, dass ich zum "wilden Surfen" den Opera-Browser oder Chromium unter meinem Linux verwende. Mein Hauptbrowser (Firefox) speichert nur die Cookies von den Sites die ich auch will, alles andere lehne ich manuell ab (der FF fragt mich immer) - die anderen Browser nehmen alles an Cookies zwar an, aber spätestens beim nächsten Start von Opera oder Chromium sind keine Cookies mehr da.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

hab ich gemacht! Wußte gar nicht, dass ich das habe...

Danke, das kenn ich noch aus dem Netbookbeitrag und hab ich alles beherzigt!
Super! Eigentlich bin ich nur froh, wenn es erstmal vorbei ist.

Ich hab jedoch noch die Frage, ob Du rausgefunden hast, was genau dafür verantwortlich war, dass ein ganzer Entwurfsordner von ca. 2,8 MB mit einer harmlosen Nachricht an eine Mailgruppe von 100 Leuten ging - im Versand war sie ohne Anhang... ???

V I E L E N D A N K !

Und wie stellst du dir vor vor, wie jmd so etwas rausfinden kann?!
Nicht jede belanglose Aktion bzw. jeder Mausklick etc. wird vom System protokolliert, das kann alles mögliche gewesen sein, bis hin zur Fehlbedienung bzw. versehentlichem manuellen Abschicken

Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. Mit Hilfe von OTL kannst du auch viele Tools entfernen:

Starte bitte OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.


Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken.


Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:
Prüfen => Adobe - Flash Player
Downloadlinks => Adobe Flash Player Distribution | Adobe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

k.A. - Du bist der Crack. Das versehentliche Abschicken war ja wie gesagt ausgeschlossen. Ich dachte, Dukannst vielleicht sagen: der und der Virus vermutlich, das und das Einfalllstor ist besonders möglich.

:abklatsch:

Vielen Dank!

Ich habe nun Fragen, bei denen ich nicht weiß, ob sie mit dem bisherigen Vorgang zu tun haben, oder ob ich noch ein oder mehrere extra Thema beginnen soll. Wenn letzteres der Fall ist, sagt es bitte.

Unter C finde ich 3 unklare Ordner:

1. Name 07f428ec84d17096e4e122580f7a802a vom 15.04.2011
In dem sind innen 3 Objekte; mrt, mrt.exe und mrtstub - dann noch eine REQ-Datei.

2. Name f8f253beb11ad39a0e vom 14.08.2009 drinnen ordner amd64 und i386 - u.A mit diversen dll Dateien, keine exe

3. Name eb9ca6638deb52f2e536d3a4 vom 27.08.2010 nochmal mrt.exe und mrtstub und eine REQ.Datei

Auf dem USB-Stick finde ich Ordner mit dem Namen FOUND000 und vielen Dateien, die erste FILE0000.CHK usw.

Außerdem kann ich ein Profil von Thunderbird nicht mehr auf dem Rechner installieren, weil immer die Meldung kommt, dass Dateien beschädigt sind und der Kopiervorgang gestoppt wird. Es funktioniert auf dem Netbook aber. Ich habe den Stick bereits neuformatiert und es damit nochmal versucht, es hakt immer wieder an anderen Dateien , die nicht kopierbar sind.

Generell habe ich den Eindruck, dass es auf Dauer Schaden verursacht, häufig Daten (jpg, doc, excel, OO, Profil von Thunderbird) von Windows zu Linux zu kopieren und umgekehrt, kann das sein? Die mobile Festplatte verweigert auch plötzlich ihren Dienst und lässt sich auf Linux nur noch lesen usw. (Slackware) Kannst Du das bestätigen?

Danke und Gruß!

Halte ich für eher unwahrscheinlich.
Schädlingsautoren wollen eine max. Wirkung erzielen und das wäre nun wirklich nicht gegeben, wenn der Schädling von einem Mailclient abhängig wäre.
Und so sind sie es auch nicht, eigentlich jeder Schädling, der einen Windows-Rechner zu einem SPAMbot macht, bringt seine eigene SMTP-Engine mit.

Wo genau hast du eigentlich in diesem Strang davon gesprochen? Ich finde die Sache mit dem Entwurfsordner und angeblichem Ausschluss des versehentlichen Abschickens außer in Posting #35 nirgends :( :wtf:


Kannst du ignorieren, das ist ein legitimer Ordner, der mal von irgendeinem MS-Update angelegt wurde

Stick kaputt!! Zudem würde ich Profilverzeichnisse von Mozilla immer erst in eine Archivdatei (zip, 7zip oder rar) packen und dann auf einen externen Datenträger kopieren. Stick, Festplatte oder auf CD brennen

In Nr. 35 hab ich geschrieben: "Im Versand war sie ohne Anhang...". Das hab ich überprüft: im Send-Ordner war die Mail ohne Anhang (die Kopie der eigentlichen Mail, die ich verschickt habe), nur die Mail, die dann über die Mailliste an mich (und andere Leute kam) war neben der eigentlichen Botschaft noch mit diesem fetten Zusatztext des gesamten Ordners versehen.

Supi! Löschen geht auch, oder?

Shit, schon wieder kaputt.. :killpc: Das scheint mir aber auch was mit diesem Wechsel zwischen Linux und Windows zu tun zu haben. Aber es stimmt, mit anderem Stick ging es wieder! :applaus:Der Tipp, es erst zu raren o.Ä, ist gut, wenn auch nervig D a n k e !

In 99,9 % geht das gut, in manchen nicht.
Verschieb es erstmal in einen neuen angelegten Ordner zB C:\TMP

LOL :rofl:
Sry mit dem OS-Wechsel hat das sicher nichts zu tun
Ich verwende meine Platten und Sticks auch kreuz und quer über die Betriebssysteme, nur halt eben MacOS nicht - aber Windows und Linux

Linux liest perfekt von NTFS, mein WinXP und Win7-Notebook meiner Freundin hab ich beigebracht die externe 1TB-Platte mit ext4 zu lesen - mir ist noch kein Stick oder eine Platte deswegen kaputtgegangen

Vermutlich hast du das Steinzeit-Dateisystem FAT oder FAT32 auf dem Stick. Dann ist das auch kein Wunder, dass es anfällig ist. Evtl. ist dein Stick aber auch physikalisch defekt.

Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. Mit Hilfe von OTL kannst du auch viele Tools entfernen:

Starte bitte OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.


Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken.


Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:
Prüfen => Adobe - Flash Player
Downloadlinks => http://www.adobe.com/products/flashp...ribution3.html

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

ok, der Stick ist FAT32, gut zu wissen, dass es da Probleme geben kann.
Die mobile Festplatte ist NTFS und man kann bei Linux nur davon lesen, obwohl es schonmal zu beschreiben ging. Ein Kollege jhat gleiches erlebt. Allerdings haben wir keine Admin-Rechte und der Admin hat mobile Speicher nicht als Aufgabe... vielleicht liegt da eher das Hauptproblem.

waren wir in Nr. 36 schonmal - ich hatte dann "nur" Zusatzfragen und das hört auch offenbar nicht auf. ... :heulen:

PSI zeigt, dass Bridge und Photoshop upzudaten sind - die habe ich allerdings daraufhin bereits deinstalliert mit Revo Uninstaller. PSI zeigt sie trotzdem an.
Die Suche nach Brige ergab noch 450 Dateien und Ordner, u.A. die Anwendung Bridge, die auch aufgeht, nur keine exe. ???
Bei Photoshop vermute ich das gleiche. In der Software ist aber derzeit keinerlei adobe-Produkt mehr aufgeführt... ???
Trotzdem lassen sich pdf öffnen - womit?
Wie werde ich alle drei los?

Der Adobe Flash zeigte eine höhere Zahl als der von Dir angegebene Link, den habe ich jetzt deinstalliert, aber so ganz kapiere ich das nicht, denn den hatte ich auch über einen Hinweis von Euch installiert oder upgedatet.

Zu der Software, die ich installiert habe hätte ich auch sonst noch Fragen - sind z.B. Microsoft-Sachen immer da zu behalten, oder kann es da auch welche geben, die weg sollen?

So weit erstmal

Dank und Gruß!

Ich denke das ist ein Fall für einen extra-Strang im Windows Bereich hier