Virusfund NSIS:Bundlore-B[Adw]
 

Hallo Community!
Ich habe diesmal ein Virenproblem auf meinem Windows XP SP3 Rechner: Und zwar habe ich heute bei einem Scan den Virus "NSIS:Bundlore-B[Adw]" gefunden, der in einer Setup.exe enthalten ist.
Mal abgesehen davon, dass ich keine Ahnung habe, woher diese Setup.exe stammt (sie lag vor der Verlagerung in den Viren-Container durch Avast! im Downloads-Ordner O.o), weiß ich auch nicht, wie ich den wieder beseitigen soll, denn das System möchte ich nicht neu aufsetzen.
Ich würde gerne die Avast!-Logdatei vom heutigen Scan anhängen, aber leider gibt es keine, ich weiß nicht, ob Avast! überhaupt welche von selbst erstellt, wenn ihr mir da weiterhelfen könnt, werde ich euch die Log-Datei natürlich nachreichen.
Malwarebytes-Scan habe ich danach auch gemacht, aber der Scan hat keine Funde zum Vorschein gebracht:
Über Hilfe eurerseits freue ich mich sehr und ich hoffe, es kann mir wieder so toll geholfen werden wie beim letzten Mal :)
Wenn ihr mehr Informationen braucht, bitte ansprechen.
MfG!

So, hab jetzt noch einmal einen Scan mit Avast! gemacht und dabei auch eingestellt, dass ein Bericht erstellt wird. Leider wurde aber keiner erstellt.
Es erschien zwar ein Button mit "Bericht anzeigen", jedoch passierte beim Draufklicken nichts, auch im Programmordner von Avast! findet sich nichts und die Windows-Suche fruchtet auch nicht ... :confused:
Wie soll ich jetzt weiter vorgehen?

Dann könntest du aber wenigstens posten welche setup.exe das ist, in welchen Pfad die genau liegt!

Aus den Regeln:

5. Beschreibe Dein Problem in einigen Sätzen und arbeite diese Anleitung ab Punkt 2. durch
Auch Funde von deiner Sicherheitssoftware bitte im Thema nennen: (z.B. c:\windows\virus.exe)
Fehlen diese Angaben, kann und wird dir hier niemand helfen.

Hallo Arne!
Entschuldige, dass ich dir den Dateipfad nicht angegeben hatte, aber das hatte ich wohl schlichtweg vergessen :twak:
Also hier ist dann der Pfad:

d:\Eigene Dateien\Downloads

d: ist eine Partition meiner Festplatte, auf der ich meine Daten, wie Bilder und Dokumente speichere.
Jetzt ist mir aber auch aufgefallen, dass die Datei Setup.exe nicht zwangsläufig eine exe-Datei sein muss, denn ich habe die Einstellung, dass mir die Dateiendungen nicht angezeigt werden, demnach könnte es auch ein Bild oder dergleichen sein... Da ich manchmal nach Bildern für meinen Desktop oder dergleichen google, kann das sogar recht wahrscheinlich sein. Das Icon der setup.exe war aber ein gelber, geöffneter Karton. Wie gesagt, war, denn die Datei wurde ja in den Viren-Container verschoben.
Außerdem gibt es sonst keine Auffälligkeiten am Rechner.

Wie groß ist die Setup denn?
Wenn unter 32 MB dann werte sie mal hier aus => http://www.virustotal.com

Hallo Arne!
Also, ich habe unter "Eigenschaften" der Datei im Virencontainer herausgefunden, dass die Datei 230873 ? groß ist, Byte, KB oder MB stand nicht dahinter, aber wenn es 230873 Byte sind, dann wären das 0,22 MB und wenn es 230873 KB sind, dann sind es 225 MB.
Das Problem ist aber, dass ich die Datei selbst bei einer Größe von unter 32 MB nicht hochladen kann, weil die Datei nicht mehr an ihrem Ursprungsort, sondern im Virencontainer liegt und da weiß ich nicht, wie ich da jetzt rankommen soll um sie hochzuladen ... Soll ich die Datei wieder aus dem Container herausnehmen oder gibt es da einen anderen Trick?
Danke schonmal für deine Hilfe! :D

Versuch die Datei mal wiederherzustellen und dann die Größe herauszufinden per Rechtsklick => Eigenschaften
Evtl ist auf der Eigenschaftsseite auch ein Reiter Version mit Infos über den Hersteller
Ich denke das wir das hier eher mit einem Fehlalarm zu tun haben aber mal sehen

Guten Abend Arne!
Das Wiederherstellen klappt zwar, aber wenn ich die Eigenschaften öffnen möchte, meldet sich Avast! und schiebt das Ding sofort wieder in den Container -.-
Das Eigenschaften-Fenster ist dann zwar noch offen, aber überall steht nur noch 0 Byte, hat also nichts geholfen.
Dann wollte ich es gerade nach einer erneuten Wiederherstellung bei VirusTotal hochladen und scannen lassen, aber wenn ich auf Scan It! klicke, passiert nichts, vielleicht ist die Datei zu groß?
Was tun?
Darf ich wohl mal fragen warum du denkst, dass das ganze ein Fehlalarm ist? Würd mich schon mal interessieren, denn das wäre natürlich mehr als gut :)

Kleiner Edit: Die Eigenschaften konnte ich nun doch einsehen, auch wenn Avast! das Ding wieder in den Container verschoben hat und die Dateigröße beträgt 225 KB.
Weitere relevante Infos gab es nicht zu finden, nur ist mir aufgefallen, dass in diesem Programm mit DOS-Befehlen gearbeitet wird, da man dort Schriftart und dergleichen einstellen konnte und im Vorschaufenster war eine DOS-Box zu sehen. Hilft dir das weiter?

Avast Echtzeitschutz deaktivieren!
Stell das Teil dann wieder her und lad die Datei hier hoch => http://www.trojaner-board.de/54791-a...ner-board.html

So, ich hab die setup.exe jetzt hochgeladen, dabei ist mir aber aufgefallen, dass es jetzt, nachdem ich die Eigenschaften vorhin eingesehen habe, in genau demselben Ordner eine Art Verknüpfung (zumindest steht es da so) gibt, die setup.PIF heißt und als Icon das Logo von MS-DOS hat. Ist das normal oder soll ich das auch nochmal hochladen?
Entschuldige die ständigen Edits, aber kann es sein, dass diese Verknüpfung lediglich eine Verknüpfung zur besagten setup.exe ist? Vielleicht habe ich einfach falsch geklickt oder die Datei ein Stück gezogen.

Die Datei ist leer! Stell vor dem Upload den Virenscanner ab!

Entschuldige vielmals, aber ich hatte gerade ein kleines Problem mit dem Upload und hab dann noch einmal die setup.exe wiederhergestellt und dabei Avast! wieder aktiviert und dann habe ich wohl vergessen, es wieder zu deaktivieren :stirn:
Nun gut, jetzt müsste es aber geklappt haben.

Diese setup soll angeblich einen Videocodec installieren, enthält aber Adware, also keinen Schädling, aber nervige Werbung => https://www.virustotal.com/file/fea1...is/1342382014/

Führ bitte auch ESET aus, danach sehen wir weiter.

Hinweis: ESET zeigt durchaus öfter ein paar Fehlalarme. Deswegen soll auch von ESET immer nur erst das Log gepostet und nichts entfernt werden.

ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt so öffnen: per Rechtsklick => als Administrator ausführen
• Dein Anti-Virus-Programm während des Scans deaktivieren.
  
  Button http://img695.imageshack.us/img695/1599/eset1l.jpg (<< klick) drücken.
  • Firefox-User:
    Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
  • IE-User:
    müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Haken bei Yes, i accept the Terms of Use.
• Drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Scan archives".
• Gehe sicher das bei Remove Found Threats kein Hacken gesetzt ist.
• http://img707.imageshack.us/img707/687/starteg.jpg drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

• Klicke Finish.
• Browser schließen.

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und kopiere folgenden Text in das Ausführen Fenster.
Hinweis: Falls du ein 64-Bit-Windows einsetzt, lautet der Pfad so:

Poste nun den Inhalt der log.txt.

So, der Scan ist durch und hier ist das Log:
Ist natürlich wieder die besagte setup.exe ...

adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Search.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

Hier ist das gewünschte Log:
Dir wird sicherlich sofort das Schlagwort "Softonic" ins Auge fallen. Jedoch muss ich dir versichern, dass ich dort wissentlich nichts heruntergeladen habe. Mir ist nur beim Download von Avast! auf der Herstellerseite bei einem anderen Computer aufgefallen, dass man nach Softonic verwiesen wird, wahrscheinlich ist hier ähnliches vorgefallen.

adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Delete.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Und hier wieder das gewünschte Log:
Was soll ich jetzt eigentlich mit der setup.exe im Virencontainer machen? Kann ich das löschen oder soll ich das da drin lassen oder wie?

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

Ich hatte vorher keine Probleme und habe jetzt auch keine, es funktioniert also alles und alles, was da sein sollte, ist auch da.

Edit: Was mir nur wieder beim Herunterfahren aufgefallen ist ist, dass Windows zwar angibt, dass es sechs Updates macht, dann aber nur eines installiert und dann ganz normal wie sonst herunterfährt. Das ist jetzt bestimmt schon viermal hintereinander passiert und Windows gibt auch immer genau sechs Updates an, ist das so normal?

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hier das OTL-Log:
Willst du das Extras-Log auch haben?

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Mann, Mann, Mann, ziemlich viele Logs, und hier kommt schon das nächste:

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg

Guten Morgen Arne!
Hier das Log:

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Hier das gewünschte ComboFix-Log:

Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).



Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

Guten Abend Arne!
Der GMER-Scan ist durch, aber die anderen beiden werde ich erst morgen durchführen, da es jetzt schon ziemlich spät ist. Die Logs poste ich dann morgen zusammen in einem Post, damit du alles auf einem Blick hast ;)
Das GMER-Log habe ich vorsichtshalber auch noch einmal separat gespeichert, falls ich es nicht mehr wiederfinde.
Also dann, schönen Abend noch und bis Morgen! :)

Guten Tag lieber Arne!
Die Scans sind durch und hier sind die Ergebnisse:

GMER-Log:
OSAM-Log:
aswMBR-Log:

Sry für meinen kleinen Ausbruch im Erinnerungsstrang, aber ich reagiere da leider etwas allergisch wenn jmd schon nach wenigen Stunden da herumdrängelt


Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Ist doch kein Problem :lach:

Da mein Computer schon einige Jahre auf dem Buckel hat, hat dieser inzwischen durch einen Hardwaredefekt leider den Geist aufgegeben und eine Reparatur hätte sich in keinster Weise gelohnt. Deswegen ist bereits ein neuer Rechner angeschafft und das in diesem Thread behandelte Problem hat sich somit erledigt.
Ich bedanke mich trotzdem recht herzlich für deine Hilfe cosinus und bin sehr froh, dass es Leute wie euch gibt, die geplagten Laien helfen, den PC wieder fit zu bekommen.
:dankeschoen:

Hm, ein Meter vor der Ziellinie macht dein alter PC schlapp und stirbt den Hardwaretod? Oder war es ein Hitzetod? :lach:

Da darfst du mich nicht fragen cosinus, von sowas habe ich leider überhaupt keine Ahnung, der ging einfach nicht mehr an, mehr kann ich dazu auch nicht sagen :lach:
Aber trotzdem vielen lieben Dank für deine kompetente Hilfe, auch wenn sie letztendlich "umsonst" war, da der Rechner jetzt tot ist :crazy:

Hm, einfach nicht mehr an, da kann auch "nur" das Netzteil hin sein
Wenn du Lust einfach mal ein neues Netzteil einbauen und testen

Naja, für den alten Schinken extra ein Netzteil zu kaufen würde sich nicht lohnen, zumal der PC eh schon nicht mehr bei uns im Haus ist :lach:
Der war ja schon seit langem irgendwie fratze, aber jetzt hat er halt total den Geist aufgegeben, aber er hat seinen ewigen Frieden auch verdient, der war jetzt über 10 Jahre im Einsatz :)

Achso wenn das Ding schon 10 Jahre alt war :wtf: