Was tun nach "Live Security Platinum" Virus
 

Also erstmal: Ich besitze ein System mit Windows 7 64 bit, ehe ich es später vergesse.
Heute im Laufe des Tages musste ich dann den "Live Security Platinum"- Virus feststellen, da so gut wie alle Programme beendet waren, Explorer nicht funktionierten. Internet war aber noch da und auch .exe-Dateien konnte ich ausführen.
Ich habe mir dann Malwarebytes Anti-Maleware runtergeladen und im Abgesichterten Modus (mit Netzwerktreibern jedoch, zum runterladen) mein System prüfen lassen. Der Virus wurde erkannt, ich habe ihn damit entfernt und dann ging das System erstmal wieder so wie es sein soll.
Ich habe jedoch an dem Pc momentan 3 externe Festplatten angeschlossen und nun würde ich gerne irgendwie erfahren, ob diese jetzt "verseucht" sind, ob der rest meines Systems verseucht ist etc.
Ich habe dann anschließend mit OTL scannen lassen. Danach nocheinmal mit Emsisoft den gescannt. Dabei wurden dann noch "Trace.File.Livesecurityplatinum!E1" und noch "Trojan.Java.Downloader!E2" gefunden und gelöscht.
(OTL= Vor Emsisoft scan und OTL2 danach)
Habe ich da jetzt Fehler gemacht? oder ist alles in Ordnung? Wie kann ich sichergehen, dass die Externen sauber sind? etc.

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

• Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
• Starte die OTL.exe.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

• Schließe alle Programme.
• Klicke auf den Fix Button.
• Wenn OTL einen Neustart verlangt, bitte zulassen.
• Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Ich habe den Text nun kopiert, und damit gefixt.
Jetzt sehe ich teils "unsichtbare" dateien, kann aber keinen Logfile finden.
Also ich wurde automatisch abgemeldet, und danach war kein Logfile da.
In dem Pfad
"C:\_OTL\MovedFiles\07162012_175621\C_Users\Philip\AppData\Local\{79a1fb19-f922-7661-cfde-edd71a9dce1f}"
sind nur immer jeweils der Ordner, und am ende eine versteckte Systemdatei namens "@".
Wie bekomme ich jetzt einen Logfile? Nochmal mit OTL Scannen?

Ja, versuche es nochmal mit dem Fix.

Ja jetzt hat es funktioniert.

Sehr gut! :daumenhoc

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Search.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

Hier der Inhalt der Textdatei:

Sehr gut! :daumenhoc

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Delete.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

danach:

TDSSKiller von Kaspersky

- Lade den TDSSKiller und entpacke das Archiv auf Deinen Desktop.
- Vergewissere Dich, dass die TDSSKiller.exe direkt auf dem Desktop liegt (nicht in einem Ordner auf dem Desktop).
- deaktiviere vorübergehend dein AntiVirus-Programm
- Starte die TDSSKiller.exe durch Doppelklick.
- Nach Beendigung der Arbeit schlägt das Tool vor, das System neu zu starten.
- Bestätige das ggfs. mit Y(es).
- Beim Hochfahren des Systems führt der Treiber alle geplanten Operationen aus löscht sich danach.
- Poste den Inhalt von C:\TDSSKiller.txt hier in den Thread.

Hier findest Du eine ausführlichere TDSSKiller Anleitung.

Hier ist der ADWcleaner log:
Der andere folgt gleich per edit.

Also bei dem TDSSKiller wurde zuerst gar nichts gefunden, danach (ich hatte bei 2 sachen unten optional dann den haken gesetzt) wurden 2 medium-rist sachen gefunden. Hier der Log:

Sehr gut! :daumenhoc

Malware mit Combofix beseitigen

Lade Combofix von einem der folgenden Download-Spiegel herunter:

BleepingComputer.com - ForoSpyware.com

und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig!
Beachte die ausführliche Original-Anleitung.

Zurzeit ist Combofix auf folgenden Windows-Versionen lauffähig:

• Windows XP (nur 32-bit)
• Windows Vista (32-bit/64-bit)
• Windows 7 (32-bit/64-bit)

Vorbereitung und wichtige Hinweise

• Bitte während des Scans mit Combofix Antiviren- sowie Antispy-Programme, die Firewall und evtl. vorhandenes Skript-Blocking (Norton) deaktivieren.
• Liste der zu deaktivierenden Programme.
  Bei Unklarheiten bitte fragen.

• ComboFix wird Deine Einstellungen in Bezug auf den Bildschirmschoner zurücksetzen.
• Diese Einstellungen kannst Du nach Beendigung unserer Bereinigung wieder ändern.
• Mache nichts anderes, wenn es Dir nicht gelungen ist, Combofix laufen zu lassen.
• Teile uns das mit und warte auf unsere Anweisungen.

• Starte die Combofix.exe mit Rechtsklick => Als Administrator ausführen und folge den Anweisungen.
• Während des Laufs von Combofix nichts anderes am Computer machen!
• Akzeptiere die Bedingungen (Disclaimer) mit "Ja".

• Sollte Combofix eine aktuellere Version anbieten, Downlaod erlauben.
• Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.
• Es erscheint eine blaue Eingabeaufforderung, Combofix wird für den Suchlauf vorbereitet.
• Bitte nicht in dieses Combofix-Fenster klicken.
• Das könnte Dein System einfrieren oder hängen bleiben lassen.
• Es wird ein Backup Deiner Registry erstellt.
• Nun werden die einzelnen Stufen des Programms abgearbeitet, das kann eine Weile dauern.

• Wenn ComboFix fertig ist, wird es ein Log erstellen (bitte warten, das dauert einen Moment).
• Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint.
• Bitte poste die Log-Dateien C:\ComboFix.txt und C:\Qoobox\Add-Remove Programs.txt in Code-Tags hier in den Thread.

• Hinweis: Combofix macht aus verschiedenen Gründen den Internet Explorer zum Standard-Browser und erstellt ein IE-Icon auf dem Desktop.
• Das IE-Desktop-Icon kannst Du nach der Bereinigung wieder löschen und Deinen bevorzugten Browser wieder als Standard-Browser einstellen.

Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen!

das ist auch fertig.
hier die combofix-logdatei:

und hier die add-remove-programs

Sehr gut! :daumenhoc

Combofix deinstallieren

Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking (Norton) und Anti-Malware Programme deaktivieren.

Start => Ausführen

=> dort reinschreiben

ComboFix /Uninstall => Enter drücken

Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch daraus die Schädlinge verschwinden. Es wird ein neuer Systemwiederherstellungspunkt erstellt. Gleichzeitig setzt Combofix die Zeiteinstellungen wieder auf die Ursprungseinstellungen, und setzt die Systemeinstellungen wieder so zurück, dass Dateierweiterungen und Systemdateien versteckt sind, was Du bei Bedarf im Explorer unter Extras => Ordneroptionen aber wieder ändern bzw. Deinen persönlichen Vorlieben entsprechend anpassen kannst.


Bitte danach: http://www.trojaner-board.de/72874-s...eparieren.html

Ich habe jetzt Combofix deinstalliert und bei der Systemprüfung wurden keine Integritätsfehler gefunden.
Das heißt, der Pc+die externen sind jetzt sauber?
Edit: Ah und im Firefox ist momentan das flashplugin nicht drauf. einfach wieder installieren oder?

Sehr gut! :daumenhoc

damit bist Du sauber und entlassen! :)

ja.


Tool-Bereinigung mit OTL


Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.

• Bitte lade Dir (falls noch nicht vorhanden) OTL von OldTimer herunter.
• Speichere es auf Deinem Desktop.
• Doppelklick auf OTL.exe um das Programm auszuführen.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Klicke auf den Button "Bereinigung"
• OTL fragt eventuell nach einem Neustart.
  Sollte es dies tun, so lasse dies bitte zu.

Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.


Lektuere zum abarbeiten:
http://www.trojaner-board.de/90880-d...tallation.html
http://www.trojaner-board.de/105213-...tellungen.html
PluginCheck
http://www.trojaner-board.de/96344-a...-rechners.html
Secunia Online Software Inspector
http://www.trojaner-board.de/71715-k...iendungen.html
http://www.trojaner-board.de/83238-a...sschalten.html

Ersteinmal vielen Dank für die Hilfe.
Ich weiß nicht so genau, ob ich das noch hier rein posten soll, oder einen neuen Thread machen soll.
An sich funktioniert der Pc so, wie er soll, nur im Laufe des Tages wurden heute 2 Viren von Antivir gefunden (tr/crypt.epack.gen8, und noch einer).
Dann habe ich ca 30 minuten später nochmal den Antivir Scan laufen lassen, der dann 2 Funde hatte. Die sind erstmal in der Qarantäne.
Ausschnitt aus dem Report von Antivir:
Ich weiß nicht so recht, aber so ganz sieht es ja nicht nach Zufall aus und würde irgendwie doch noch dafür sprechen, dass sich ein rootkit virus im system befindet, oder? (ich hoffe ich mache jetzt nicht immer mehr arbeit für nix...)
Wenn ich einen neuen Thread machen soll, einfach sagen.