|
TrojWare.Win32.Trojan.Agent.Gen@146264662 in systempack107_2121.exe Hallo, mein COMODO Internet Security Premium hat TrojWare.Win32.Trojan.Agent.Gen@146264662 in systempack107_2121.exe festgestellt - in einem Verzeichnis, das eigentlich leer sein sollte und gewiss keine exe-Dateien hätte beherbergen sollen, kein Systemverzeichnis sondern einfach ein Datei-Ordner auf meiner (externen, aber immer angeschlossenen) Daten-Festplatte, der mal für Bilddateien angelegt worden war. Die Datei wurde am 24.12.2010 auf meinem Rechner erstellt, während eine Freundin von mir nach Rücksprache mit mir in meiner Abwesenheit bei mir im Internet surfte - sie rief mich an kurz bevor ich nach Hause kam, weil sie von Google auf eine offensichtlich nicht vertrauenswürdige Seite geleitet wurde. Ein nach meiner Heimkehr direkt durchgeführter Virenscan fand allerdings damals nichts. Dafür aber heute - warum auch immer erst so spät. Ich habe dem Vorschlag der COMODO Internet Security folgend das Objekt in Quarantäne gestellt. Google-Suche nach dem Virus und der Datei hat mir nicht viel geliefert - nach dem Virus suchen gar nichts, nach der Datei nur eine Reihe von Virenscan-Ergebnissen mit Befallen, aber ich kann mit den Informationen nichts anfangen und kann daher auch keine sinnvolle Vorauswahl treffen, was relevant sein könnte und was nicht, es sind aber nur sehr wenige links. Hier also der Such-Link: h**p://www.google.de/search?hl=en&client=opera&hs=s6a&rls=en&channel=suggest&q=systempack107_2121.exe&aq=f&aqi=&aql=&oq= Einziges dabei mitgefundenes Foren-Thema ist das nachfolgende - aber hat das überhaupt mit meinem Problem zu tun?? Hab nicht das Gefühl, aber Google schlug den Link vor: h**p://forum.avira.de/wbb/index.php?page=Thread&postID=1021447 Nun wollte ich der Anleitung für Load.exe hier vom Board folgen (hxxp://w*w.trojaner-board.de/89918-load-exe-larusso.html), bekam aber bei der Installation die folgende Fehlermeldung: "Line 5253 (File "C:\Users\edDy\Desktop\Load.exe"): Error: Variable used without being declared." Installation nach Klick auf "OK" fortgesetzt und abgeschlossen, Programmaktualisierung und anschließender Programmstart funktionierte, aber es wurde kein Ordner MFTools auf dem Desktop erstellt und die Windows-Suchfunktion nach "MFTools" und anschließend nach "Anleitung" fand weder den Ordner noch die eigentlich darin erwartete Anleitung.html auf meinem Computer. Also wie soll ich nun vorgehen um auswertbare Daten posten zu können? Kenne das Programm und seine Einstellungen nicht... In der Hoffnung auf Hilfe verbleibe ich mit Dank & Gruß. Edd |
Hallo und Herzlich Willkommen! :) Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]: Zitat:
► Beschreibe genau, welche Versuche du unternommen hast, um das Problem zu lösen (also die schon vorhandenen Ergebnisse auch posten) ► Danach versuche folgendes: Seit wann hast du dieses Problem denn? Wenn du glaubst zu kennen die Zeitpunkt wo dein System noch einwandfrei funktioniert hat, die Systemwiederherstellung ist einen Versuch Wert!: Zitat:
► - auch, ob die SWH funktioniert hat, bzw ob Du das System auf einen früheren Wiederherstellungspunkt zurückstellen können? (Kannst noch immer bis zum heutigen Zeitpunkt rückgängig machen, falls liefert nicht das gewünschte Ergebnis) ► Da die SWH nur ein Notlösung ist und/oder die Systemwiederherstellung ist nicht durchführbar, arbeite die aufgeführten Schritte bitte vollständig ab: Für Vista und Win7: Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen 1. läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit) Achtung!: WENN GMER NICHT AUSGEFÜHRT WERDEN KANN ODER PROBMLEME VERURSACHT, fahre mit dem nächsten Punkt fort!- Es ist NICHT sinnvoll einen zweiten Versuch zu starten! Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! Anleitung:-> GMER - Rootkit Scanner 2. Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org
3. lade Dir HijackThis 2.0.4 von *von hier* herunter HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen" 4. Bitte Versteckte - und Systemdateien sichtbar machen den Link hier anklicken: System-Dateien und -Ordner unter XP und Vista sichtbar machen Am Ende unserer Arbeit, kannst wieder rückgängig machen! 5. → Lade Dir HJTscanlist.zip herunter → entpacke die Datei auf deinem Desktop → Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren → per Doppelklick starten → Wähle dein Betriebsystem aus - bei Win7 wähle Vista → Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen → Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren → Bitte kopiere den Inhalt hier in Deinen Thread. ** Falls es klappt auf einmal nicht, kannst den Text in mehrere Teile teilen und so posten 6. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool Ccleaner herunter → "Download"→ " Download from FileHippo.com" installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein Zitat:
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw grußCoverflow |
Hallo und erstmal danke für die angebotene Hilfe. :) Zitat:
Zitat:
Code: COMODO Internet Security Premium - Protokollanzeige Einträge Zitat:
Das Programm "Load.exe" hier aus dem Forum (h**p://w*w.trojaner-board.de/89918-load-exe-larusso.html) hab ich installiert, aber noch nicht benutzt wegen der in meinem ersten Posting geschriebenen Gründe (Fehlen der erwarteten Anleitung, die bei Installation hätte erstellt werden müssen). Das war's. Mehr ist noch nicht passiert. Zitat:
Fragen dazu: 1.) Heißt das wenn ich eine System wiederherstellung von dem 23.12. oder davor durchführe verliere ich zwar die Daten zwischen diesem Tag und dem jetzigen Zeitpunkt, brauche aber keinerlei Bereinigung mehr durchführen? 2.) Kann ich Sicherheitskopien meiner bis heute vorhandenen eMail-Korrespondenz erstellen und nach der SWH wiederherstellen? Die Infektion fand im Browser statt (Firefox oder Opera), nicht im eMail-Programm (Ich nutze Thunderbird). Zitat:
Dank & Gruß, Edd |
GMER-Log Zitat:
Ok, Widme mich nun dem nächsten Schritt... Danke für die Hilfe. :) Gruß, Edd |
Zitat:
Code: Malwarebytes' Anti-Malware 1.50.1.1100Derweil gehe ich weiter in der Liste und führe den nächsten Schritt durch... Danke für die Hilfe. :) Dank & Gruß, Edd |
Zitat:
Hier die Log-Datei vom zweiten Scan: Code: Logfile of Trend Micro HijackThis v2.0.4Edd |
System-Dateien und -Ordner sichtbar Zitat:
|
HJTscanlist Zitat:
Code: Edd |
Liste installierter Programme Zitat:
Code: 7-Zip 9.20 13.01.2011 Edd |
Liste komplett abgearbeitet. Wie geht's weiter? Ok, die Liste hab ich komplett abgearbeitet. Jetzt hoffe ich mal, ihr könnt mir an Hand der ganzen geposteten Logs und Listen sagen, wie ich nun weiter vorzugehen habe, oder ob jetzt alles in Ordnung ist so weit... :) Vielen Dank schonmal im Voraus! :) Gruß, Edd |
Zitat:
Systemreinigung und Prüfung: 1. Funde aus der Quarantäne von Comodo bitte löschen! 2. Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked" klicken→ PC neu aufstarten): HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen Code: O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')Windows und die installierten Programme auf den neuesten Stand zu halten,sind Garanten für eine erhöhte Sicherheit! Java aktualisieren `Start→ Systemsteuereung→ Java→ Aktualisierung...(Update 23 schon fällig!) 4. den Java-Cache leeren - wie unter Punkt 7. u. 8. beschrieben *klick über Systemsteuerung -> Java... 5. Adobe Reader aktualisieren : Adobe Reader Oder: Adobe starten-> gehe auf "Hilfe"-> "Nach Update suchen..." 6. Zitat:
C:\Users\xxxxx\AppData\Local\Temp--> lösche nur den Inhalt der Ordner, nicht die Ordner selbst oder klicke auf Start-> Suche-> %temp% reinschreiben... 7. Öffne CCleaner
8.
9. Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware ("Worm.Win32.Autorun") verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen. → Also alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. Außerdem kann man die Autostarteigenschaft auch ausschalten: → Windows-Sicherheit: Datenträger-Autorun deaktivieren- bebilderte Anleitung v.Leonidas/3dcenter.org → Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten/wintotal.de → Diese Silly -Beschreibung stützt die Annahme, dass er über einen USB-Stick kam. Die Ursache ist durch formatieren des Sticks aus der Welt geschafft, Du solltest darauf achten, dass dort keine Datei autorun.inf wieder auftaucht und etwas wählerisch sein, wo Du deinen Stick reinsteckst. Achtung!: >>Du sollst das Programm nicht installieren, sondern dein System nur online scannen<< → Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner/klicke hier → um mit dem Vorgang fortzufahren klicke auf "Accept" → dann wähle "My computer" aus - Es dauert einige Zeit, bis ein Komplett-Scan durch gelaufen ist, also bitte um Geduld! Es kann einige Zeit dauern, bis der Scan abgeschlossen ist - je nach Größe der Festplatte eine oder mehrere Stunden - also Geduld... → Report angezeigt, klicke auf "Save as" - den bitte kopieren und in deinem Thread hier einfügen Vor dem Scan Einstellungen im Internet Explorer: → "Extras→ Internetoptionen→ Sicherheit": → alles auf Standardstufe stellen → Active X erlauben - damit die neue Virendefinitionen installiert werden können 10. poste erneut - nach der vorgenommenen Reinigungsaktion: TrendMicro™ HijackThis™ -Logfile - Keine offenen Fenster, solang bis HijackThis läuft!! ** Wie ist den aktuellen Zustand des Rechners? probleme, Auffälligkeiten, Meldung v. AV-Scanner oder Firewall? |
Comodo Quarantäne in Comodo geleert (Dateien gelöscht) Zitat:
Zitat:
Code: Infizierte Dateien:Werde jetzt die Liste Schritt für Schritt durcharbeiten. Danke für deine Hilfe, Coverflow! :daumenhoc Ich benötige den Rechner am morgigen Dienstagabend ab 17:30 Uhr für einen gewerblichen Termin (bin nebenberuflich Kleinunternehmer) - meinst du bis dahin ist mein Computer wieder voll einsatzfähig? Werde meine Kreditkarte online in Anspruch nehmen müssen morgen Abend. So oder so, ich find's toll, dass du mir so hilfst! :daumenhoc Weiß ich zu schätzen! Danke dir! :daumenhoc Gruß, Edd |
2: Gefixt mit TrendMicro HijackThis Zitat:
Gruß, Edd |
3: Java aktualisiert (bzw. scheinbar dabei neu installiert...?) & 4: Cache gelehrt Zitat:
Eine Frage hätte ich aber: Ich hab dann "Automatisch nach Aktualisierungen suchen" vom Programmstandard 1x pro Monat auf jeden Tag ändern wollen, aber jedes Mal wenn ich in das entsprechende Menü des Java Control Panels gehe zeigt er mir wieder den Programm-Standard 1x pro Monat am Monatszweiten an. Warum kann ich das nicht ändern? Manuell nach Updates suchen vergesse ich zu leicht... Hast du da nen Tipp für mich? Mache ich irgendwas falsch? Zitat:
Wie dem auch sei: Java: Cache gelehrt. Firefox und Internet Explorer: Cache gelehrt. Opera: mache ich nach diesem Posting - nicht vorher, weil mir sonst das Tab geschlossen wird. ;) Andere Browser sind nicht installiert. Gruß, Edd |
5: Adobe Reader aktualisiert & 6: Temp Ordner geleert Zitat:
Zitat:
Bis auf eine Datei, die vom Explorer verwendet wurde (FXSAPIDebugLogFile.txt), sind mit Ausnahme der System-Dateien (desktop.ini und index.dat) in allen Unterordnern des Ordners "Temp" sowie im Ordner "Temp" selbst alle Dateien gelöscht. Die Unterordner in "Temp" hab ich gemäß deiner Anweisung alle bestehen gelassen. Gruß, Edd |
7: Analyse & Fehlerbehebung mit CCleaner & 4 in User-Account wiederholt: Java-/Browser-Cache geleert Zitat:
...anschließend nach Neustart nun im User-Account eingeloggt und auch dort für Java und alle Browser umgesetzt (hatte ich beim ersten Mal nur im Administrator-Account gemacht): Zitat:
Dank & Gruß, Edd |
8: SUPERAntiSpyware Scan Log Zitat:
Code: SUPERAntiSpyware Scan LogOb löschen oder in Quarantäne stellen hat das Programm nicht zur Wahl gestellt, sondern mich nur informiert, dass die schädlichen Objekte in Quarantäne gestellt werden. Aber sollten Cookies nicht gelöscht werden, wenn im Browser nach einer Internetsitzung "delete private data" mit Häkchen bei "delete all cookies" durchgeführt wird? Mache ich nach jeder Sitzung - verstehe daher nicht so ganz, dass überhaupt Cookies im System verbleiben - und dann gleich 18 (!) schädliche... :daumenrunter: Auch seltsam: Meine Thunderbird-Installationsdatei wurde als schädliches Objekt gelistet und steht nun in Quarantäne... Wie kommt das? Suchen sich Schädlinge normale bereits vorhandene (vielleicht nicht so oft genutzte) Dateien aus dem System raus und "infizieren" die? Na wie dem auch sei. Weiter im Programm... Dank & Gruß, Edd |
Automatische Wiedergabe für alle Medien und Geräte abgestellt (?) Zitat:
Hingegen nicht finden konnte ich: Zitat:
Also dann suche ich mal nach meinen USB-Sticks und gehe Punkt 9 der Liste an... Gruß, Edd |
Kaspersky Online Scanner lässt sich nicht starten! :( Zitat:
"Kaspersky Online Scanner 7.0 download and operation require Java framework version 1.6 or later." Dabei ist Java installiert und aktualisiert! Bin dennoch dem von Kaspersky vorgeschlagenen Link zu Java gefolgt, aber da ist schlicht die bereits installierte Java-Version zu finden! Ein Versuch die Datei zu installieren gab mir wie erwartet die Information, das Programm sei bereits installiert, ob ich neu installieren wolle. Hab verneint, denn was bringt's am selben Tag das selbe Programm erneut zu installieren? Was jetzt?? Kaspersky Online Scanner lässt sich nicht starten! "Accept" ist nicht anklickbar, nur "Exit" kann ich anklicken! Was mache ich jetzt?? An Standard-Stufe der Internet-Optionen und Active.X lag es auch nicht - hatte beides vorher eingestellt. Hab sogar bei einem zweiten Versuch in der Standard-Stufe weitere Active.X-Optionen aktiviert trotz Hinweis des Systems dies sei riskant - gleiche Meldung wieder. Hab hinterher wieder auf Standard-Stufe geändert, aber damit ist Active.X ja immer noch aktiviert! Warum findet Kaspersky mein Java nicht? Virenscanner war auch ausgeschaltet und der Rest der Comodo Internet Security hat keine Reaktion gezeigt. Was soll ich tun? Gruß, Edd |
-Zwischenprüfung Comodo Internet Security- Das kann natürlich Kaspersky Online nicht ersetzen, aber ich hab, da ich schon alles angeschlossen hatte, die Gelegenheit ergriffen und hab mal Comodo Internet Security alles prüfen lassen. Gefunden hat Comodo nur auf der bislang nicht angeschlossenen zweiten externen Festplatte etwas: 7 Dateien, die ich alle schon seit fast 10 Jahren auf Festplatte habe, und außer LeechGet auch alle schon genutzt habe. Sie wurden auch bei früheren Virenscans (vor mehreren Jahren) zum Teil schonmal angezeigt, aber da ich die Programm-Dateien kannte und fast alle in Benutzung hatte hab ich die damals immer als Fehlmeldung zu den vertrauenswürdigen Dateien hinzugefügt... Eigentlich brauche ich die Dateien aber nicht mehr, waren nur noch ungenutzt bei den Sicherheitskopien belassen - von daher sind sie jetzt erstmal in Quarantäne. Ich kann sie auch ganz löschen, wollte aber nicht eigenmächtig handeln. Wie dem auch sei, hier ist der Inhalt der Log-Datei (war nicht mehr als ne Auflistung der gefundenen vermeidlichen Schädlinge): Code: UnclassifiedMalware@16861865 M:\\von K\all u need\backuped\Internet\Downloadmanager\GetRight 4.3\Setup.exeDank & Gruß, Edd |
-Zwischenprüfung HijackThis (alte Log-Datei vorher gesichert)- So, hier das Ergebnis des soeben durchgeführten HijackThis-Scans (die Log-Datei des vorangegangenen Scans hatte ich natürlich vorher umbenannt, damit sie nicht überschrieben werden konnte): Code: Logfile of Trend Micro HijackThis v2.0.4Danke für die Hilfe! :) Gruß, Edd |
Kaspersky Online: Neuer Versuch - weiter gekommen, aber wieder gescheitert. :( Hab nun doch noch einen Versuch mit Kaspersky gestartet, einfach mit nem anderen Browser (warum auch immer ich nicht gleich auf diesen Gedanken gekommen bin, muss die Müdigkeit sein :kaffee:) - immerhin konnte ich nun mit "Accept" den Download-Vorgang starten, aber dann war auch wieder Schluss. Ich bekam folgende Fehlermeldung: Code: Update has failed The program could not be started. Das auf der Seite geführte Protokoll gab folgende Information her: Code: The program is starting. Please wait...Ich bin mit meinem Latein am Ende - komme hier nicht weiter. Was soll ich tun? Danke für die Hilfe, Edd |
So, bin schon was eher daheim als gedacht... :) Für etwaige Ausweichmöglichkeit falls mein Rechner bis 17:30 noch nicht fit ist, womit ich inzwischen rechne dank meiner Probleme mit Kaspersky, ist gesorgt. Jetzt werd ich hier regelmäßig nachschauen, ob ich neue Hinweise oder Anweisungen bekommen habe. Dank & Gruß, Edd |
Neues Problem! Was soll ich tun?? :( Hab eben nochmal den Scan mit Kaspersky Online probieren wollen und da ich dazu das System erstmal ohne externe Datenträger neu starten wollte habe ich meine eine, immer per USB angeschlossene Festplatte abmelden wollen - passierte nichts, keine Bestätigung wie sonst. Dann direkt herunterfahren wollen - wieder nichts. Windows hängte sich auf. Konnte nur noch per Netzschalter abschalten. Windows dann neu gebootet (normaler Modus), so weit ok, Festplatte mit Shift gedrückt angeschlossen - wurde gar nicht geladen, nur sehr langsame Status-Anzeige im Ordner, so als würde der PC sehr lange brauchen die Seite "Mein Computer" im Windows Explorer zu laden! Dann sah ich ne Warnmeldung von Comodo, eine seiner Komponenten sei nicht aktiv. Ich habe auf aktivieren geklickt, Windows fragte ob ich die "Programmänderung" wirklich durchführen wolle, Programm sei Comodo, ich hab's also bestätigt, denn ich hatte die "Veränderung" ja initialisiert. Dann kamen ne Reihe von Meldungen von Comodo AAWService.exe versuche eine Änderung in der Registry und der Pc stürzte erneut ab. HKUS\.DEFAULT\Software\Policies\... weiter kam ich mit dem Abschreiben nicht. AAWService.exe ist Bestandteil der bei mir installierten Ad-Aware Free Version und startet sich beim Booten selbst, das sollte ok sein - aber was hat es mit den Registry-Zugriffsversuchen auf sich?? Ein Versuch gefixte Probleme auf den zuvor bekannten Zustand zurückzusetzen? Kann ich mir nicht vorstellen, denn es war nicht der erste Windows-Start seit gestern Nacht - hatte schon einen heute Morgen und da war die externe Festplatte auch noch angeschlossen gewesen... Hab dann nochmal neu gestartet, Festplatte gar nicht erst abgenommen - selbe Problem wieder: Auch als der grüne Balken am Ende ankam (schien mir als habe er mehr als ne Minute dafür gebraucht!) erkannte er die Festplatte immer noch nicht. Versucht auf die Platte zuzugreifen und der Rechner stürzte wieder ab. Nochmal neu gestartet, Festplatte beim Booten abgestellt, anschließend ohne Shift zu drücken die zweite externe Festplatte versucht zu laden: Wieder das gleiche Problem. Gar nicht erst nen Zugriff versucht, Windows Explorer-Fenster zu schließen versucht => Windows stürzte wieder ab. Nun nochmal neu gestartet und in den abgesicherten Modus gegangen. Comodo steht da nicht zur Verfügung wie ich festgestellt habe. Ad-Aware wurde hingegen mitgeladen - also nen Komplettscan mit Ad-Aware durchgeführt und Protokoll gespeichert ohne die 1 gefundene Datei (aus dem Comodo-Quarantäne-Verzeichnis) zu bearbeiten - steht eh schon bei Comodo in Quarantäne. Danach wieder normal Windows geladen - und erstmal noch keine der beiden externen Festplatten angeschlossen, sondern erstmal online gegangen, um das hier zu posten... Was mache ich jetzt? Seit ich gestern Abend erstmals alle externen Datenträger auf ein Mal angeschlossen habe - und das erstmals im Administrator-Account - sind übrigens die Laufwerksbuchstaben anders zugewiesen, in der Reihenfolge in der die Datenträger vom System geladen wurden glaube ich. Auch da weiß ich nicht warum, im User-Account hatte ich die meisten der Datenträger schonmal genutzt und die Buchstabenzuordnung ist nun auch dort anders... Hat das vielleicht mit den Abstürzen zu tun? :confused: Hier erstmal das Ad-Aware-Protokoll: Code: Logfile created: 18.01.2011 15:27:32Was soll ich nun tun? :confused: Dank & Gruß, Edd |
Zur Erinnerung: bitte bei Probleme nochmal nachfragen, nicht etwas auf eigene Faust tun / mehrmals versuchen! Du kannst versuchen mit die Systemwiederherstellung dein System wieder auf den Stand zu bringen wo noch Ordnung war - 17.01.2011, 19:04 1. Zitat:
► - auch, ob die SWH funktioniert hat, bzw ob Du das System auf einen früheren Wiederherstellungspunkt zurückstellen können? (Kannst noch immer bis zum heutigen Zeitpunkt rückgängig machen, falls liefert nicht das gewünschte Ergebnis) 2. Wenn du auf der Stelle ein schnelleres System haben möchtest: - Beim Hochfahren von Windows werden einige Programme mit gestartet, die sich (mit oder ohne Zustimmung des Users) im Autostart eingetragen haben - Je mehr Programme hier aufgeführt sind, umso langsamer startet Windows. Deshalb kann es sinnvoll sein, Software die man nicht unbedingt immer benötigt, aus dem Autostart zu entfernen. - Bei allem Häkchen weg was nicht starten soll, aber immer nur einen deaktivieren (Haken weg), also Schrittweise -> Neustart... - Wird noch nach dem nächsten Neustart ein Hinweisfenster erscheinen, da ist ein Haken setzen : `Meldung nicht mehr anzeigen und dieses Programm beim Windows-Star nicht mehr starten` (Du kannst es jederzeit Rückgängig machen wenn du den Haken wieder reinmachst.) - Falls Du mal brauchst, manueller Start jederzeit möglich Folgende Anwendungen bitte aus dem Autostart rausnehmen: Code: AdobeAAMUpdater-1.0- oder "Programme-> Dateien durchsuchen-> im Startmenü schreibst Du "msconfig" rein und wählst Du den "Systemstart" aus - auch Ccleaner kann dabei helfen: starten-> Extras-> Autostart... oder: Drücke bitte die Tastenkombination [Windows-Taste]+[R], gibt`s Du den Befehl "msconfig" (ohne "") ein, und klicke auf OK. 3. poste erneut - nach der vorgenommenen Reinigungsaktion: TrendMicro™ HijackThis™ -Logfile - Keine offenen Fenster, solang bis HijackThis läuft!! |
Versuch einer SWH - und damit verbundene Probleme Zitat:
Zitat:
"Systemfehler beim Löschen der folgenden Datei: C:\Program Files\COMODO\COMODO Internet Security\Quarantine\FAE96E2A-87E5-4747-9C2A-D2DD00123032.data" Darunter die Information, das System sei beim bisherigen Stand geblieben. COMODO funkt mir mittlerweile bei allem dazwischen! Als meine Festplatte im Begriff war zu laden fragte COMODO mich, ob mir mein MAUSTREIBER bekannt sei oder er wegen auffälliger Aktivität zu blockieren sei! Der Dateiname sagte mir nichts, hab ihn hinterher nachgeschaut, aber ich hatte das Gefühl das COMODOs Interaktionen meine derzeitigen Ladeprobleme zumindest mitverursachen wenn nicht sogar alleinig auslösen. Und da ich das System eh zurücksetzen wollte hab ich (zum Glück) die Datei zugelassen. Danach kam die nächste Meldung zu einer COMODO vermeidlich nicht bekannten Datei, die von der soeben zugelassenen Datei gestartet werden sollte - an dieser Datei hab ich dann meinen Maustreiber erkannt und sie wiederum zugelassen. COMODO macht mir Ärger - ich hab das Gefühl wir werden besser klarkommen wenn ich COMODO deinstalliere und durch ein anderes Internet Security Programm ersetze. Ein Arbeitskollege meinte, wenn ich Freeware wolle käme nur Microsoft Essentials in Frage, er riet aber eher noch zu Norton Internet Security oder Kaspersky, wovon er Norton für die minimal bessere Alternative hielt. COMODO meinte auch er, solle ich deinstallieren. Wie siehst du das? Ich hab das Gefühl, einige Probleme dürften sich selbst lösen, wenn ich COMODO deinstallieren würde... Wenn mein Eindruck stimmt, dass COMODO mittlerweile meine Treiber beim Windows laden blockiert, weil er sie nicht mehr erkennt, dann erklärt das auch die von mir zunächst für Programm-/System-Abstürze gehaltenen 10-15 Minuten Lade-Unterbrechung... Was denkst du? Aus den letzten Tagen lernend: Ich gehe keinen weiteren Schritt ehe ich von dir gehört habe. :abklatsch: Gruß, Edd |
ich würde ja versuchen erstmal Comodo deinstallieren, dann mal schauen wie es läuft nicht vergessen die Windows eigene Firewall gleich einschalten! erlaube ich mir eine kleine persönliche Bemerkung: 1 AV-Programm mit Hintergrundwächter, die Windows eigene Firewall und eine Reihe von Vorsichtsmaßnahmen für einen Otto Normal Computer und Internet User reicht vollkommen aus!: - alle aktuellen Updates für Windows und die verwendeten Programme regelmäßig einspielen - Antiviren-Programm und Firewall richtig konfigurieren - verzichten auf Filesharing P2P Programme (Internet-Tauschbörsen) - vorsicht bei Downloads aus dem Internet (zuerst googlen um möglichst viele Meinungen zu sammeln, dann..) Sponsor-Programm, Toolbars möglist abwählen (so wird oft Art von Adware/Spyware mitinstalliert) - im E-Mail-Verkehr vorsichtig/mißtraurisch sein - nie mit Adminrechten ins Internet! - dafür ein neues eingeschränktes Konto einrichten - einen "sicheren" Browser (als IE) z.B *Firefox* mit Erweiterungen für Firefox und Mailprogramm (als Outlook) z.B. *Thunderbird* verwenden -achte hier auch auf die Basiskonfiguration! - Surfverhalten überdenken, "unsichere" Seiten vermeiden! - ein sicheres Passwort wählen (mindestens 8 Zeichen aus Groß- und Kleinbuchstaben, Satzzeichen und Zahlen, behalte es für dich und ändere es regelmäßig! - Die sichere Passwort-Wahl - Nur eine Firewall sowie ein Antiviren Programm verwenden, welche sich immer auf dem aktuellsten Stand befinden sollten! Das Installieren von `zuviel` Software beeinträchtigt die Systemleistung und Sicherheit, verlangsamt den Start-Vorgang enorm und belastet den Arbeitsspeicher (weil laufen ja die Programme nebeneinander gleichzeitig, die viel Performance fressen, aber wenig Qualität bringen). Im Laufe der Zeit wird der rechner durch zu viel unnötigen Ballast immer langsamer, und unsicherer. Um so mehr Programme installiert sind, um so häufiger treten Probleme auf, die dann unter Umständen nur schwer lösen können. Dazu kommt noch, das einige Programme große Sicherheitsrisiken mit sich bringen;) |
-Zwischenstand: Deinstallation COMODO löst das Festplattenproblem nicht. Wie weiter?- Zitat:
Deinstallation von COMODO durchgeführt: Nachwievor läd meine externe Festplatte erst nach ca. 10-15 Minuten. Nur noch eine der beiden Festplatten de facto, aber das war schon vor der COMODO-Deinstallation der Fall. Ich weiß nicht warum die andere Festplatte das Problem nicht mehr verursacht und da ich sie nur vereinzelt angeschlossen hatte, die meiste Zeit aber nicht, kann ich nicht sagen, zu welchem Zeitpunkt sie aufgehört hat Ärger zu machen. Inzwischen hab ich alle Dateien auf die wieder voll funktionsfähige Festplatte verschoben, um wieder Platz auf der Problem-Platte zu haben, denn dieser reichte zuletzt nicht mehr aus für neue System-Sicherungen für die SWH. Das ist der Stand der Dinge: - nach der Deinstallation von COMODO nun kein AV-Programm - Windows-Firewall als einzige verbliebene Firewall auf dem System selbstverständlich aktiviert (die hatte ich noch nie inaktiv - Rechner war mit vorinstallierter BullGuard Internet Security ausgeliefert worden, BullGuard hab ich damals ausgetauscht gegen COMODO, aber die Windows-Firewall hab ich aktiviert und aktiv gelassen. Hab nie was von der Windows-Firewall mitbekommen, keinerlei Meldung.) Ich nehme an ich muss die nachfolgenden Schritte tun? 1.) SWH erneut probieren 2.) Falls Festplatte nun keine Probleme mehr verursacht neue Anweisungen abwarten. Falls sie aber weiterhin erst nach 10-15 Minuten läd nehme ich an ist die SWH rückgängig zu machen zu dem Stand an dem sie jetzt, da ich diese Zeilen schreibe, ist und erstmal ein neues AV-Programm installieren. Richtig? COMODO wieder installieren möchte ich ungern - also entweder Microsoft Security Essentials installieren (hab die Installations-Datei bereits von Microsoft.com runtergeladen) oder ein neues Programm kaufen (Norton Internet Security oder Kaspersky Internet Security). Richtig? Ich bitte um ne Bestätigung oder andernfalls neue Anweisungen - ganz ohne AV-Programm bzw. Internet Security fühle ich mich unwohl überhaupt online zu gehen, und sei es nur um in diesem Thread nach einer Antwort zu schauen. Danke für die Hilfe. Gruß, Edd PS: Nur eine Firewall ist grundsätzlich klar, aber schließt das die Windows-Firewall mit ein? Sprich wenn eine anderen Firewall installiert ist sollte die Windows-Firewall deaktiviert sein? Verstehe ich das richtig? Ich hatte gedacht, die sei ergänzend gemeint (als minimale Grundsicherung, auf die andere Firewalls aufbauen), nicht alternativ... |
Zitat:
Zitat:
Zitat:
Zitat:
Zitat von Sprecher des Bundesamtes für Sicherheit in der Informationstechnik (BSI) in Bonn: Zitat:
Jedoch gilt es einige wichtige Dinge zu beachten: - sollte schnell und ressourcenfreundlich (RAM, CPU-Last) wie möglich sein - richtig konfiguriert sein und mindestens täglich 1 X Update - übersichtlich, verständlich und leicht bedienbar (mit die Konfiguration richtig befassen) ** Bei einem Virenfund nicht gleich auf löschen gehen, sondern verweigern oder Quarantäne wählen um einen Fehlalarm zu vermeiden, oder eben wenn der Virus Systemdateien befallen hat Für einfache Benützer sehr empfehlenswert ist z.B Avira/Antivir - (gute Erkennung, niedrige Ressourcen) Avira AntiVir free- Erkennungsleistungen ausgezeichnet Avira AntiVir PersonalEdition Classic. 100%ige Sicherheit gibt es leider nicht, man kann nur die Sicherheitsmassnahmen erheblich verstärken bzw Du selbst kannst auch sehr viel dazu tun, das Netz für dich sicher zu machen! Zitat:
|
-Zwischenstand: Avira Antivir installiert - komplette Systemprüfung läuft- Zitat:
Zitat:
Zitat:
Zitat:
Dank & Gruß, Edd |
---dämliche Unaufmerksamkeit von mir - sorry! :( Zitat:
Ich hatte zuvor nur über die verschiedenen Komplettlösungen nachgedacht, ein AV-Programm alleine nicht in Betracht gezogen - das muss noch so im Hinterkopf präsent gewesen sein, dass ich das fehlen einer Firewall im Programmpaket Avira Antivir völlig übersehen habe! So ein MIST!! :headbang: :headbang: :headbang: Nun denn Windows-Firewall ist wieder an - war aber eben aus nach der Antivir-Installation während ich zum Updaten der Software online war, dann während ich die ganzen Einstellungen durchgegangen bin weiß ich nicht ob ich online war, in jedem Fall aber anschließend während ich das letzte Posting hier geschrieben habe... :stirn: Mann!! Das ärgert mich, dass mir das nicht aufgefallen ist...!! :stirn: :headbang: :headbang: Der Komplettscan läuft nachwievor, mittlerweile über 4 Stunden und immer noch bei 78,3%... Bin mal gespannt wann er fertig ist... Bislang hat er bereits 25 Funde verzeichnet (darunter 0 verdächtige Dateien) die er mir aber noch nicht auflistet. Ich poste die Ergebnisse wenn er fertig ist... Sorry für den selten-dämlichen Fehler von mir! :daumenrunter: Gruß, Edd |
Ergebnisse des ersten Avira Antivir-Komplettscans Hier das Scan-Ergebnis aus dem Protokoll. Das Protokoll listet alle kontrollierten Verzeichnisse auf und gibt somit ein umfangreiches Abbild meiner Festplatten-Verzeichnisse wieder - aus Datenschutz-Gründen kann ich das Protokoll nicht komplett posten, zumal ich bei dieser Menge niemals alle persönlichen Daten rauseditieren könnte. Also nicht die Protokollierung der einzelnen Verzeichnisse, sondern hier nur die Vorweg angegebenen Daten und die Funde am Ende: Code: Avira AntiVir Personal(0) 32 Stück ist Quatsch in so fern, dass die selbe Datei im selben Archiv mit selbem Pfad ettliche Male gezählt wurde - warum auch immer. Finde ich irreführend, denn ich war reichlich irritiert 32 Virenfunde als Ziffer zu sehen und dann nur bei 6 Funden gefragt zu werden, was damit passieren soll. Nun, es waren nur die 6 - ich bin das vollständige Protokoll durchgegangen und habe die Funde abgeglichen. (1) Stress Reducers.exe ist in der Tat ein Spaßprogramm, bzw. genauer ein Spaßspiel, birgt aber kein Risiko meiner Ansicht nach - ich hab es ich glaub bereits seit Ende der 90er Jahre, damals auch ein paar Mal gespielt. Letztlich aber auch unnötig, von daher kann es wegen mir weg. :) (2) Die DivX-Datei, naja installationsdatei unter Windows 2000, meinem früheren Betriebssystem, halt... "mit einem ungewöhnlichen Laufzeitpacker komprimiert" - ok... Risiko? Die Datei hat mir noch nie ein Virenscanner aufgezeigt und ich hab sie schon lange. Sei's drum. Brauchen tue ich sie nicht mehr, von daher... (3) susetup.exe - FTP-Programm, früher unter Windows 2000 genutzt, brauche ich eh nicht mehr, kann weg. Aber Risiko? Fraglich... (4) Java-Virus JAVA/ClassLoader.BO - ohne zu wissen auf welche Datei innerhalb des Systemabbilds es sich bezieht kann ich das schwer beurteilen, aber September 2010?? Und danach nicht mehr?? Zudem war als Begründung im Anschluss an den Scan bei der Rückfrage, wie ich mit den gefundenen Objekten verfahren möchte, die vorgeschlagene Handlung die Datei zu ignorieren, angegeben, es handle sich um ein eMail-Postfach und um die eMails nicht zu beeinträchtigen sei der Virus zu ignorieren. Nicht etwa um eine anhängende Datei, sondern um ein Postfach. Seltsame Sache. Hier der Protokoll-Auszug: Code: L:\Evil-Ed\Backup Set 2010-10-11 031208\Backup Files 2010-10-11 031208\Backup files 2.zip(6) AT32_MoonWalker.zip: ReadMe.txt zu der zip-Datei besagt, sie sei ein Patch - wohl für den Emulator, macht aber inhaltlich nicht ar zu viel Sinn, denn es ist von Michael Jackson Songs die Rede, die durch das Patch eingebunden werden sollen - wozu auch immer, seine Musik hat mit den Spielen nichts zu tun. Klingt in der Tat nicht vertrauenswürdig, ich hab das Patch aber bislang weder im Verzeichnis bemerkt noch ausgeführt. Vom Emulator scheint es auch nicht ausgeführt zu werden, oder jedenfalls nicht benötigt, denn er funktoiniert auch nachdem ihm die Datei geraubt wurde noch, hab's eben kurz getestet. Also keine Ahnung was es mit dem Patch auf sich hat, aber es ist inhaltlich fragwürdig und somit gewiss nicht vertrauenswürdig... Alle Funde mit Ausnahme des ignorierten WHS-Inhaltes sind zur Zeit in Quarantäne. Soll ich sie löschen? Und wie geht's dann weiter? Gruß, Edd |
Avira Antivir-Scan mit Administrator-Rechten So, ettliche Warnungen kamen wegen fehlenden Administrator-Rechten während des Scans, also hab ich noch einen zweiten Scan im Administrator-Account durchgeführt. Daten-Festplatte war ja beim ersten Scan bereits gesäubert worden, die hab ich nun kein zweites Mal scannen lassen - von daher könnte ich nun auch das komplette Protokoll posten, denn beim Datenschutz ging's mir um meine Verzeichnisse auf der Datenplatte, nicht auf meiner internen Windows-Platte... Aber: Die Log-Datei ist zu groß, fast 10 MB! Auch verzippt ist sie noch zu groß zum Anhängen (immernoch 843 KB). Also doch wieder nur Auszüge - dieses Mal war die LOG-Datei Dank Administrator-Rechten informativer was die eMail-Sachen angeht (eMailadressen hab ich zensiert versteht sich). Code: Avira AntiVir PersonalDie zweite Mail ist die, in der ich den Spiele-Emulator geschickt bekommen habe - werd ich nachher löschen, dann ist das auch mal aus der Welt. Die erste Mail muss ein "false positive" sein, denn die Mail hab ich schon seit anno tobak, ich weiß vom (nachträglich zensierten) Betreff her, um was es ging, aber die Mail kann keinen Anhang gehabt haben, bestenfalls ne Word- oder Excel-Datei. Ich kenne den Absender und vertraue ihm und die Mail war wirklich an mich bestimmt, ich erkenne den Betreff und erinnere mich drann. Weiß nicht wie Antivir darauf kommt, die Mail wäre ne Bedrohung... :crazy: Wie geht's weiter? HijackThis? Gruß, Edd |
Zitat:
1 AV-Programm und 1 Firewall sollten aktiv am System laufen!! das heißt, Du sollst neben Antivir, die Windows eigene Firewall unbedingt einschalten und ständig aktiv laufen lassen! Darüber hinaus manche Anti-Viren-Lösungen bringen ein Firewall auch mit, aber meisten, die gratis "free" sind, nicht. Zitat:
daher ein Backup mehr kann nie schaden;) |
Zitat:
Dennoch danke für die Klarstellung. :abklatsch: Zitat:
Aber wie geht es jetzt weiter? HijackThis? Oder nach meinen Fehlern wieder komplett von vorne anfangen und die Schritte deines erste Postings nochmal abarbeiten (Gmer, dann Malwarebytes Anti-Malware, dann HijackThis, dann HJTscanlist, dann Ccleaner)? Danke für deine Hilfe und deine Geduld. :abklatsch: Gruß, Edd |
berichte in welchem Zustand dein System sich befindet? Ob noch Probleme auftreten? - wenn ja, welche? |
-aktueller Stand- Zitat:
Seit der Fehlerüberprüfung mit Korrektur laufen alle Festplatten wieder problemlos: Sie werden direkt geladen, verursachen keine Programm- oder Systemabstürze mehr und beeinträchtigen auch sonst die Systemleistung nicht. Problem gelöst. :) Weitere Probleme sind nicht mehr aufgetreten. Aber die Kontrolle, ob das System noch irgendwelche Malware hat oder nicht, hatten wir ja noch nicht abgeschlossen: Zitat:
Zitat:
Zitat:
...wie soll ich nun vorgehen? Keine aktuell bemerkten Probleme mehr bedeutet ja noch nicht, dass das System nun Malware-frei und vertrauenswürdig ist... Danke für deine Hilfe. :daumenhoc Gruß, Edd |
Quarantäne von Avira ja leeren mache einen Onlinescan bitte nicht mit Kaspersky, da läuft nicht mehr, sondern: - "Link:-> ESET Online Scanner >>Du sollst nicht die Antivirus-Sicherheitssoftware installieren, sondern dein System nur online scannen<< Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware ("Worm.Win32.Autorun") verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen. Schließe jetzt alle externe Datenträgeran (USB Sticks etc) Deinen Rechner an, dabei die Hochstell-Taste [Shift-Taste] gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. (So verhindest Du die Ausführung der AUTORUN-Funktion) - Man kann die AUTORUN-Funktion aber auch generell abschalten.► [Sicherheit] Autorun Funktion für mehr Sicherheit auf allen Laufwerken deaktivieren /Avira Support Forum -> Führe dann einen Komplett-Systemcheck mit Nod32 durch - folgendes bitte anhaken > "Remove found threads" und "Scan archives" - die Scanergebnis als *.txt Dateien speichern) - meistens "C:\Programme\Eset\EsetOnlineScanner\log.txt" Vor dem Scan Einstellungen im Internet Explorer: - "Extras→ Internetoptionen→ Sicherheit": - alles auf Standardstufe stellen - Active X erlauben - um den Scan zu starten: wenn du danach gefragt wirst (den Text in der Informationsleiste ) - ActiveX-Steuerelement installieren lassen |
ESET Online-Scan Zitat:
Zitat:
Als txt-Datei separat gespeichertes Ergebnis - gefundene Bedrohungen: Code: L:\Evil-Ed\Backup Set 2010-10-11 031208\Backup Files 2010-10-11 031208\Backup files 2.zip Mehrere Bedrohungen gelöscht - in Quarantäne kopiertZweite Entscheidung war: Nach Beenden deinstallieren oder nicht? Hab erstmal noch nicht deinstalliert - dachte da warte ich erstmal deine Reaktion ab. Soll ich das Programm wieder löschen? LOG-Datei: Code: ESETSmartInstaller@High as CAB hook log:Zitat:
Wie nun weiter? HijackThis? Dank & Gruß, Edd |
Das Installieren von Raubkopien ist eine ziemlich sichere Methode, ein Rechner zu infizieren... - Ich beführte, dass Du Dein Problem nur lösen kannst, wenn Du dein System und externe Festplatte formatierst und neu installierst! Da geht`s nämlich um: Code: M:\von K\all u need\backuped\Bildbearbeitung\Macromedia Freehand\Macromedia.Freehand.MX.v11.0.Keygen.Only.+.Installer-SSG\keygen\keygen.exe** Du solltest in so einem Fall mal dein Konsummuster überdenken:twak: Weil dein Verhalten damit dem deutschen Recht unterliegt, wird den Support an dieser Stelle von unsere Seite aus beendet. Also am besten ist es, Du Sicherst deiner Daten (ohne Malware bzw gerackte Software -> Empfehle ich Dir NUR Daten sichern, die nicht ausführbaren Dateien enthalten - Dateiendungen - Dies ist eine Liste von Dateiendungen, die Dateien mit ausführbarem Code bezeichnen können. - und machst eine komplette Neuinstallation des Rechners, das ist der schnellste und sauberste lösung! Aber wenigstens hast Du dann nach einer Neuinstallation wieder ein sauberes System und hoffentlich hast Du was draus gelernt und in Zukunft lässt die Finger von... Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:02 Uhr. |
Copyright ©2000-2024, Trojaner-Board