wenn Programme wie Adaware vor dem Scan deinstalliert werden müssen, sollte dann nicht auch Malwarebytes' Anti-Malware deinstalliert werden ?

@Rev2004

MalwareBytes ist ein OnDemand-Scanner, das Programm läuft nur, wenn du es startest. AdAware zwar auch, aber es installiert gleichzeitig einen Dienst, der immer läuft.

Diese Dienste verlängern die Bootzeit, verbrauchen RAM und stören zum Teil auch noch die Säuberungen (TeaTimer).

Das ich sowohl von AdAware als auch Spybot eh nichts halte, habe ich an anderer Stelle erwähnt.

@Kaliostro

Zitat:

Muss ich die nochmal durchführen?

Nein.

1.) Deinstalliere:

• Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742)
• Adobe Reader 8.1.2 - Deutsch
• Apple Software Update
• Bonjour
• ICQ6
• Uninstall 1.0.0.1
• Messenger Plus! Live oder Windows Live Messenger

2.) Installiere (Toolbars immer abwählen, Haken weg):

• Adobe Reader oder besser FoxIt Reader
• ICQ Download - ICQ.com

3.) CureIT Dr.Web

• Downloade Dr.Web CureIt!
• Speichere es auf deinem Desktop.
• Entpacke es in einen eigenen Ordner.
• Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.

• Lass alle Malware in den Quarantaene Ordner verschieben.
• Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr.Web CureIt! abstellen.
• Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.

• Speichere das Logfile - siehe Anleitung - und poste es.

4.) Start => Ausführen => mrt (eintippeln) => OK
Falls die Meldung kommt, dass es nicht gefunden wird, dann lade dir den hier:
Downloaddetails: Windows-Tool zum Entfernen bösartiger Software

5.) Scanne mit Prevx: Prevx CSI Download

ciao, andreas

Ich weiß ehrlich gesagt nicht wo ich das "Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742)" deinstallieren kann, in der Programmliste der Systemsteuerung von Vista ist das nicht aufgelistet :/

Hab ich dich richtig verstanden, nachdem ich die Anleitung ausgedruckt habe, soll ich sie auch befolgen?

Zitat:

Ich weiß ehrlich gesagt nicht wo ich das "Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742)" deinstallieren kann, in der Programmliste der Systemsteuerung von Vista ist das nicht aufgelistet :/

Dann überspringe das. Oder gibt es ein Feld, wie Updates anzeigen, in der sich ein Haken setzen lässt(sorry, ich hasse Vista)?

Zitat:

Hab ich dich richtig verstanden, nachdem ich die Anleitung ausgedruckt habe, soll ich sie auch befolgen?

Ja.

ciao, andreas

CureIT Dr.Web-Log:

ComboFix.exe/data002\32788R22FWJFW\c.bat;C:\Dokumente und Einstellungen\Kaliostro\Desktop\ComboFix.exe/data002;Wahrscheinlich BATCH.Virus;;
ComboFix.exe/data002\32788R22FWJFW\psexec.cfexe;C:\Dokumente und Einstellungen\Kaliostro\Desktop\ComboFix.exe/data002;Program.PsExec.171;;
data002;C:\Dokumente und Einstellungen\Kaliostro\Desktop;Archiv enthält infizierte Objekte;;
ComboFix.exe;C:\Dokumente und Einstellungen\Kaliostro\Desktop;Container enthält infizierte Objekte;Verschoben.;
class.exe;C:\Dokumente und Einstellungen\Kaliostro\Desktop\Warcraft_2_-_www.AvaxHome.ru;BackDoor.ColdFushion.37;Gelöscht .;
Warcraft 2 Battle.net Edition.exe\class.exe;C:\Dokumente und Einstellungen\Kaliostro\Desktop\Warcraft_2_-_www.AvaxHome.ru\Warcraft 2 Battle.net Edition.exe;BackDoor.ColdFushion.37;;
Warcraft 2 Battle.net Edition.exe;C:\Dokumente und Einstellungen\Kaliostro\Desktop\Warcraft_2_-_www.AvaxHome.ru;Archiv enthält infizierte Objekte;Verschoben.;
ComboFix.exe/data002\32788R22FWJFW\c.bat;C:\Dokumente und Einstellungen\Kaliostro\DoctorWeb\Quarantine\Combo Fix.exe/data002;Wahrscheinlich BATCH.Virus;;
ComboFix.exe/data002\32788R22FWJFW\psexec.cfexe;C:\Dokumente und Einstellungen\Kaliostro\DoctorWeb\Quarantine\Combo Fix.exe/data002;Program.PsExec.171;;
data002;C:\Dokumente und Einstellungen\Kaliostro\DoctorWeb\Quarantine;Archi v enthält infizierte Objekte;;
ComboFix.exe;C:\Dokumente und Einstellungen\Kaliostro\DoctorWeb\Quarantine;Conta iner enthält infizierte Objekte;Verschoben.;
Warcraft 2 Battle.net Edition.exe\class.exe;C:\Dokumente und Einstellungen\Kaliostro\DoctorWeb\Quarantine\Warcr aft 2 Battle.net Edition.exe;BackDoor.ColdFushion.37;;
Warcraft 2 Battle.net Edition.exe;C:\Dokumente und Einstellungen\Kaliostro\DoctorWeb\Quarantine;Archi v enthält infizierte Objekte;Verschoben.;
boot.com.vir;C:\Qoobox\Quarantine\C\resycled;Win32 .HLLW.Autoruner.4612;Gelöscht.;
PSEXESVC.EXE;C:\Windows;Program.PsExec.170;;


Der MRT-Scanner hat keine bösartige Software entdeckt, ebensowenig wie der Prevx CSI Scanner.

Hm, es gab schon einmal einen Punkt, an dem ich eigentlich aufhören wollte. Zum Glück hat dir ein Unbeteiligter auf die Finger gehauen.

Zitat:

Warcraft 2 Battle.net Edition.exe;BackDoor.ColdFushion.37

Dann sieh dir mal das hier an: class.exe MD5:9f5d69ed3fd4063aaed14f25868e7f7c - VirSCAN.org 26% Scanner(10/39) found malware!

Und jetzt hier: Remote Administration Tool ? Wikipedia

Und der noch: http://en.wikipedia.org/wiki/Bifrost_(trojan_horse)

Ist das eine legale Warcraft 2 Battle.net-Version oder hast du dir die irgendwo runtergeladen? Wenn ja, wo? Schicke mir den Downloadlink bitte per PN zu.

ciao, andreas

Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

ciao, andreas

Das sieht noch schlimmer aus, als auf dem anderen Link:

Code:

Datei class.exe empfangen 2009.03.20 21:04:52 (CET)
Status:    Beendet 
Ergebnis: 14/39 (35.9%) 
 Filter 
Drucken der Ergebnisse  Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.0.0.101	2009.03.20	Virus.Win32.Trojan!IK
AhnLab-V3	5.0.0.2	2009.03.20	-
AntiVir	7.9.0.120	2009.03.20	-
Authentium	5.1.2.4	2009.03.20	-
Avast	4.8.1335.0	2009.03.20	-
AVG	8.5.0.283	2009.03.20	-
BitDefender	7.2	2009.03.20	Backdoor.Generic.57537
CAT-QuickHeal	10.00	2009.03.20	Trojan.Agent.irc
ClamAV	0.94.1	2009.03.20	-
Comodo	1076	2009.03.20	-
DrWeb	4.44.0.09170	2009.03.20	BackDoor.ColdFushion.37
eSafe	7.0.17.0	2009.03.19	-
eTrust-Vet	31.6.6408	2009.03.20	-
F-Prot	4.4.4.56	2009.03.20	-
F-Secure	8.0.14470.0	2009.03.20	-
Fortinet	3.117.0.0	2009.03.20	-
GData	19	2009.03.20	Backdoor.Generic.57537
Ikarus	T3.1.1.48.0	2009.03.20	Virus.Win32.Trojan
K7AntiVirus	7.10.677	2009.03.20	Backdoor.Win32.Agent
Kaspersky	7.0.0.125	2009.03.20	-
McAfee	5559	2009.03.20	BackDoor-CEP
McAfee+Artemis	5559	2009.03.20	BackDoor-CEP
McAfee-GW-Edition	6.7.6	2009.03.20	-
Microsoft	1.4502	2009.03.20	-
NOD32	3952	2009.03.20	Win32/Agent.ONQ
Norman	6.00.06	2009.03.20	W32/Bifrose.SSW
nProtect	2009.1.8.0	2009.03.20	Trojan/W32.Agent.240175
Panda	10.0.0.10	2009.03.20	Bck/Bifrose.AKL
PCTools	4.4.2.0	2009.03.20	-
Prevx1	V2	2009.03.20	-
Rising	21.21.42.00	2009.03.20	-
Sophos	4.39.0	2009.03.20	-
Sunbelt	3.2.1858.2	2009.03.20	-
Symantec	1.4.4.12	2009.03.20	Backdoor.Bifrose
TheHacker	6.3.3.1.286	2009.03.20	-
TrendMicro	8.700.0.1004	2009.03.20	-
VBA32	3.12.10.1	2009.03.19	-
ViRobot	2009.3.20.1658	2009.03.20	-
VirusBuster	4.6.5.0	2009.03.20	-
weitere Informationen
File size: 240176 bytes
MD5...: 3a436f57b64498d71c14e08902ff37ff
SHA1..: 7124ded0b9ef6246aeb527528206a7edd3a3be7f
SHA256: 18f5778cc666331782658cfdcb75ec4ec9d3063c412e3fb4f1cb82b432c338dc
SHA512: 78f992ccbd18ab244d2a41c62da4c150c0c2228e543a2347e7f7f5257bfffcbb
177311cda39fa676fc47e3a11d47d4a66bf8d8664403677219bface89ea365d3
ssdeep: 6144:qJQSsE19XQYBISYv8Skh77ZtZ2kvMpipFrkcRI:7SL+YBISYvkckvjpNI
PEiD..: Petite v2.1 (2)
TrID..: File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4e10b
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 9 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x8000 0x4800 7.99 817c5d7951b2fcabb0c23582b05cee84
BSS 0x9000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0xa000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.tls 0xb000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0xc000 0x1000 0x200 0.20 5a5d78141466c8e2f54a121b9a724e4b
.reloc 0xd000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0xe000 0x40000 0x33e66 7.99 acbe6f8100b6201c40b122e7578ec94b
.petite 0x4e000 0x1849 0x1a00 6.21 ee3fe54c90164f48b7304ab1704583d2
0x50000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

( 7 imports ) 
> kernel32.dll: ExitProcess, LoadLibraryA, GetProcAddress, GlobalAlloc
> user32.dll: MessageBoxA, wsprintfA
> advapi32.dll: RegCloseKey
> oleaut32.dll: VariantClear
> kernel32.dll: LocalAlloc
> kernel32.dll: GetCPInfo
> user32.dll: MessageBoxA

( 0 exports ) 
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=3a436f57b64498d71c14e08902ff37ff' target='_blank'>http://www.threatexpert.com/report.aspx?md5=3a436f57b64498d71c14e08902ff37ff</a>
packers (Kaspersky): Petite
packers (F-Prot): Petite
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=3a436f57b64498d71c14e08902ff37ff' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=3a436f57b64498d71c14e08902ff37ff</a>

Ich schicke die Datei zu Avira (die sagen vorab False Positive) und ThreatExpert. Mal sehen, was die dazu meinen. Kann etwas dauern.

ciao, andreas

-----Doppelpost zusammengeführt am 20.3.2009 um 21:45:32-----

ThreatExpert Report: Backdoor.Bifrose, BackDoor-CEP, Virus.Win32.Trojan, Generic.dx, Mal/Packer

Sieht nicht gut aus.

ciao, andreas

Irgendwie verstehe ich deine Posts nicht so ganz... bedeutet das nun dass mein PC richtig derbe infiziert ist und das Problem nicht schnell zu beheben ist?

Hier mal der Log von diesem Activescan:

;************************************************* ************************************************** ************************************************** ******************************
ANALYSIS: 2009-03-20 22:39:35
PROTECTIONS: 1
MALWARE: 4
SUSPECTS: 1
;************************************************* ************************************************** ************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;================================================= ================================================== ================================================== ==============================
Windows-Defender 1.1.1505.0 No Yes
;================================================= ================================================== ================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;================================================= ================================================== ================================================== ==============================
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Users\Kaliostro\AppData\Roaming\Microsoft\Windo ws\Cookies\kaliostro@atdmt[2].txt
00262020 Cookie/Atwola TrackingCookie No 0 Yes No C:\Users\Kaliostro\AppData\Roaming\Microsoft\Windo ws\Cookies\kaliostro@atwola[1].txt
01185375 Application/Psexec.A HackTools No 0 Yes No C:\Windows\PSEXESVC.EXE
03422174 Bck/Bifrose.AKL Virus/Trojan No 0 No No C:\Users\Kaliostro\DoctorWeb\Quarantine\Warcraft 2 Battle.net Editio0.exe[C:\Users\Kaliostro\DoctorWeb\Quarantine\Warcraft 2 Battle.net Editio0.exe][class.exe]
;================================================= ================================================== ================================================== ==============================
SUSPECTS
Sent Location �!����39

;================================================= ================================================== ================================================== ==============================
No C:\Users\Kaliostro\DoctorWeb\Quarantine\ComboFi0.e xe �!����39

;================================================= ================================================== ================================================== ==============================
VULNERABILITIES
Id Severity Description �!����39

;================================================= ================================================== ================================================== ==============================
;================================================= ================================================== ================================================== ==============================

Bin mir z.Z. noch nicht ganz klar, weil ein Zugriff ist nicht zu erkennen und auch nur sehr schwer auszumachen ist. Von Avira habe ich noch keine Antwort. Zumindest ist kein aktiver Backdoor auszumachen, also solltest du relativ sicher sein.

1.) Deinstalliere DrWeb und lösche danach den Ordner C:\Users\Kaliostro\DoctorWeb\
2.) Start => Ausführen => combofix /u => OK
3.) Deinstalliere alle anderen Scanner, die wir eingesetzt haben. MalwareBytes kannst du behalten.
4.) Solltest du dich noch einmal auf dieser Seite rumtreiben - w*w.keygen.ms - dann gibt es Prügel, aber kräftig.
5.) Von Softwaredownloads aus dubiosen Quellen in Zukunft die Hände weg.

ciao, andreas

Äh irgendwie funktioniert der combofix Befehl (ausführen) nicht. Da kommt dass ComboFix nicht gefunden werden kann :S

Dann lade es nochmal runter und gib dann den Befehl ein.

ciao, andreas

Hab ich schon gemacht, funktioniert aber immernoch nicht. Installieren muss man das Programm ja nicht, ich hab's auf dem Desktop gespeichert und auf dem Icon wird das typische Schild angezeigt (also das Zeichen von der Windows Firewall?)...

Dann lösche es von Hand.
1.) Lösch das Programm.
2.) Lösche die Ordner

• c:\Qoobox
• c:\Combofix
• c:\windows\erdnt

ciao, andreas

Ist erledigt, auch wenn der Ordner combofix in C:\ irgendwie gar nicht vorhanden war bei mir.

Immer noch keine Antwort von Avira.
Egal. Logs sind soweit sauber. Falls du keine Auffälligkeiten mehr bemerkst, dann sind wir durch.

Lies nochmal die Grundregeln (auch Brain.exe genannt), damit dir das nicht wieder passiert.

Der beste kostenlose Virenschutz
Der beste kostenlose Virenschutz

Du bist entlassen.

Schönes Wochenende,
Andreas

Soweit sind eigentlich keine besonderen Vorkommnisse zu berichten... dann sag ich mal recht herzlich Dankeschön!!! Wirklich sehr nett von dir dich mit sowas zu beschäftigen!!

Liebe Grüße =)

P.S.: Gleichfalls, schönes Wochenende!

Hi! Kurze Frage: kann ich das MSN Plus Plugin welches im Zuge des Scannens deinsalliert wurde, nun wieder reinstallieren?

Liebe Grüße,
Jochen

Es gibt eine Version die heißt MSN Plus and Sponsors. Falls du die installierst, hast du automatisch Adware mitinstalliert. Also wähle alles ab, das sich abwählen lässt.

ciao, andreas

Okeydokey, hab die Sponsoren nicht mitinstalliert.

Danke!