Brauche Hilfe:Malware -Highjack logfile auswerten

Hallo Jungs!

Win XP SP3,Opera 9.52 /IExplorer 6.0


Bin quasi ein absoluter NICHT-PC-Fachmann und habe anscheinend mit Malware zu kämpfen!

Hab bei google und auch hier im Suchfeld die Viren eingegeben,keine Anleitung gefunden.

Vorgeschichte/Infos:

Hatte 1 Jahr lang mit Avira und Service Pack 2 und die Opera Version VOR 9.52 (windows firewall war dabei anscheinend immer deaktiviert) keinen Virus!

Habe dann SP 3 Update gemacht,Opera 9.52 und die neue Windows Firewall aktiviert.
Also nur Antivir und Windows Firewall und nun der Befall!

Ich habe freeware software/Themen für mein Handy auf mein Laptop geladen (größtenteils mit IExplorer!) und weiß nicht ob da ein Zusammenhang zum Virus besteht.
Mit meinem Handy keine Probleme.
P2P vermeide ich komplett! Kann also daher nicht kommen!

Ich nutze zu 90% Opera 9.52 und 10 % wenn ich muss Explorer v6.0 !

Antivir hat bisher diese beiden Funde gemacht,die ich in Quarantäne gestellt habe!

Die Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\profile\ cache4\opr04NUS'
enthielt einen Virus oder unerwünschtes Programm 'HEUR/HTML.Malware' [heuristic].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '494b6a74.qua' verschoben!

In der Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\profile\ cache4\opr04NUZ'
wurde ein Virus oder unerwünschtes Programm 'JS/Dldr.Small.CR.2' [virus] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

Sollte der komplette Avira Report nötig sein,stelle ich ihn gerne rein!


Wenn ich wie gewohnt auf eine sichere Sportwetten - Seite gehe und mein Passwort eingebe, erscheint ein Download Fenster: "Herunterladen der Datei in.cgi" von virtualcheck.com mit "andere Anwendung"

Habe ich natürlich nicht runtergeladen!
Ccleaner habe ich nach dem Virus auf automisch reinigen eingestellt.


Da Ich Anfänger bin, würde es mir entgegen kommen, mit einem einfach zu bedienenden Programm den Mist bereinigen zu können!
Also Malwarebytes,AdAware...

Vielleicht habt ihr zu guter letzt noch einen Tipp womir ich am besten Antivir ergänzen sollte, wie ZoneLabs usw. und was ich mit der Wndows Firewall machen sollte.

Ich Danke für Eure Hilfe!
M.Tyson!

 

Wenn du über einen Router online gehst (Fritzbox) brauchst du keine Firewall, weil der Router schon Angriffe von Außen abwehrt.
Allerdings sieht es so aus, als wird der Router nur als reines DSL-Modem genutzt.
Kann das sein? Wo sind die Zugangsdaten eingetragen?
Schädlinge sind keine zu sehen.
Die gefundenen Dateien mal bei www.virustotal.com/de untersuchen lassen.
Es kann sich auch um Riskware handeln. http://de.wikipedia.org/wiki/Riskware

CCleaner.exe" /AUTO löscht bereits temporäre Dateien. Die Voreinstellung ist so, dass sie erst nach 48 Stunden gelöscht werden (Einstellung Erweitert), was Schädlingen eine Verweildauer im Cache ermöglicht.
Webseiten werden in den Browsercache geladen, um sie betrachten zu können. Dabei können auch eingebettete Schädlinge und gefährlicher Code auf den PC kommen. Das ist noch nicht tragisch, solange sie nicht ausgeführt werden.

 

Java updaten - Update 7 ist aktuell.

Kennst Du den Eintrag hier? signin3.valueactive.com/Register/Branding/olr3313/OCX/v1018/flashax.cab

Edit: URL geändert, nicht das da noch einer draufklickt

 

...und die uralte Version _01 deinstallieren!

 

Firefox 3.0.1 ist veraltet.

 

Aber vorhin war der Server bei Mozilla überlastet. Der Link von Heise führte zu permanenter Fehlermeldung!

 

Hallo!

@deoroller
habe freenet (habe bereits bei den Nepper und Schleppern gekündigt) DSL und Telefon Flat. Das Fritz Startcenter sagt mir, dass "Schutz vor vor unbeabsichtigen Verbindungen deaktiviert" ist. Aktivieren und Windows Firewall deaktivieren?
Die Zugangsdaten von Freenet,müßte ich damals beim Einrichten des Routers eingegeben haben!?

Wenn ich bei Virustotal die Dateien hochlade,erfolgt sofort die Meldung " 0 bytes size received " ,klappt also nicht.

Der Virus ist aber noch da laut Avira.

Kopfschmerzen bereitet mit noch immer dieser Beschrieben Vorgang:
Wenn ich wie gewohnt auf eine sichere Sportwetten - Seite gehe und mein Passwort eingebe, erscheint ein Download Fenster: "Herunterladen der Datei in.cgi" von virtualcheck.com mit "andere Anwendung"...

Also einfach Malwarebytes rüberlaufen lassen oder AD Aware tut es nicht,um den Schädling zu bekämpfen???

@terminator habe versucht über Syst.steuerung- Software Java zu deinstalieren - ging nicht!zeigte eine Fehlermeldung an. Habe nun Java upgedatet (Java 6 Version7).

Diesen Eintrag : signin3.valueactive.com/Register/Branding/olr3313/OCX/v1018/flashax.cab
kenne ich natürlich nicht als Laie!
Habe aber diesen gegoogelt und in ähnlicher Form scheint dieser auf Casino Software hinzudeuten.
Da Ich mehrere Poker Software habe,KÖNNTE da ein Zudsammenhang sein.

Fazit: Die Probleme sind noch da, aber ich Danke für Eure Hilfe!

 

virtualcheck.com sieht nach einer Spamseite aus, die auch Malware verbreiten könnte, wie den XP Antivirus 2008 "Fake"-Scanner, der dann nervt, um den PC komplett zu übernehmen.
Dein Browser ist wohl so eingestellt, dass da auch unsichere Javascripts laufen.
Das ist oft der Anfang einer Infektion.
Das habe ich zu Opera gefunden http://opera-fansite.de/wiki/Inhalte+blockieren

>Da Ich mehrere Poker Software habe,KÖNNTE da ein Zudsammenhang sein.
Es dürfte klar sein, dass kostenlose Webangebote nicht kostenlos sind, sondern sich meistens durch Werbung finanzieren. Bösartige Seiten versuchen über Sicherheitslücken auch noch Ungeziefer auf die PCs zu schleusen, um sich in diesen dauerhaft festzukrallen.
Je mehr dieser Pokerangebote du nutzt, um so stärker ist dein PC gefährdet.

http://anonymouse.org/cgi-bin/anon-www_de.cgi/http://virtualcheck.com
(Aufruf der Seite anonymisiert)
Den Abmeldebutton auf keinen Fall klicken, weil die dann wissen, dass es dich gibt und erst recht zuspammen!

Die Seite http://www.siteadvisor.com/sites/virtualcheck.net ist sauber.
Spammer nehmen oft ähnliche Namen seriösen Seiten und erwecken damit den Eindruck, es sei auch ein seriöses Angebot.

>Diesen Eintrag : signin3.valueactive.com/Register/Branding/olr3313/OCX/v1018/flashax.cab
kenne ich natürlich nicht als Laie!
http://www.trojaner-board.de/367363-post2.html

Diesen Casino-Seiten hasse ich. Die meiste Spam, die im Spamfilter von gmx hängen bleibt, will mich mit Geldgeschenken überhäufen, damit ich dahin gehe.

 

hallo!

Ich fasse zusammen:
Virtualcheck,eine Seite auf der ich nie war, ist gefährlich

Ich weiß nun wie ich bei Opera Bilder bzw andere Inhalte blockiere.
Hier muss ich sagen, dass fast nur im IExplorer bei Aufruf von Seiten automatisch Werbeseiten geöffnet werden.Bei Opera seltener.
Ich sollte beim explorer auf jeden Fall diese Einstellungen vornehmen,
ABER NUN HABE ICH ERST ERKANNT DASS OBEN KOMPLETT DIE LEISTE MIT DATEI BEARBEITEN ANSICHT EXTRAS FEHLT!!!
Lediglich vor und zurück Symbol und Aktualisieren sind abgebildet!
Wie bekomme ich die Menue Leiste wieder?

Pokersoftware ist die selbe wie seit 2 Jahren,es kam nichts hinzu,war immer Virenfrei.

Zunächst Danke für die Vorsorge Infos!

Aber wie bekomme ich den Virus weg??? Der immer noch da ist?
Ich kopiere von Antivir den Pfad der infizierten Datei,welcher aber be virustotal (und ähnliche Seiten) nicht hochgeladen wird/nicht gefunden wird!

Nochmal ich VERMUTE der Virus kam dadurch, dass ich mit Iexplorer Sofware für mein Handy runtergeladen habe. Seitdem ist der Virus da!

Ich muss nochmal fragen: kann ich nicht mit malwarebytes, Ad Aware , smitsfraud usw den Virus beseitigen???

 

Mit den Programmen kannst du mal versuchen, Schädlinge zu entfernen, wobei ich im HJT-Log keine gesehen habe. Falls sich da etwas geändert hat, kannst du nochmal ein neues Log machen.