Merkwürdige "Viren"

Hallo liebe Forumuser,

gestern habe ich ausgesprochen merkwürdige Virusmeldungen bekommen und möchte Euch bitten, anhand des angehängten Logfiles mal abzuchecken, ob ich mit der Vernutung der Fehlalarme richtig liege.

Der Reihe nach:

1. Als ich gerade mit Hilfe der Microsoft-Software mein System auf Kompabilität mit Windows 7 geprüft habe, meldete sich Avast mit einer Virusmeldung.
C:\programme\messenger plus! live\Scripts\SendTo\_sendfile.exe

Längst vergessen, dass ich den Messenger inklusive dieser Plus!-Erweiterung überhaupt besitze, habe ich mal recherchiert, was es damit auf sich hat. Es gibt einen Script namens "SendTo", welches ermöglicht, dass man Dateien direkt über Rechtsklick an einen Messengerkontakt sendet. Habe ich nie heruntergeladen, war aber scheinbar auf meinem PC und wurde als Schädling erkannt.
Gewählte Option: Löschen! Einmal kam die Meldung noch, wieder löschen und es war Ruhe.

2. Nun wollte ich noch einen Virenscan mit Avast durchführen um sicher zu gehen, dass der PC wieder clean ist. Doch es kam die nächste Meldung:
Datei-Name: A0179236.exe
C:\System Volume Information\_restore{24289D6B-06F0-4CA6-9916-0832760BBC54}\RP1...
DateiID: 8
Virus-Beschreibung: Win32:Malware-gen

Gewählte Aktion: In Quarantäne verschieben, wo er immer noch schlummert!

3. Nun wollte ich eine zweite Meinung einholen und habe Antivir heruntergeladen um einen weiteren Scan zu machen.
Nun geht alles drunter und drüber!
Zunächst findet AntiVir 2 Dateien, die als Empire-Virus bezeichnet wird. Dieser Virus ist laut Antivir eine Fishing - Mail, mit der Bankdaten geklaut werden.
Sehr merkwürdig, habe so eine Mail nie erhalten und nun ist sie auf meinem Rechner? Der Ort hat mich dann noch mehr geschockt:
C:\Programme\Alvil Software\Avast 4\Data\log\unp74485944.tmp.mdmp

Nunja, dann klingelte es bei mir, dass sich Virenprogramme oft gegenseitig als Schädlinge finden, weshalb ich hier von einem Fehlalarm ausgehe. Trotzdem in Quarantäne geschickt!

4. Einen Fund hatte AntiVir jedoch noch! Und zwar nochmal im Messenger Plus!-Ordner!
C:\programme\messenger plus! live\Scripts\SendTo\_sendfile.dll

Nochmals der selbe Ordner wie ihn Avast schon eingangs benannt hat.

Gewählte Aktion: Quarantäne und den gesamten Messenger deinstalliert inklusive Plus!-Erweiterung und verbliebene Ordner manuell gelöscht.

SO, nun weiß ich nicht wie fatal das alles war/ist und bitte Euch deshalb mal meinen Logfile anzuschauen um evtl. beurteilen zu können, ob irgendetwas davon tatsächlich ernst genommen werden muss.

Im Voraus schonmal vielen Dank für die Hilfe!

 

Hallo,

hier gibt es eingies zu tun. Ich schaue mir dein Hijackthislog an und du machst in der Zwischenzeit mal folgendes:

Entscheide dich für EIN antivirus Programm und deinstaliere das andere!
Zwei Antivirenprogramme behindern sich gegenseitig und verschlechtern die Sicherheit des PC, anstatt sie zu verbessern.

 

Okay, habe Antivir wieder entfernt!

 

Sehr gut.

Bei deinem Hijackthislog fällt auf das dein Internet Proxy Server in Mexiko zuhause ist, das müssen wir ändern.

Installiere dir folgende Programme, update sie und trenne dann deinen PC vom Netz und gehe in den abgesicherten Modus (Beim Restart des Computers die F8 Taste wiederholt drücken)
http://www.malwarebytes.org/
http://www.ccleaner.de/

Im abgesicherten Modus führst du zuerst CCleaner aus. (Säuberung der Dateien und Registry Scan)
Dann Malwarebytes. Infektionen LÖSCHEN.

Danach führst du Hijackthis ein zweites Mals aus und fixe folgende Einträge:
(Kästchen vor den Einträgen ankreuzen und auf "fix checked" klicken)

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 148.233.159.58:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 148.233.159.58:8080 local;*.local
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O9 - Extra button: MedionShop - {5CF0F1D2-1D22-499D-93A1-8126F28412F4} - http://www.medionshop.de/ (file missing) (HKCU)


Danach restarte deinen Computer in den normalen Modus und deinstalliere Acrobat Reader 8 und Java mit "Windows Software"
Installiere dir die neusten Versionen:
http://get.adobe.com/de/reader/
http://www.java.com/de/download/manual.jsp

Zum Schluss. Führe einen zweiten Scan mit Malwarebytes durch und poste die Logs hier her.

Nun deaktiviere die Windows Systemwiederherstellung, restarte deinen Computer und aktiviere sie wieder.

gruss

 

So, habe alles so ausgeführt.

Schon beim ersten Scan im abgesicherten Modus mit Malewarebytes wurde nichts gefunden.

Dennoch habe ich alles weitere so ausgeführt und im zweiten Scan, bei dem ich dann die Kurzversion gewählt habe, wurde wieder nichts gefunden!

Die beiden Logs sind beigefügt. Nun starte ich den PC nochmals neu.

Kannst Du mir noch erläutern, inwiefern ein solcher Proxyserver eine Gefahr darstellt? Habe den vor langer Zeit irgendwann mal im IE eingesetzt, danach jedoch wieder deaktiviert ohne ihn jedoch komplett gelöscht zu haben.

Außerdem: Kann ich den im Avast-Container befindlichen vermeindlichen Schädling nun löschen???

VIELEN DANK auf jeden Fall für Deine Hilfe!!!!

 

Ich weiß nicht, was du mit einem Proxyserver willst, der in Montevideo/Mexiko registriert ist.
http://www.heise.de/netze/tools

 

Ich ehrlich gesagt auch nicht!:nixwissen Das ist wie gesagt lange her! Habe wohl nicht auf die Herkunft geachtet. Die Frage ist halt, ob ich ihn nun komplett entfernt habe über Hijackthis oder er noch im IE gelöscht werden muss?!

 

... und du vertraust noch deinem Computer?

Weißt du, was inzwischen alles auf deinem PC verändert
und ausspioniert wurde?
Sichere deine Daten, ändere alle deine Passwörter
und installiere den Rechner neu.

 

Moment mal! Ich weiß, dass ich selber diesen Proxyserver mal eingerichtet habe. Warum ich diesen gewählt habe, weiß ich nun allerdings nicht mehr!

Ich weiß, dass es bösartige Proxyserver gibt. Mir ist allerdings nie etwas aufgefallen. Außerdem hatte ich ihn lediglich im IE aktiviert und währenddessen keine Passwörter oder andere persönliche Daten eingegeben.

 

... so einfach lässt sich das nicht beschreiben.
Lies mal hier,
http://de.wikipedia.org/wiki/Proxyserver

was man mit/über Proxy alles machen kann.

 

Das ist mir auch bewusst. Aber nochmal: Als er aktiviert war, habe ich mich nirgendwo eingeloggt oder private Daten eingegeben!

Außerdem: Ist er nach dem Entfernen mit Hijackthis nicht sowieso weg? Passwörter ändern kann nie schaden, aber ist eine Formatierung wirklich notwendig?

 

... weiter vorne sagst/schreibst du aber,
dass du nicht weißt, wie lange sa Zeug auf deinem Rechner ist.

In dieser Zeit kann viel passieren.

 

Aber eines weiß ich sicher: Wenn er im Internet Explorer angeklickt, also aktiviert, war, habe ich keinerlei persönliche Daten eingegeben. Habe danach immer den Haken rausgenommen! Sprich: Er war lange Zeit nicht aktiv!

Warum er, obwohl inaktiv, im Hijackthis-Log angezeigt wurde, weiß ich nicht.

Fakt ist: Wenn der Haken gesetzt war, habe ich keine Daten von mir eingegeben. Wichtige Passwörter schon gar nicht!

Nun ist er von meinem PC komplett entfernt, weshalb eine Formatierung keinen Effekt hätte, oder?!

Das, was ich mit "lange her" meine, ist die Zeit, in dem er noch im IE eingetragen, ABER NICHT AKTIVIERT (Haken gesetzt) war.

Ich war nicht so dumm mit gesetztem Proxyserver bei Ebay einzukaufen oder eine Überweisung zu tätigen!

Was mich allerdings wundert: Ich hatte den Proxy nur im IE noch eingetragen, habe jedoch nicht den Haken gesetzt und er wird trotzdem im Hijackthis-Log angezeigt?!

 

Deinem Beitrag nach zu urteilen hast du den Link nicht gelesen oder nicht verstanden.

... und du bist sicher, dass da nichts gelaufen ist?

 

Wir reden völlig aneinander vorbei.

Natürlich ist da was gelaufen, sonst hätte ich ihn ja nie verwenden müssen.

Aber: Ich habe unter aktivem Proxyserver keine Daten, Passwörter o.ä. von mir eingegeben. Sprich: Die Daten, die er weitergeleitet hat, sind keine mit denen er betrügen könnte!

Außerdem: Was bringt da jetzt eine Formatierung?? Was er hat, hat er, ganz egal ob ich meine Festplatte jetzt leer räume oder nicht. Wichtig ist nur, dass er jetzt weg ist, mehr kann ich nicht mehr machen!

Ich glaube, Du verstehst da etwas falsch! Ein Proxyserver leitet nicht x-beliebige Daten vom Rechner weiter, sondern die, die man während er aktiv ist im jeweiligen Browser eingibt! Nur um die geht es!

 

... warte bis sich SaubererPC wieder meldet,
er wird dich wieder beruhigen.

... das könnte unter anderem passiert sein.

 

Hans Du willst es nicht verstehen!

Das kann mir eben nicht passiert sein, weil ich mit dem aktiven Proxyserver, also gesetztem Haken, KEINE PASSWÖRTER und KEINE DATEN eingegeben habe.

Außerdem: Ich weiß, wie gefälschte Bankseiten aussehen, alles ist gut!

 

...richtig, deine Argumentation verstehe ich nicht.
Das mit der Bankseite ist nur ein Beispiel,
was passieren kann.

... ein Proxy in Mexiko ist vertrauenswürdig.

Letzden endes weißt nur du,
was du dem Proxy anvertraut hast.

 

Hahaha....das einzige, was ich nicht weiß, ist, wann ich den Proxy mal verwendet habe und damit verbunden seit wann er INAKTIV im IE hinterlegt ist. Das hast Du in den falschen Hals gekriegt. Was ich aber ganz sicher weiß: Nach der Verwendung mit dem Internetexplorer habe ich den Haken rausgenommen!!!!
Außerdem verwende ich für sämtliche Dateneingaben den Firefox. Hier war der Proxy NIE aktiv.

Deshalb meine Aussage:

Bei sonstigen anmeldepflichtigen Diensten, wie z.B. E-Mailabfrage, Forenanmeldungen usw. ist der Einsatz sehr kritisch abzuwägen!!


Genau das habe ich gemacht...zum xten mal: ICH HABE MIT DIESEM PROXY NIEMALS PERSÖNLICHE DATEN EINGEGEBEN!!!

 

Das hat, wie ich sehe, Hans schon getan. Und er hat, (Im Internet tut ein gutes Stück Misstrauen immer gut) mit vielem recht.

Ja.



- Ändere alle deine Passwörter
- Update dein Windows System mit Windows Update und alle mit dem Internet verbundene Programme!
- Update zu Internet Explorer 8.
- Solltest du im nachhinein irgendwelche Auffälligkeiten am PC erleben, oder in Verbindung mit deinen persönlichen Konten (Bank, mail) solltest du deinen PC neuaufsetzen, da ein Missbrauch, des genannten Proxy Servers dann wahrscheinlich ist.
- Setze "Malwarebytes AntiMalware" regelmässig ein.

gruss