virus eingefangen

na toll und schon habe ich mir was eingefangen, ich habe es in bei anti-vir in Quarantäne verschoben, es kam die Meldung:

enthält Erkennungsmuster des Exploits exp/pidief. und ist unter lokale Einstellungen/temp/plugindenow.pdf

also eine pdf. datei? Kann man das löschen?

 

um eine Pdf datei lesen zu können brauchst du Adobe - Reader 9 kannst du bei googel eingeben und legal runterladen

 

schon, aber die Frage war eher, ob ich die Datei besser gleich als später lösche?

 

die kannst du löschen ja!

 

Nach der ersten Meldung hieß es zweimal: HTML/Infected webpagegen (Virus), bei der Systemprüfung hat es nochmal eines mit der pidief.Signatur gefunden, ich habe jetzt alles runtergeschmissen. Soweit ich weiss, sind alle Funde unter temp und cache nicht so bedrohlich, aber wie kann ich ängstliche Seele mich vergewissern, daß alles weg ist, vielleicht nochmal den CCleaner durchlaufen lassen?

 

Was du brauchst is ein guter spy- und malware Scanner als zutat für dein Antivirus!

MBAM ist sehr gut! http://www.malwarebytes.org/mbam.php.

Direkt nach der Installation will MBAM einen Update machen - also begutachten.

Vista-users starten MBAM mit Administrationsrechten!

Wähle den schnellen scan, wenn MBAM fündig geworden ist, dan der Knopf Delete/Entfernen anklicken.

Wenn MBAM angibt, das der Rechner neu booten muss, dan dies tun.

Poste anschliesend das MBAM-log (wie das muss liest du hier: http://www.pcwelt.de/forum/sicherhe...r-rootkits/134046-posten-hijackthis-logs.html ).

 

das Ergebnis kann man auch so posten:

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

 

Sei froh dass MBAM nichts gefunden hat!
Tip: einmal jede Woche einen MBAM -scan tun!

 

antivir findet nichts mehr, aber eines wundert mich: bei dem letzten Fund (exp/pidief) steht folgendes in der Reportdatei:

C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\COG7UF\swflash[1].cab
[0] Archivtyp: CAB (Microsoft)
--> FP_AX_CAB_INSTALLER.exe
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Beginne mit der Suche in 'D:\'

Wenn man das nachverfolgt, findet man unter User keinen Ordner Lokale Einstellungen, stattdessen gibt es einen versteckten Ordner "Default User", dort gibt es die Lokalen Einstellungen und die Temporary Internet Files, die cab. Datei ist allerdings nicht mehr vorhanden, geht da alles mit rechten Dingen zu?

 

Die Daten sind futsch, weil "Temporary Internetfiles".
Du hast doch CCleaner laufen lassen!

Und in "Default User" waren die Bestände nicht, logisch das du dort dan auch nichts findest!

 

CCleaner habe ich nicht benutzt, über Spybot habe ich ich Cookies gelöscht, das kommt wohl aufs selbe raus oder?

Welche Wertigkeit hat diese Cab Datei eigentlich, das spielt also keine Rolle?

 

Tipp: Ein Image-Programm anschaffen und mal ein paar Minuten über eine Backup-Strategie nachdenken.

Tipp: In die dunklen Seitengassen des I-Netz nur per Live-CD.

Es reicht, regelmäßig mit dem AV-Programm deines Vertrauens einen Scan zu machen. Alles weitere ist Aktionismus.

Kein Scanner ist perfekt, daher kommt es in erster Linie auf das User-Verhalten an. Die Such-Funktion dieses Forums wartet auf die Abfrage von Einzelheiten.

Und wenn es dann doch mal passiert, ist das System verseucht. Dann kann man tagelang mit irgendwelchen Tools rummachen, bis man glaubt, alles wäre "sauber". Denn der Glaube stirbt zuletzt. Oder man setzt eben neu auf. Oder spielt eben das Image zurück. Dann hat man Sicherheit.

 

Deine Einschätzung in allen Ehren, aber ist eine Formatierung wirklich nötig? Wenn man das jedesmal machen müsste...das Schadenspotential des html/infected wird als niedrig eingestuft

 

Das kann man nicht so pauschal sagen, so wie du sagst ist die Einstufung niedrig, okay - aber nur ein sauberer Rechner ist ein sicherer Rechner!
Für manche ist eine Infektion schon genug um neu aufzusetzen oder ein hoffentlich vorher angelegtes Image wieder aufzuspielen.
Es kommt ja auch darauf an, was du mit dem Rechner machst? Nur ein bisschen rumsurfen und ein paar Games zocken, da ist die Gefährdung sicher nicht so hoch. Doch wenn du zb. Internetbanking betreibst, deine Firmendaten oder sonstige wichtigen Dinge betreibst, ist es schon wichtig ein sauberes System zu besitzen!
Der beste Schutz bist aber immer du selbst: Keine fragwürdige Seiten besuchen, keine fragwürdige Programme benutzen - nicht alles was kostenlos ist , ist auch gefahrlos....!
Aufpassen wo man etwas downloadet, besser nicht wenn man sich nicht sicher ist.

Gruß kingjon

 

@ alfi72

Oops, ich war im falschen Thread gelandet, sorry. Die Überschriften sind ja ähnlich.

Aber egal, es geht mir nicht um den Einzelfall - auch dieser Thread ist typisch und setzt falsche Signale. Es fällt auf, dass von einem User permanent ein bestimmter Scanner wie saures Bier angepriesen wird. Damit werden Scheinsicherheiten erzeugt. Das Mittel der Wahl ist nicht die Installation eines bestimmten AV-Scanners.

Bei einem wirklich verseuchten System ist auch die Methode nicht unumstritten, mit Tool X und Y rumzupopeln, bis diese Tools nichts mehr finden und dann "Hurra, der PC ist sauber" zu rufen. Aber das gehört eigentlich in den Thread, in den ich eigentlich wollte.

Ich wollte allerdings auch keine Grundsatzdiskussion lostreten, sondern nur darauf hinweisen, dass es auch andere Auffassungen gibt. Daher der Verweis auf die Suchfunktion.

 

Sicher, die Tatsache daß mbam nichts gefunden hat, gibt mir keine Sicherheit, ich hoffe dennoch antivir vertrauen zu können. Ich bin ein ziemlicher Frischling und benutze meinen neuen PC fast nur für private Zwecke, eine Überweisung per Banking dürfte hier und da mal anstehen.

Ja ich habe unnötig wo rumgeklickt und blöderweise wurde bei Textkommentaren noch vor jener Seite gewarnt, habe es halt zu spät gesehen. Es ist halt so, daß antivir zwei harmlosere Einträge mit der Signatur exp/pidief (Exploit) und zwei HTML/infected webpagegen entfernt hat, jetzt scheint mir auch alles sauber zu sein. Beim System draufspielen benötige ich Hilfe, also soll ich es nochmal so versuchen, in der Hoffnung, daß alles weg ist? Hilft es euch weiter, wenn ich ein Hijackthis poste?

 

Wenn du ständig Warnungen von deinem Virenscanner bekommst, machst du etwas falsch. Der Virenscanner ist nur die zweite Verteidigungslinie für den Notfall.
Wenn du dich auf der dunklen Seite des Internets rumtreibst, solltest du wissen was du tust.

 

Es gibt sicher schlimmere Surfer wie mich, was gewisse Seiten angeht. Wie gesagt, angeblich ist der "HTML.." sogar ein spezielles Antivir. Problem, wenn jetzt nichts mehr gefunden wird, dürfte ich doch auf der sicheren Seite sein?

 

Wenn ich das richtig sehe, waren die Funde in temporären Ordnern, die inzwischen geleert wurden. Ausgeführte Malware wurde nicht gefunden. Vielleicht war es auch ein false positve, ich habe das nicht recherchiert. Du hast also -soweit man dies überhaupt sagen kann- gute Chancen.

Gerade für einen bekennenden "Frischling" wäre jedoch angesagt, Onlinebanking nur per Live-CD zu betreiben (auch ich kontaktiere meine Bank _niemals_ per Windows). Auf den Beipack-CDs der einschlägigen Zeitschriften findest du regelmäßig Linux-Distris, die auch ohne Installation als Live-CD laufen (z.B. Ubuntu). In den Blättern ist dann erklärt, wie es geht.

 

ich stelle hier noch mal die Meldungen herein, inzwischen ist das wie gesagt gelöscht. Ich nehm an, das ist keine "ausgeführte Malware"? Ich kenn mich da nicht so aus.


In der Datei 'C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\plugtmp\plugin-'
wurde ein Virus oder unerwünschtes Programm 'HTML/Infected.WebPage.Gen' [virus] gefunden.

Die Datei 'C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\21fqck4l.default\Cache\ACAA1A8Fd01'
enthielt einen Virus oder unerwünschtes Programm 'EXP/Pidief.KN' [exploit].