Virus?

Hallo liebe PC-Kenner,
leider kenne ich mich selbst nur mit den Programmen aus mit denen ich arbeite und bin sehr erschrocken als Viruswarnungen kamen (leider gleich verschiedene).
Kurz vorweg: Ich benütze Avast! Antivirus.

1.) C:\Addon\BSI\toolbox\Parentsfriend\pfsetup.exe\{sys}\winadmkill.exe
Malware Name: Win32:Trojan-gen {Other}
Maleware Typ: Virus/Wurm
VPS Version: 081215-0, 15.12.2008
Soweit ich jetzt im Internet herausgefunden habe ist das wohl kein Virus/Wurm. Ich möchte es jedoch trotzdem löschen und vielleicht erklärt es die anderen Meldungen?


2.) Kam bereits zum zweiten Mal (und nicht während des Virenscans sondern immer wenn ich gerade etwas anderes gemacht habe):
„Verdächtige Datei gefunden!
Eine verdächtige Datei wurde entdeckt (Dank der Verwendung heuristicher Methoden). Dies könnte ein Anzeichen einer Malware-Infektion sein. Bitte erlauben, Sie diese Datei zur Analyse an das ALWL Software Virus Lab zu schicken“
Datei-Name: Rootkit: Versteckter Prozess
Typ: C:\WINDOWS\SYSTEM32\ils.dll
Zwei Möglichkeiten gab es zu reagieren: Ignorieren (wurde empfohlen, wenn man sich nicht sicher ist ob es tatsächlich solch eine Datei ist) oder Löschen.
Ehrlich gesagt habe ich noch nie etwas von „Maleware“ gehört und weiß nicht was das ist. Aus Angst vor einem Virus habe ich die Datei trotz gegenteiliger Empfehlung gelöscht. Ich dachte wenn das falsch ist kann ich es mit „Systemwiederherstellung“ immer noch rückgängig machen.


3.) Dann hatte ich bei einem Virenscan noch folgenden Hinweis: C:\Addon/MSWorks/Redist/IE6/ient_s3.cab/IENT_3.CAB/MSXMLA.DLL
Prüfung nicht möglich: Ende der Datei (EOF) erreicht
Ich weiß nicht was das ist, habe aber vorsichtshalber die Datei in den Container meines Virusprogramms verschoben.


Inzwischen habe ich aber festgestellt, dass noch gar nichts gelöscht wurde (weder die „Maleware“ noch die „Parentsfriend“) und wahrscheinlich wurde die Datei die ich unter 3.) erwähnt habe noch nicht in den Container geschoben.
Wahrscheinlich liegt das daran, dass ich in meinem Internetkonto gearbeitet hatte und nicht im Administratorkonto. Inzwischen lasse ich in diesem Konto auch noch einmal den Virenscanner laufen.

Wie soll ich denn mit den entsprechenden Dateien nun verfahren?
Soll ich alle drei Dateien löschen?

Lg und ein dickes Dankeschön für Eure Hilfe!
Colobus

 

Stell doch mal ein HiJackThis-Log nach der folgenden Anweisung hier ein!

http://www.pcwelt.de/forum/sicherhe...r-rootkits/134046-posten-hijackthis-logs.html

 

Wer hat denn Parents Friend installiert?
www.parents-friend.de
Hast du Adminrechte?
Benutzt du den PC alleine?

 

Danke für Eure Unterstützung!!!

Also zu Euren Fragen:
Das Erstellen des HiJackThis-Log hat nun etwas länger gedauert, da ich bereits den Virenscan im Admin-konto gestartet hatte. Jetzt habe ich den log (war ganz leicht ) und werde ihn im Anhang anhängen.

Bei dem Virenscan wurde wieder etwas gefunden:

1.) C:\Adon\BSI\toolbox\Parentsfriends\pfsetup.exe\(sys)winadmkill.exe
Habe ich in den Container verschoben (wurde empfohlen)

2.) C: \Addon\MSWorks\Redist\IE6\ient_s3.cab\IENT_3.CAB\MSXMLA.DLL
Prüfung nicht möglich, Ende der Datei EOF erreicht

3.) Datei Name:
C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP615\A0114212.exe\[Embedded_I#002ce04]\{app}\Democracy.exe
Maleware Name: Win32:Trojan-gen {Other}
Maleware Typ: Virus/Wurm
VPS Version: 081215-1, 15.12.2008
Habe ich in den Container verschoben (wurde empfohlen)

4.) Datei Name:
C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP617\A0115869.exe\{sys}\winadmkill.exe
Maleware Name: Win32:Trojan-gen {Other}
Maleware Typ: Virus/Wurm
VPS Version: 081215-1, 15.12.2008
Habe ich in den Container verschoben (wurde empfohlen)


Weiter habe ich noch nichts gemacht.



Zu der Fragen von Deoroller:
Es ist mein Rechner auf dem ich auch die Adminrechte habe. Außer mir benützt niemand den Rechner.
Diese Unterteilung wurde nur einmal gemacht weil es anscheinend ein besserer Schutz für den Rechner ist wenn man nur über ein Konto mit eingeschränkten Rechten ins Internet geht. Inzwischen weiß ich, dass man den Rechner besser partizipiert. Aber das war dann schon zu spät.
Und Parents Friend habe ich nicht installiert. Ich kann mir gar nicht erklären wie das kommt. Ich hatte im Internet nach billigen Pensionen/Hotels/Jugendherbergen gesucht. Dann kam plötzlich die erste Fehlermeldung.


Sollte ich nun versuchen den Container zu löschen?
Und sollte ich die nicht zu überprüfende Datei vorsichtshalber löschen?
Ist dann mein Rechner wieder sicher, so dass ich auch wieder emails versenden kann?

 

Parent's Friends ist wahrscheinlich aus der BSI Toolbox.
http://www.bsi-fuer-buerger.de/toolbox/tools.htm
Da könnte es einen Eintrag zum Deinstallieren unter Systemsteuerung-Software geben.
Hoffentlich funktioniert der noch.
Es dürfte klar sein, dass Parrent´s Friends Rootkittechnologie nutzt, damit das Programm nicht so einfach lahm gelegt wird. HijackThis kann auch bei Rootkits versagen, wenn sie gut sind.

Malware in System Volume Information\_restore kann beseitigt werden, wenn die Systemwiederherstellung deaktiviert wird.

 

Im HijackThis-Log sehe ich keine Malware.
Java ist allerdings hoffnungslos veraltet und hat Sicherheitslücken, die ausgenutzt werden können.

 

Ähm, irgendwie verstehe ich das dann nicht so richtig.
Entschuldigung, ich kenne mich damit einfach nicht so gut aus und ich hoffe ich mache hier keine allzu großen Umstände.

Sind die zwei Dateien, die Avast als Malware klassifiziert hat dann gar keine Malware? Und was ist es dann? Wenn es etwas „Fremdes“ ist (egal was es nun ist) kann ich doch eigentlich nichts falsch machen und es wird mein System nicht beeinträchtigen, wenn ich es lösche, oder?
Sie haben mir ja bereits geschrieben wie man eine Malware löschen würde. Das würde ich bestimmt auch hinbekommen. Und so könnte ich es ja auch löschen, wenn es keine Malware ist.

Die Seite, die Sie mir als link genannt haben, habe ich mir angesehen. Dort heißt es:
„Eine Deinstallation ist jedoch nur aus dem Programm heraus, mit dem "De-Install"-Button möglich.“
Ich habe nun über die Suchfunktion nach dem Programm gesucht, allerdings in dem Ordner Parentsfriend nur ein GIF-Bild mit dem Namen „download“ gefunden, das ich nun einfach einmal über den Papierkorb gelöscht habe.

Ich frage mich allerdings, ob es nicht am einfachsten ist, eine Systemwiederherstellung zu machen. Damit dürfte doch sowohl Parentsfriend als auch die „ev.-Malware“ wieder gelöscht sein, oder?
Oder kann man so keine Malware/Viren ect. löschen?

Danke für die Geduld und Hilfe!
Colobus

 

Das ist sogenante Riskware.
http://www.viruslist.com/de/glossary?glossid=188808055
Wenn man Riskware aus Programmen entfernt, können sie oft nicht mehr richtig funktionieren.
Wenn eine Installationsroutine einen bestimmten Systemdienst starten oder anhalten oder zum Abschluss den PC neu starten muss und diese Komponente entfernt wird, weil ein AV-Scanner sie als Malware ansieht, kriegt man das Programm nicht zum Laufen.
Da AV-Programme oft Malware automatisch entfernen, sollte man sich vor den Auswirkungen von Fehlalramen schützen, indem das AV-Programm während Installation/Deinstallation von vertrauenswürdiger Software und Treiber deaktiviert wird.

 

Und warum nicht mal SP3 und IE7 draufmachen?

 

Hallo Deoroller,
ich glaube ich habe es mit Ihrer Hilfe wieder hinbekommen. DANKE.
Das heißt ich hoffe, dass jetzt alles wieder in Ordnung ist. Mein Rechner läuft noch genauso wie zuvor und gerade eben ist ein weiterer Virenscan problemlos durchgelaufen.
Allerdings hat mich das nun ein wenig „wachgerüttelt“ und ich werde mich nun einmal um die Sicherheit meines Rechners kümmern und ihn dabei auch einmal gründlich „ausmisten“.

Babu,
was ist den SP3 oder IE7? Warum ist das denn besser als Windows XP?
Den Internet Explorer benütze ich gar nicht. Ich benütze Mozilla Firefox und Thunderbird.

Viele Grüße,
Colobus

 

SP steht für ServicePack... aktuell ist 3 bei XP--> damit ist das System am neuesten Stand und "sicherer"
das gleiche gilt für den IE..

und hier darf man ruhig DU zu uns sagen

 

Ok, danke für die Tipps!
Im Moment schaue ich gerade nach meiner Firewall. Die muss ich nämlich seit über einem Jahr immer deaktivieren wenn ich ins Internet gehe, da sie sich nicht mit Avast! verträgt. Ich glaube das ist wohl auch nicht so gut.
Und dann muss ich wohl auch noch nach Java sehen.

Irgendwie fühle ich mich schon etwas überfordert. Über so etwas habe ich mir noch nie Gedanken gemacht.

 

Systemsteuerung--> Software--> Java: deinstallieren

anschliessend die neuste Version runterladen und installieren


Zum Thema Firewall: deinstallieren und weglassen

 

Sehr gut, aber wenn du dir Updates von Microsoft holst, dann geht das nur über den IE!

Dann vermute ich mal, dass du die monatlichen Updates von Microsoft wohl auch ignoriert hast, oder?

Sollte da nicht wenigstens die XP-Firewall scharfgemacht werden?

 

kann, muss aber nicht, wenn ein Router vorhanden ist

 

Wenn der Zugang über einen Router erfolgt nicht nötig.

 

Humi, ich habe es versucht. Das Problem ist nur, dass ich auf diesem Rechner einiges nicht verstehe.
Das ganze ist recht konfus:
Nachdem ich ihn gekauft habe, hatte ich ihn mir zunächst selbst eingerichtet.
Um jedoch an der Uni ins Netz gehen zu können hat der Administrator den Rechner „gesichert“ (daher auch das extra Internetkonto und die alten Programme; ist schon ein bisschen her) und sich selbst auch ein Adminkonto eingerichtet.
(Dieses Konto wird jedoch unter Benutzerkonten nicht mehr angezeigt. Ich sehe es nur wenn ich in meinem Adminkonto unter „Dokumente und Einstellungen“ bin. Das verstehe ich auch nicht)

Die Programme die ich anschließend selbst installiert habe konnte ich auch immer problemlos installieren oder wieder löschen. Nur Programme, die der Admin damals installiert hat, (wie jetzt Java) „hängen irgendwo drin“.
Ich habe gerade, so wie Du es mir empfohlen hattest, versucht, über mein Adminkonto Java zu löschen (dort fand ich nur Java 2 Runtime Environment SE.1.4.2.03). Das hat auch funktioniert. Als ich jedoch zur Kontrolle über die Suchmaschiene nach Java gesucht habe, wurde noch recht viel gefunden („Als ob es in den andern Konten noch da wäre“).
Und ich weiß nicht wie ich es dort überall deinstallieren kann. Ich kann Programme nur über „Programmzugriff und –standards" oder über entsprechende Deinstallationsdateien löschen. Und da ich gar nicht genau weiß, wo das Programm überall hängt……
(Ich hatte vorsichtshalber zuvor einen neuen Systemwiederherstellungspunkt angelegt und die Deinstallation nun wieder rückgängig gemacht. Ich hatte Angst noch mehr Chaos anzurichten)

Babu1940,
Nein updates habe ich mir nicht geholt. Ich hatte mir das Paket damals gekauft, aber der Admin meinte es gäbe noch ein besseres, teureres... Ich habe die Vermutung, dass er zumindest in einem Account dieses Programm installiert hat, weiß es aber nicht ganz genau. Ich weiß nur, dass seit damals in meinem Internetaccount Word, Exell,.. Fehlermeldungen bringen wenn ich sie öffnen möchte. Das hat mich nie gestört, da ich im anderen Account arbeite, aber ich habe mich auch nie getraut updates herunterzuladen da ich nicht weiß, ob es nun mein eigenes Programm ist oder das von der Uni (das wäre ja dann illegal).


Und bevor Ihr mich fragt: Den damaligen Admin kann ich leider nicht mehr fragen.