Beiträge von Docc

"Windows XP"
Mit SP3 und allen Updates?

"FileFormatConverters.exe"
Ich meinte nicht die Setup-exe, sondern den Ort (Internetseite), von dem du diese exe geladen hast.

Zitat von pdaloiso@rjm

jedoch sind die automatischen Updates ausgeschalten (es handelt sich um eine Firma).

Völlig korrekt! Die Berechtigung Updates einzuspielen steht ausschließlich dem Admin zu.

Zitat von pdaloiso@rjm

dass ich dann so schnell wie möglich zur Softwareverteilung freigeben kann.

Wer ist denn nun der Admin??

PS
Falls du selbst der Admin bist, warum vergibst du nicht einfach die entsprechenden Berechtigungen? Du kannst deinen Admin-Rechner doch völlig unabhängig von allen übrigen Rechnern in der Firma konfigurieren.

"Microsoft File Format Converter"

Verlinke bitte mal die Download-Quelle.

Welches Betriebssystem ist installiert?

Hallo .Ulli,

die Moralpredigt hatte ich angestimmt, nachdem argumentative Überzeugungsarbeit offenkundig nicht gefruchtet hat.

Verantwortung trägt jeder der das Internet wie auch immer nutzt. Dabei ist es völlig unerheblich, ob jemand 8 oder 80 Jahre alt ist und auch, ob er Fachwissen oder nicht besitzt. Die Schäden, die ein vorsätzlich versifft geführter Rechner auf anderen Systemen anrichtet, sind für die unschuldig Betroffenen immer extrem unangenehm und ärgerlich.

Es ist also auch für Otto-Normal-User nicht damit getan, den Rechner anzuschalten und jeden Mist anzuklicken. Man muss sich auch der Folgen bewusst sein, die man verantwortet, wenn man vorsätzlich mit einer Virenschleuder im INet unterwegs ist. - Ich habe schon zu oft von ignoranten Usern beliebigen Alters zu hören bekommen, dass ihnen die Infektion Ihres Systems völlig egal ist, solange nur das gecrackte Betriebssystem, die Games und das Filesharing reibungslos laufen.

Insofern müssen Moralpredigten manchmal sein. Und wie im richtigen Leben läuft es auch im internet: Unwissenheit und Blauäugigkeit schützen vor Strafe nicht!

gruß
docc

Zitat

Willst du uns hier verar.....?

Er versucht es jedenfalls (fett durch mich):

Zitat von wasser

OTL logfile created on: 25.07.2011 22:28:06 - Run 2
OTL Extras logfile created on: 25.07.2011 22:28:06 - Run 2

Zitat von blind3d

Wenn ja, welches (Spybot S&D, Spyware Docotor, Ad-Aware)? Gibt ja scheinbar ein paar mehr..

Keines dieser drei Spielzeuge kann einen Beitrag zur Systemsicherheit leisten. - Du hast jede Menge gutet Tipps und wertvolle Links erhalten, die du allerdings lesen musst um nutzen daraus ziehen zu können. Sonst wird dein System nach der Neuinstallation keine drei Tage clean bleiben.

Zudem ist die multiple Infektion deines Rechners ausschließlich durch dein eigenes unkritisches und unvorsichtige Verhalten im Internet entstanden. Und vor dieser Blauäugigkeit können dich auch sämtliche AV-Scanner dieser Welt nicht schützen.

Zitat

Die Services sind all i.O.

Ich möchte fast wetten, dass sie das nicht sind.

Im Übrigen hat man dir bereits mehrfach gesagt, dass eine Neuinstallation unvermeidlich ist. - Mehr ist dazu nicht zu sagen.

PS
Statt mehrere Scanner parallel zu installieren (was die Sicherheit schwächt), wäre es wesentlich sinnvoller und sicherer, wenn du nach der Neuinstallation ausschließlich mit einem eingeschränkten Benutzerkonto arbeitest.

Hallo Biniusa,

C:\Program Files\ShopperReports3\bin\3.1.71.0\ShopperReports.dll

Lade diese Datei bitte bei VirusTotal.com hoch und poste den Link zu dem Analyseergebnis. - Und bitte nichts löschen!!

Falls du die Datei auf Anhieb nicht findest, machst du bitte Folgendes:

Klick auf "Arbeitsplatz > Extras > Ordneroptionen > Ansicht".

Setze Häkchen bei:
"Inhalte von Systemordnern anzeigen"
"Alle Dateien und Ordner anzeigen"

Entferne Häkchen bei:
"Erweiterungen bei bekannten Dateitypen ausblenden"
"Geschützte Systemdateien ausblenden"

gruss
docc

Zitat von wasser

Das fehlt nicht, sondern ist mit Absicht nicht drauf. Einige Programme haben mit SP3 Zicken gemacht. Geht aber auch ohne.

Ohne dir zu nahe treten zu wollen, der vorsätzliche Verzicht auf das SP3 und alle seit dem 13. Juli 2010 von Microsoft veröffentlichen Sicherheits- und Systemupdates, lässt auf eine hartnäckige Beratungsresistenz schließen.

Abgerundet wird dieses Bild von einem völlig ungepatchen aber aktiven Internet Explorer 6.0 sowie von einem wilden Konglomerat an vermeintlicher Sicherheitssoftware, die parallel zum Primärscanner Avira installiert ist:

ZoneAlarm
AdAware
Spybot Search& Destroy

"Viel hilft viel" ist der falsche Ansatz. Das führt nämlich nur dazu, dass Avira seinen Job nicht machen kann. Und es kann dazu führen, dass auch Windowsupdates (z. B. das SP 3) nicht installiert werden können.

Blanker Unsinn ist hingegen, dass es durch die Installation des Service Pack 3 zu Problemen kommt. Wenn man natürlich uralte System- und Chipsatztreiber auf dem Rechner hat, darf man sich nicht wundern, wenn das System nicht rund läuft.

Der Internet Explorer 6 ist ein absolutes "no go". Dies gilt auch für den Fall, dass der IE nicht der Standard-Browser ist. Das Betriebssystem nutzt den in deinem Fall ungepatchen IE um tagtäglich etliche Male nach Redmond zu telefonieren. Dass so eine vielfrequentierte "Standleitung" doppelt und dreifach abgesichert sein muss, sollte logisch sein.

btw:
Irgend etwas verschweigst du uns. Das OTL-Log ist so kastriert, wie ich es selten gesehen habe. Insbesondere die OTL-Extras sind nicht koscher. - Insofern wundert mich deine SP3-Phobie nicht wirklich.

Zitat von blind3d

Klingt doch verdammt ähnlich... gleicher Provider, gleiches Problem... aber nur im FF..

In deiner Situation ist es völlig müßig, sich über eine derartige Marginalie Gedanken zu machen.

Zitat

wenn mein System irgendwohin Redirects senden würde oder Daten gephisht würden, dann doch auch in anderen Browsern oder nicht?

Diese Frage ließe sich wahrscheinlich beantworten, wenn du endlich die von mir erbetene Reportdatei posten würdest. Aber vorab zur Erklärung: Ob alle Browser, nur Firefox oder ausschließlich der IE betroffen ist, wird durch den Schadcode bestimmt, den eine Malware transportiert. Es gibt auch Schädlinge, die Browser gar nicht manipulieren, aber dennoch ein extrem hohes Schadpotential haben.

Du hast dir eine multiple Infektion eingefangen (u.a. Coolwebsearch und obendrein noch diverse Trojaner). Kurz gesagt: dich hat eine volle Breitseite getroffen.

Ich hatte dich nicht ohne Grund davor gewarnt, weiterhin OnlineBanking etc. zu betreiben.

PS
Mach dir bitte die Mühe und lies (in Ruhe) den Link, den ich dir heute Mittag gepostet hatte.

Zitat von blind3d

Firewall = keine
Antivirus: Avira Antivir

Habe jetzt gerade kein Zugriff auf die Befunden.. Hirnprotokoll enthält nur noch wwwCoolsearch, facemoods toolbar.. und noch einige W32 Trojaner. 2ter Suchlauf dann aber hat nichts mehr gefunden...

Mit anderen Worten: Das System ist noch immer hochgradig kompromittiert.

Entfernung von Schädlingen: Oder, warum man bei Infektionen das Betriebssystem neu installieren sollte!!

Poste bitte die Reportmeldungen der Virenfunde.

Es ist ein Irrglaube anzunehmen, dass man Malware zuverlässig entfernen kann. Es ist allenfalls möglich, den Schädling zu analysieren und dadurch den Infektionsweg zu rekonstruieren, damit in Zukunft eine erneute Infektion vermieden werden kann.

Lade dir Malwarebytes Antimalware runter, dann das Tool updaten, einen vollständigen Scan durchführen, anschließend ein Logfile erstellen und hier posten (bitte Code-Tags verwenden). - Und bitte nichts löschen!!

PS
Bereite dich auf eine Neuinstallation vor. Bis dahin ist von diesem Rechner Onlinebanking oder Onlineshopping tabu!!

Zitat

Firefox 6 Beta (Alias: Nightly)

Hier wird wohl einiges durcheinander geworfen, was zu Missverständnissen führen kann.

"Nightly" ist keine Bezeichnung für Firefox 6 Beta, sondern lediglich ein angehängter Hinweis auf einen frühen Versionsstand, den in diesem Zusammenhang auch andere Softwarehersteller verwenden.

Zitat

Zudem vermittelst du, die restliche Mehrheit sollte ebenso handeln, obwohl
die vorgefertigten Werte immerhin Erfahrungswerte der Entwickler sind.

Das sollte nicht als Doktrin sondern als Denkansatz verstanden werden. - Das Gute ist der Feind des Besseren. - Wenn man sich immer auf das verlassen könnte, was Entwickler als RC raus hauen, bräuchte die Welt kein einziges IT-Forum. :wink:

Krümel

Zitat

Bis jetzt funzt es einwandfrei.

Das freut mich! - Mehr als beobachten kannst du im Moment nicht machen.

btw: Die Frage nach einer Malwareinfektion in der Vergangenheit hast du unbeantwortet gelassen.

wg. Norton Ghost
Mit regelmäßigen Backups bist du auf einem guten Weg. Noch einfacher hast du es mit einer auf Images basierenden Sicherungsstrategie. Angesichts deiner gefährlich alten Ghost-Version (2003) rate ich zum Umstieg auf eine aktuelle Software (z. B. Clonezilla ist Freeware, oder Acronis True Image (kommerziell), beide empfehlenswert.

PS
Mit dem von bigpen genannten Sysinternals ist man gut bedient, wenn es denn unbedingt ein Tool zum shiften sein muss.

Zitat

Meine Autostartprogramme: Wobei nötig nur AntiVir ist...

So isses!

Aber: Startup control panel wird AFAIR schon seit Ewigkeiten nicht mehr supportet. Das ist für ein systemnahes Tool äußerst ungünstig. Also ein vermeidbares Risiko. Im INet sollte sich doch was Aktuelleres finden. Davon abgesehen lässt sich der Job dieses Tools ohne Mehraufwand auch mit Windows-Bordmitteln machen. :wink:

Zitat von wasser

Hijackthis - Alles ok
Virencheck - Alles ok

Das Folgende hatte ich eben einem anderem User gepostet, dürfte aber auch für dich aufschlussreich sein:

Die Autoren von Malware arbeiten teilweise schon so listenreich, dass sie den lokalen AV-Scanner (egal ob Echtzeit oder On-Demand) als primäres Angriffsziel attackieren. Davon merkt der User in der Regel nichts. Ein Scan bleibt ohne Befund, obwohl das System im Kern kompromittiert ist. Dieser Prioritätenverschiebung folgend wird erst im zweiten Schritt der Infektion das System zum Abräumen von Bankkonten oder zum hijacken diverser Accounts etc. missbraucht.

Je nach Situation ist ein Scan "von außen", z. B. mit einer Avira Rescue-CD oder einem Live-System wie Ubuntu, Kubuntu oder div. anderer Linux-Derivaten, deutlich aussagekräftiger.

wg. MBAM
Es gibt keinen vernünftigen Grund, MBAM einen Platz im Autostart zuzugestehen. Dieser Platz steht ausschließlich dem einzigen AV-Programm zu, dass auf einem System installiert ist.

wg. jusched
Autoupdates haben aus Sicherheitsgründen grundsätzlich nichts im Autostart zu suchen. Autoupdatefunktionen sind im Idealfall so konfiguriert, dass sie dem User das vorhandene Update melden, und dann dieses Update zeitnah vom User angestoßen wird. - Gerade Java als bevorzugtes Angriffsziel von Malware sollte unter keinen Umständen einen Freifahrtschein ins INet erhalten.

Über den Rest können wir aber verhandeln.

PS
Korrektur wg. Ortho

Von Interesse wäre auch, wie der TO letztlich mit seiner hochwahrscheinlichen Kompromittierung umgegangen ist. Allein das ein PayPal-Account betroffen ist, lässt nichts Gutes vermuten. Und das MBAM-Log ohne Befund ist eher als schlechtes denn als gutes Zeichen zu werten. Hier wäre ein Scan "von außen", z. B. mit der von Brummelchen genannten Avira Rescue-CD oder einem Live-System wie Ubuntu, Kubuntu oder div. anderer Linux-Derivate, deutlich aussagekräftiger.

Die Autoren von Malware arbeiten teilweise schon so listenreich, dass sie den lokalen AV-Scanner (egal ob Echtzeit oder On-Demand) als primäres Angriffsziel attackieren. Davon merkt der User in der Regel nichts. Ein Scan bleibt ohne Befund, obwohl das System im Kern kompromittiert ist. Dieser Prioritätenverschiebung folgend wird erst im zweiten Schritt der Infektion das System zum Abräumen von Bankkonten oder zum hijacken diverser Accounts etc. missbraucht.

Stimmt. - Ohne bereinigte Basis ist die Fehlersuche reine Glückssache.

Zitat von blind3d

also ich habe jetzt nach und nach, Spybot S&D, Ad-Aware und HijackThis durchlaufen lassen. Es wurden zwar einige DInge gefunden, aber nichts hat das Problem gelöst. Auch eine komplette Deinstallation und das entfernen übrig gebliebener Dateien und Reg-Keys konnte den Fehler nicht beheben..

Diese brachiale Vorgehensweise schafft eher Probleme, statt sie zu beseitigen. Darüber hinaus wird dabei die Basis für eine Fehlerdiagnose entzogen.

Welches Antivirenprogramm und welche Firewall ist neben dem o.g. Triumvirat installiert? Und bitte keine weiteren Löschungen vornehmen!!

Hallo Krümel,
das Log zeigt nichts, mit dem sich dein Problem auf den ersten Blick erklären ließe. Andererseits läuft bei dir MBAM; ungünstigerweise sogar mit Autostartrechten. Für die Systemsicherheit ist das äußerst ungünstig. Gab es in der Vergangenheit Malwaremeldungen von G Data oder MBAM? - Wenn ja, poste bitte die Reportdatei.

Darüber hinaus laufen bei dir ungewöhnlich viele Autostarts, die fast alle überflüssig sind, aber grund- und nutzlos mitgestartet werden.

Den Autostart solltest du ausmisten. Jedes dieser Programme/Prozesse/Features/Tools wird beim Systemstart automatisch in den Arbeitsspeicher geladen. Dieser Speicher steht anderen Anwendungen dann nicht mehr zur Verfügung!!

Die Autostarteinträge entfernst du via "Start > Ausführen... > msconfig -6". Hier entfernst du überflüssige Häkchen. Keine Angst, solltest du später ein Feature/Programm vermissen, lässt es sich ebenso einfach wieder aktivieren.

die folgenden Autostarts solltest du deaktivieren:

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\winampa.exe"
O4 - HKLM\..\Run: [ClipMemAutoStart] C:\Programme\ClipMem Advanced\clipmem.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [PTBSync] C:\Programme\PTBSync\PTBSync.exe /Start
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [GhostWriter] C:\Programme\GhostWriter\GhostWriter
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray

diese benötigst du ebenfalls nicht zwangsläufig:

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE

diese fünf bitte unangetastet lassen:

O4 - HKLM\..\Run: [G Data AntiVirus Tray Application] C:\Programme\G Data\AntiVirus\AVKTray\AVKTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

Es ist nicht auszuschließen, dass irgendetwas von diesem bunten Reigen indirekt an deinem Favicon-Problem beteiligt ist.
Wenn das Ausmisten der Autostarts ebenfalls ohne Erfolg bleibt, solltest du nach einer Möglichkeit suchen, mit deinem kompletten Firefox-Profil testweise auf einen anderen Rechner umzuziehen. Wenn dort alles rund läuft, würde das die weitere Fehlersuche erheblich erleichtern.

gruss
docc

PS
Korrektur wg. Ortho

Schwer zu sagen, ob das nun eine Third Party-SW, ein eingeschliffener Bedienerfehler oder etwas anderes ist. Wenn dein OS Vista oder XP ist, poste bitte ein HijackThis-Log. Ansonsten google nach OTL und poste ein entsprechendes Log.