megaaploads.net/1.php

    Seit ein paar Tagen erhalte ich von Kaspersky Anti-Virus 2011 folgende Meldung, wenn ich Firefox benutze:
    http://megaaploads.net/1.php
    c:\...\mozillafirefox\firefox.exe(pid:2340) download eines Objekts
    enthält Phishing-Link
    verboten

    Ich habe Firefox vollständig gelöscht so wie es in der Firefoxhilfe beschrieben ist. Die Festplatte nach nach Malware durchsucht - alles in Ordnung. Dan habe ich Firefox neu installiert und in der Firewall freigegeben.
    Die Meldung kommt immer noch alle paar Sekunden.

    Ich benutze WIN 7 Home 32, Kaspersky Anti-Virus 2011, Windows-Firewall ist eingeschaltet

    Kann mir da jemand weiterhelfen?
    Danke
    osterhase43

    Edit Palli:
    Merkwürdige Links entfernt

    Ich habe gerade den Rechner wie vorgeschlagen untersuchen lassen. Das Programm hat eine infizierte Datei entdeckt und entfernt:
    Malwarebytes' Anti-Malware 1.50.1.1100
    http://www.malwarebytes.org

    Datenbank Version: 5760

    Windows 6.1.7600
    Internet Explorer 8.0.7600.16385

    14.02.2011 16:06:33
    mbam-log-2011-02-14 (16-06-33).txt

    Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
    Durchsuchte Objekte: 245735
    Laufzeit: 40 Minute(n), 23 Sekunde(n)

    Infizierte Speicherprozesse: 0
    Infizierte Speichermodule: 0
    Infizierte Registrierungsschlüssel: 0
    Infizierte Registrierungswerte: 0
    Infizierte Dateiobjekte der Registrierung: 0
    Infizierte Verzeichnisse: 0
    Infizierte Dateien: 1

    Infizierte Speicherprozesse:
    (Keine bösartigen Objekte gefunden)

    Infizierte Speichermodule:
    (Keine bösartigen Objekte gefunden)

    Infizierte Registrierungsschlüssel:
    (Keine bösartigen Objekte gefunden)

    Infizierte Registrierungswerte:
    (Keine bösartigen Objekte gefunden)

    Infizierte Dateiobjekte der Registrierung:
    (Keine bösartigen Objekte gefunden)

    Infizierte Verzeichnisse:
    (Keine bösartigen Objekte gefunden)

    Infizierte Dateien:
    c:\Users\renate\downloads\setupcasino_547d36_de.exe (PUP.Casino) -> Quarantined and deleted successfully.

    Rechner neugestartet, dann Firefox gestartet. Ergebnis: leider nicht wie es sein sollte. Es kommt immer noch diesselbe Mitteilung wie vorher.

    MBAM zeigt Funde. Es hilft nicht, dass diese Funde gelöscht werden, denn ein befallenes System kann nicht bereinigt/repariert werden.

    Dann freunde dich mit einem Neuaufsetzen deines Systems an. Danach alle Passwörter ändern!
    Lies diesen Artikel - wichtig ab Punkt #4
    Säubern eines gefährdeten Systems [Blockierte Grafik: http://i39.tinypic.com/s1kgb4.png]

    Malware - was nun?
    * Daten sichern (Dokumente, Musik, Bilder usw. kopieren)
    * Windows-CD/DVD einlegen, booten
    * mit Windows-CD/DVD Systemlaufwerk formatieren
    * Windows neu installieren
    * alle Windows-Updates installieren
    * sicheren Browser benutzen
    * nur Programme aus sicheren Quellen installieren
    * Sicherheitskonzept überdenken!
    * nicht mehr als Admin surfen!

    Lass dich von den beiden Flachzangen da nicht veralbern - PUP sind "potential unwanted programs",
    unerwünschte Programme. Ansonsten sieht es gut aus.
    Und ihr beiden da, lest doch endlich mal die Hilfe von MBAM statt so einen Müll zu verbreiten.

    Seid ihr hop oder top?

    Zitat von Brummelchen

    Lass dich von den beiden Flachzangen...

    Locker durch die Hose atmen..... zügele bitte deine Ausdrucksweise! :|
    Ich störe mich immer noch an

    Zitat

    http://megaaploads.net/1.php

    Und eine Casino-Software-Installation mit entsprechenden Folgen schreit geradezu nach Malware....

    Ne, aber mir gehts langsam auf den Senkel, dass ihr bei jedem Fund von MBAM
    gleich die dicke Keule mit "neu machen etc bla blubb" rausholt, ohne überhaupt
    ansatzweise zu differenzieren. Ich habe auch meine Textbausteine, reibe sie
    aber nicht gleich unüberlegt jedem unter die Nase.
    Es wäre wünschenswert, wenn ihr das endlich ändern könntet!

    PS es gibt noch einen dritten im Bunde, der das auch gut kann, aber erneut
    in der Versenkung verschwunden ist.

    Zitat von osterhase43

    Rechner neugestartet, dann Firefox gestartet. Ergebnis: leider nicht wie es sein sollte. Es kommt immer noch diesselbe Mitteilung wie vorher.


    Mal zur Erinnerung der letzte Stand von Osterhase.
    Ich denke er wird jetzt nicht wissen, ob er nun das System neu aufsetzen soll oder warum das gut aussieht. :-??

    MBAM ist nicht perfekt, aber es ist ein guter Anhaltspunkt, wo man suchen könnte.

    Ich würde als weiteres ein neues Profil erstellen - ändert sich nichts, sitzt es doch tiefer
    und da lässt sich von hier aus gar nichts sagen ohne realen Einblick.

    HiJackThis wäre eine Option, um uns ein Bild vom laufenden System anzubieten
    http://hijackthis.de/
    (Download 2.04 ► http://free.antivirus.com/hijackthis/ )
    Das Logbuch bitte hier einfügen.

    Evtl klemmt da einfach nur eine unerwünschte Toolbar, die MBAM noch nicht kennt.
    Aha, auch eine Möglichkeit - unerwünschte Änderungen an der HOSTS-Datei.
    http://de.wikipedia.org/wiki/Hosts-Datei

    Kenne ich selbst noch nicht, mal ausprobieren: LOP S&D
    http://www.supportforums.net/showthread.php?tid=12925
    http://sites.google.com/site/eric71mespages/lop.sd.en

    aha, SFX-EXE, öffnet sich im DOS-Fenster, dann dem Dialog folgen.
    Läuft ohne Probleme, Option 1 "Suche" gewählt", das Logbuch wird im Texteditor geöffnet
    Sollte man schon lesen, ob zB gefährliche Einträge in der HOSTS vorhanden sind
    oder Rootkits gefunden wurden.
    LOP kann auch fixen, allerdings neige ich auch hier eher zum neu machen.
    HOSTS fixen, wenn verändert, kann abhelfen, sollte es sich erneut verändern,sollte man
    schon das zwingend System neu aufsetzen, da gibt es nichts zu überlegen.
    (LOP SD erstellt sich im Ordner c:\Lop SD)

    PS
    Kaspersky CBE (Computer Bild Editon für Neugierige, wurde heute IMO schon mal gefragt)
    ist für ein Jahr gültig, für 3 Rechner nutzbar, muss aber alle 90 Tage reaktiviert werden (4 Mal insgesamt) und:

    Zitat

    es fehlt allerdings die Kindersicherung und logischerweise das Personal-cabinet.

    //

    Zitat von Brummelchen

    PS es gibt noch einen dritten im Bunde, der das auch gut kann, aber erneut in der Versenkung verschwunden ist.

    .... dank deiner freundlichen Unterstützung!! :evil:
    Leider wurde seitens der Administration deswegen keinerlei Konsequenzen gezogen... (Soweit mir bekannt...)
    Und jetzt kümmere dich um anderes..... Solltest du übrigens in Zukunft weiter deine inakzeptable Tonart mir gegenüber anbringen, gibts Kontra, alles klar?

    Wennze weiter so daher schwätzt wie da oben, kannst du davon ausgehen.
    Alles andere geht mir am Popo vorbei, muss jeder selbst wissen, wie dünnhäutig er ist.

    // ...das hat nichts mit dünner Haut zu tun. Respektvolles Miteinanderumgehen wäre da schon eher der richtige Terminus. Sollte dir dies wirklich fremd sein? Wenn du eine andere Auffassung von irgendwas hast, ist das dein gutes Recht. Dies einem anderen mitzuteilen natürlich auch, nur die Art und Weise muss nicht so sein, wie du das hier häufig praktizierst.. Vielleicht kannst du ja mal ein bisschen in Dich gehen.. Im Prinzip bist du ja gar nicht soooo :)

    LOP S&D habe ich noch nicht ausprobiert. Da steht es wäre für XP und Vista. Funktioniert das tatsächlich auch für Win7?

    Logbuch mit HiJackThis habe ich erstellt:

    Logfile of Trend Micro HijackThis v2.0.4
    Scan saved at 11:09:07, on 16.02.2011
    Platform: Windows 7 (WinNT 6.00.3504)
    MSIE: Internet Explorer v8.00 (8.00.7600.16722)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\taskhost.exe
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe
    C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
    C:\Program Files\Common Files\Java\Java Update\jusched.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2011\avp.exe
    C:\Windows\System32\igfxtray.exe
    C:\Windows\System32\hkcmd.exe
    C:\Windows\System32\igfxpers.exe
    C:\Program Files\Windows Sidebar\sidebar.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Program Files\OpenOffice.org 3\program\soffice.exe
    C:\Program Files\OpenOffice.org 3\program\soffice.bin
    C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2011\ievkbd.dll
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
    O2 - BHO: Windows Live ID-Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.6.5805.1910\swg.dll
    O2 - BHO: SignatureManagerBHO - {C6CC9344-BC12-4EA7-9E37-46D61866C771} - C:\Program Files\SM\SubsHelperBHO.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
    O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2011\klwtbbho.dll
    O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
    O3 - Toolbar: (no name) - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - (no file)
    O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
    O4 - HKLM\..\Run: [CLMLServer] "C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe"
    O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
    O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2011\avp.exe"
    O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
    O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
    O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
    O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
    O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
    O4 - Startup: OpenOffice.org 3.2.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
    O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html
    O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MIF5BA~1\Office12\http://EXCEL.EXE/3000
    O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-31/4 (file missing)
    O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-31/4 (file missing)
    O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MIF5BA~1\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MIF5BA~1\Office12\ONBttnIE.dll
    O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2011\klwtbbho.dll
    O9 - Extra button: (no name) - {755B05A7-0770-4185-B5F6-E75A2CA527E2} - C:\Program Files\SM\SubsHelper.dll
    O9 - Extra 'Tools' menuitem: Signature Manager options - {755B05A7-0770-4185-B5F6-E75A2CA527E2} - C:\Program Files\SM\SubsHelper.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MIF5BA~1\Office12\REFIEBAR.DLL
    O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2011\klwtbbho.dll
    O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-31/4 (file missing) (HKCU)
    O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-31/4 (file missing) (HKCU)
    O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
    O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedCo…bin/AvSniff.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedCo…n/bin/cabsa.cab
    O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
    O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
    O23 - Service: Kaspersky Anti-Virus Service (AVP) - Kaspersky Lab ZAO - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2011\avp.exe
    O23 - Service: FABS - Helping agent for MAGIX media database (Fabs) - MAGIX AG - C:\Program Files\Common Files\MAGIX Services\Database\bin\FABS.exe
    O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\Common Files\MAGIX Services\Database\bin\fbserver.exe
    O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
    O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

    --
    End of file - 8447 bytes

    Was fange ich jetzt damit an?