Avira Support Forum

Guten Morgen,

ich könnte mich in den Allerwertesten treten - ich habe selber Schuld - habe von der Original Adobe Seite Flash-Player aktualisiert (ohne Mcafee-Tool). Hatte hinterher so ein komisches Gefühl, weil ich grundsätzlich skeptisch bin..... hinterher nochmal geprüft. (wie schlau )... VT hatte eine Warnmeldung wegen dieses open Candy. Heute morgen habe ich ESET Online Scanner angeschmissen und siehe da: aktuelles Prüfergebnis: Bedrohung erkannt .

Könnt Ihr mir helfen? Ich weiß, irgendwie selber schuld - aber es war die offizielle Adobe Seite....... Muss es gleich richtig stellen - Carsten hat keine Schuld -ich war es ,die Hundefreundin, die sonst so vorsichtig ist, einmal nicht aufgepaßt und dann sowas.

Was soll ich jetzt machen? ESET durchlaufen lassen oder abbreichen? Einen Scan mit Avira habe ich noch nicht gemacht- warte lieber auf Anweisung, was jetzt zu tun ist....und danke im voraus...
LG Hundefreundin mit schlechtem Gewissen - sorry für meine eigene Dummheit..

hier eine Meldung:

Huhu

Liebe Hundefreundin das ist doch kein so grosses Problem

Vesuche bitte einen scan mit malwarebytes ( updaten !! wie immer !!)
quickscan sollte reichen -

Poste das log bitte ..

Gruss an Carsten

wo ist die "liste der gefundenen Bedrohungen" ? siehe dein bildchen
aufklappen ??

Rajo

Hallo lieber Rajo,

wie schön, Dich zu lesen - freue mich, dass Du da bist.

C:\$RECYCLE.BIN\S-1-5-21-2682067243-1274572366-3819262604-1000\$R2FSPUR.exe Win32/OpenCandy Anwendung gelöscht - in Quarantäne kopiert
C:\$RECYCLE.BIN\S-1-5-21-2682067243-1274572366-3819262604-1000\$RY5U1OK.exe Win32/OpenCandy Anwendung gelöscht - in Quarantäne kopiert

Quickscan mit MWB läuft - Carsten sagt, kriegen wir gemeinsam wieder mit dem Forum hin.. ich habe ihn gegrüßt, er sagt danke und Gruß zurück

Prima grad gefunden :

http://www.opencandy.com/faqs/adware-faq…pencandy-adware

lesen wir mal wenn wir fertig sind ....
und gleich vorausgeschickt Opencandy IST adware ganz ohne Frage
die Seite versucht Gehirnwäsche vom feinsten ......

Rajo

ohoh - wußte ich es doch, dass es nicht ok war..

hier der LOG von MWB - was mache ich jetzt mit dem Quarantäne-Ordner von ESet? Habe das Fenster immer noch auf, so dass ich die Quarfantäne löschen könnte...

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.05.04

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
CARSTEN-PC [Administrator]

05.05.2012 12:09:49
mbam-log-2012-05-05 (12-09-49).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 193843
Laufzeit: 7 Minute(n), 55 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Quoted from "Hundefreund"

Habe das Fenster immer noch auf, so dass ich die Quarfantäne löschen könnte...

Jo kannste löschen -
Damit sollte der Spuk vorbei sein .

LG
Rajo

Boah,

dankeschön Rajo, werde sichherheithalber noch einmal mit Avira scannen - werde kurz berichten, ob alles ok war
Ich danke Dir wieder einmal sehr, lieber Rajo

LG Hundefreundin

HUhu Rajo,

alles ist gut - es ist nur ein verstecktes Objekt gefunden worden, aber das hatte ich hier ja schon angefragt und Du hattest Entwarnung gegeben

er Suchlauf nach versteckten Objekten wird begonnen.
Versteckter Treiber
[HINWEIS] Eine Speicherveränderung wurde entdeckt, die möglicherweise zur versteckten Dateizugriffen missbraucht werden könnte.

Freue mich, dass alles gut gegangen ist und Du mir schnell geholfen hast..Dankeschön und viele Grüße

Hundefreundlin

Guten Morgen,

darf ich mich mal mit einer Frage einmischen: Auch ich (und bestimmt auch andere Nutzer) habe den Flash Player auf Version 11.2.202.235 upgedated, nachdem ich darüber im Thread "Windows Updates & andere sicherheitsrelevante Updates weitverbreiteter Software" (Post # 388 ) gelesen hatte.

Muss ich jetzt davon ausgehen, auch diese Adware auf meinem PC zu haben? Und wie kann ich sie entfernen, wenn ich kein ESET habe? Wird sie von Avira gefunden? Der Echtzeit-Scanner hat gestern den ganzen Tag nichts gefunden.

Danke für kurze Auskunft

Harald

Hallo Harald,


Ein scan mit malwarebytes gibt Dir Gewissheit
aber auch Avira findet es

wie immer 2te Meinung

Anleitung MALWAREBYTES -



Programmdownload:
http://download.bleepingcomputer.com/mal…/mbam-setup.exe

http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe

Installiere und Starte das Programm - Vista Windows 7 user bitte als Administrator >> Mausrechtsklick !

• Wähle die Testphase für Echtzeitscanner ab !
  
• Die Yahootoolbar ebenfalls
  

mache ein online update
Das Programm holt aktuellsten Virendefinitionen automatisch
schliesse ALLE Anwendungen - Auch deinen Browser !
auch Avira
Rechtsklick in den schirm > bei avira guard aktivieren den haken raus
und ruhe is ...... =)
..............................
Druecke Starte QUICKSCAN
Warte bis der Scan durchgelaufen ist


GANZ WICHTIG !

Nun alles entfernen (die Funde) - und das log
bitte hier ins Forum posten





Rajo


Rajo

Hallo Rajo,

danke für die Rückmeldung. Ist es richtig, dass dann der Echtzeit-Scanner gestern schon hätte etwas finden müssen? Der PC lief gestern sehr lange (Backup meines gesamten Flugsimulators, knapp 50 GByte) und hatte entsprechend Zeit zum Echtzeit-Scannen.

Mich interessiert auch die generelle Frage, ob man nun selbst von der Adobe-Website keine updates mehr laden kann, ohne sich unerwünschte Inhalte einzufangen.

Den MBAM-Scan kann ich heute Abend ab ca. 21.00 Uhr laufen lassen, bin momentan noch im Büro. Es kann spät werden mit dem log, Antwort reicht dann aber auch morgen.

Ich habe MBAM in der letzten Programmversion, da brauche ich doch sicherlich nur die neueste Definitionsdatei einspielen und kann losscannen?

Gruß und Dank

Harald

Quoted from "Harald G"

Ich habe MBAM in der letzten Programmversion, da brauche ich doch sicherlich nur die neueste Definitionsdatei einspielen und kann losscannen?

Genau !

Rajo

O.K. dann bis heute Abend...
Soll ich dann für das log lieber einen eigenen Thread aufmachen?

HG

Nein Brauchst nicht -
Hundefreundin und Freund ist ja gelöst

Rajo

So, bin wieder da:

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.07.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Harald :: TOWER001 [Administrator]

07.05.2012 20:08:37
mbam-log-2012-05-07 (20-08-37).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM | P2P
Deaktivierte Suchlaufeinstellungen:
Durchsuchte Objekte: 644650
Laufzeit: 45 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)


Vorher hatte ich, da der Planer ja immer noch nicht Prüfaufträge nachholt, den gestern ausgefallenen Scan mit Avira nachgeholt:

Avira Internet Security 2012
Erstellungsdatum der Reportdatei: Montag, 7. Mai 2012 17:43

Es wird nach 3755714 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer :
Seriennummer :
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername :
Computername :

Versionsinformationen:
BUILD.DAT : 12.0.0.860 48676 Bytes 31.01.2012 13:36:00
AVSCAN.EXE : 12.1.0.20 492496 Bytes 15.02.2012 17:06:47
AVSCAN.DLL : 12.1.0.18 65744 Bytes 15.02.2012 17:06:47
LUKE.DLL : 12.1.0.19 68304 Bytes 15.02.2012 17:06:48
AVSCPLR.DLL : 12.1.0.22 100048 Bytes 15.02.2012 17:06:49
AVREG.DLL : 12.1.0.36 229128 Bytes 05.04.2012 18:32:32
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 10:07:39
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 19:55:38
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 16:41:58
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 03:51:45
VBASE005.VDF : 7.11.26.45 2048 Bytes 28.03.2012 03:51:45
VBASE006.VDF : 7.11.26.46 2048 Bytes 28.03.2012 03:51:45
VBASE007.VDF : 7.11.26.47 2048 Bytes 28.03.2012 03:51:45
VBASE008.VDF : 7.11.26.48 2048 Bytes 28.03.2012 03:51:46
VBASE009.VDF : 7.11.26.49 2048 Bytes 28.03.2012 03:51:46
VBASE010.VDF : 7.11.26.50 2048 Bytes 28.03.2012 03:51:46
VBASE011.VDF : 7.11.26.51 2048 Bytes 28.03.2012 03:51:46
VBASE012.VDF : 7.11.26.52 2048 Bytes 28.03.2012 03:51:46
VBASE013.VDF : 7.11.26.53 2048 Bytes 28.03.2012 03:51:46
VBASE014.VDF : 7.11.26.107 221696 Bytes 30.03.2012 17:24:05
VBASE015.VDF : 7.11.26.179 224768 Bytes 02.04.2012 12:30:55
VBASE016.VDF : 7.11.26.241 142336 Bytes 04.04.2012 20:11:01
VBASE017.VDF : 7.11.27.41 247808 Bytes 08.04.2012 13:31:54
VBASE018.VDF : 7.11.27.107 161280 Bytes 12.04.2012 18:23:54
VBASE019.VDF : 7.11.27.159 148992 Bytes 13.04.2012 15:31:43
VBASE020.VDF : 7.11.27.201 207360 Bytes 17.04.2012 18:26:22
VBASE021.VDF : 7.11.28.3 237568 Bytes 19.04.2012 18:49:33
VBASE022.VDF : 7.11.28.49 193536 Bytes 20.04.2012 20:14:34
VBASE023.VDF : 7.11.28.99 195072 Bytes 23.04.2012 22:48:07
VBASE024.VDF : 7.11.28.133 247808 Bytes 24.04.2012 18:50:42
VBASE025.VDF : 7.11.28.183 186880 Bytes 26.04.2012 20:21:59
VBASE026.VDF : 7.11.28.235 166400 Bytes 30.04.2012 17:24:01
VBASE027.VDF : 7.11.29.37 290816 Bytes 03.05.2012 20:45:53
VBASE028.VDF : 7.11.29.75 168448 Bytes 07.05.2012 15:40:16
VBASE029.VDF : 7.11.29.76 2048 Bytes 07.05.2012 15:40:16
VBASE030.VDF : 7.11.29.77 2048 Bytes 07.05.2012 15:40:16
VBASE031.VDF : 7.11.29.82 29184 Bytes 07.05.2012 15:40:16
Engineversion : 8.2.10.62
AEVDF.DLL : 8.1.2.2 106868 Bytes 07.11.2011 05:07:58
AESCRIPT.DLL : 8.1.4.18 455034 Bytes 26.04.2012 20:22:13
AESCN.DLL : 8.1.8.2 131444 Bytes 27.01.2012 04:50:33
AESBX.DLL : 8.2.5.5 606579 Bytes 12.03.2012 15:30:41
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 22:16:06
AEPACK.DLL : 8.2.16.12 807287 Bytes 04.05.2012 18:01:10
AEOFFICE.DLL : 8.1.2.28 201082 Bytes 26.04.2012 20:22:13
AEHEUR.DLL : 8.1.4.23 4702582 Bytes 04.05.2012 18:01:10
AEHELP.DLL : 8.1.20.0 254326 Bytes 26.04.2012 20:22:10
AEGEN.DLL : 8.1.5.28 422260 Bytes 26.04.2012 20:21:59
AEEXP.DLL : 8.1.0.35 82291 Bytes 04.05.2012 18:01:10
AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 22:46:01
AECORE.DLL : 8.1.25.6 201078 Bytes 15.03.2012 21:14:07
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 22:46:01
AVWINLL.DLL : 12.1.0.17 27344 Bytes 11.10.2011 13:52:28
AVPREF.DLL : 12.1.0.17 51920 Bytes 11.10.2011 13:52:27
AVREP.DLL : 12.1.0.17 179920 Bytes 11.10.2011 13:52:27
AVARKT.DLL : 12.1.0.23 209360 Bytes 15.02.2012 17:06:46
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 11.10.2011 13:52:25
SQLITE3.DLL : 3.7.0.0 398288 Bytes 11.10.2011 13:52:42
AVSMTP.DLL : 12.1.0.17 63440 Bytes 11.10.2011 13:52:28
NETNT.DLL : 12.1.0.17 17104 Bytes 11.10.2011 13:52:37
RCIMAGE.DLL : 12.1.0.17 4819664 Bytes 11.10.2011 13:52:52
RCTEXT.DLL : 12.1.0.16 98512 Bytes 11.10.2011 13:52:52

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: quarantäne
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, E:, F:, G:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Montag, 7. Mai 2012 17:43

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'G:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '84' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPZipm12.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'oodag.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMSAccessU.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'avfwsvc.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'ccc.exe' - '179' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '163' Modul(e) wurden durchsucht
Durchsuche Prozess 'SbieSvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1039' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <WINXP>
Beginne mit der Suche in 'E:\' <DATEN>
Beginne mit der Suche in 'F:\' <FLUGSIMULATOR>
Beginne mit der Suche in 'G:\' <ABLAGE>


Ende des Suchlaufs: Montag, 7. Mai 2012 18:53
Benötigte Zeit: 1:10:10 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

19523 Verzeichnisse wurden überprüft
736244 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
736244 Dateien ohne Befall
2160 Archive wurden durchsucht
0 Warnungen
0 Hinweise
371156 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Harald

alles Bestens !

Rajo

Dann bleibt mir nur ein großes Dankeschön! zu sagen und einen schönen Abend zu wünschen; ich kann mich jetzt beruhigt hinters Steuer meiner DC-6 klemmen und die Landung in Almaty vollenden.

Ein kräftiges "Horrido!" aus Dresden

Harald

Captain Harald

Full flaps und schön die Nase hoch -
dann klatschen sie in der Kabine

AL
Rajo