Nicht entfernbares "Schädliches Objekt gefunden" unter XP Pro

  • Hallo zusammen,


    auf meinem Rechner läuft (noch) Win XP pro. Seit ein paar Tagen meldet mir das installierte Comodo Internet Security:


    1 schädliches Objekt gefunden. Angeboten wird: säubern - aber irgendwie kommt die Meldung (wie nachstehend) am nächsten Tag wieder.


    Application.Win32.Install.Core.JF@314826035
    Ort: C:\System Volume Information\restore {A0


    Kann jemand einschätzen ob das Objekt gefährlich ist?


    Und: hat jemand einen Rat wie ich das blöde Ding los werde. Alle möglichen Suchen finden nichts. Z.B. Rootkit-Scan mit aktuellem S&D - weder beim Schnell- noch beim Tiefenscan. Auch beim Malware-System-Scan kein Ergebnis. Jeweils 0 Probleme.


    Auch mein Virenscanner ist aktiv und aktuell.


    Bin für jede zielführende Antwort dankbar.


    Gruß terry9000

  • Hallo Terry,
    hier bist du nicht an der richtigen Stelle, um effektiv Hilfe zu bekommen. Ich verschiebe dich ins Virenforum.

    Internetter Gruß
    Günther ...Oldie But Even Goldie....
    Komm an den Bodensee und fühle Dich unter netten Leuten wohl!

  • Hallo terry9000,


    das gefundene Objekt befindet sich in der Systemwiederherstellung. Die gemachten Angaben reichen nicht aus, um zu beurteilen, ob der Fund als gefährlich eingestuft werden muss. S&D ist meines Wissens nach nicht als Rootkit-Scanner geeignet. Ich schlage vor, dass wir der Sache wie folgt auf den Grund gehen:


    ===== Punkt 1 =====


    Rootkit-Suche mit Gmer


    Was sind Rootkits?


    Wichtig:

    • Deinstalliere über Systemsteuerung => Software/Programme vorhandene CD-Emulatoren wie Alcohol, Daemon-Tools oder ähnliche, da sie das Ergebnis verfälschen können.



    • Alle Programme gegen Viren, Spyware, usw. müssen während des Scans deaktiviert sein.
    • Alle anderen Programme sollen geschlossen sein.
    • Während des Scans nichts am Rechner machen.
    • Nach jedem Scan muss der Rechner neu gestartet werden.



    • Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!


    Lade Dir Gmer von dieser Seite herunter
    (auf den Button Download EXE drücken) und speichere das Programm auf dem Desktop.


    • Gmer ist geeignet für => NT/W2K/XP/VISTA/7/8


    • Starte gmer.exe (hat einen willkürlichen Programm-Namen).
    • Vista-User mit Rechtsklick und als Administrator starten.


      [Blockierte Grafik: http://forum.botfrei.de/petra/gmer_kl_2013.jpg]


    • Gmer beendet aktive Internet-Verbindungen. Lasse das zu.


    • Gmer startet automatisch einen ersten Scan.
    • Sollte sich ein Fenster mit folgender Warnung öffnen:


      Code
      WARNING !!!
      GMER has found system modification, which might have been caused by ROOTKIT activity.
      Do you want to fully scan your system?


    • Unbedingt auf "No" klicken und nichts löschen!
      Über den Save-Button das bisherige Resultat als gmer.txt auf dem Desktop speichern.



    • Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
    • Entferne den Haken bei:

      • Show all
      • Quickscan.
      • Mache stattdessen einen Haken bei Deiner Bootpartition (meistens C:\).


      • Mache einen Rechtsklick im weißen Feld unter Rootkit/Malware und wählen Options.
        Hake dort an: IRP hooks - IRP files scan - File version info



    • Starte den Scan durch Drücken des Buttons "Scan".
    • Wenn der Scan fertig ist klicke auf "Save" und speichere den Bericht gmer1.txt auf dem Desktop.
      Mit "Ok" wird Gmer beendet.


    Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!


    Lade bitte das/die Log/s bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste den/die Downloadlink/s hier im Forum.





    ===== Punkt 2 =====


    Suchlauf mit Farbar Recovery Scan Tool im Normal-Modus


    Lade Farbar Recovery Scan Tool herunter und speichere das Programm auf dem Desktop.
    User mit 64-Bit-Systemen laden bitte diese x64-Version herunter.


    • Starte die FRST.exe respketive die FRST64.exe per Doppelklick -
      Vista- und Win7-Benutzer starten per Rechtsklick als Administrator.
    • Hake an:
      Registry
      Services
      Drivers
      Processes
      KnownDLLs
      Internet
      Addition.txt


    • Akzeptiere den Disclaimer mit Yes und klicke Scan


    Das Tool erstellt zwei Berichte namens FRST.txt sowie Addition.txt im gleichen Pfad, in welchem sich die FRST.exe befindet.
    Lade bitte das/die Log/s bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste den/die Downloadlink/s hier im Forum.


    Hinweis: FRST wird aktuell häufig aktualisiert, daher bitte bei einem Hinweis auf eine neue Version die alte löschen und die aktuellste FRST.exe benutzen.

  • Hallo Petra,


    danke für Deine ausführliche Hilfestellung. Die neueste Version von S&D enthält diverse zusätzliche Werkzeuge. Darunter auch einen Rootkit-Scan. Ob dieser natürlich verbindliche Ergebnisse liefert weiß ich nicht.
    Denke - ich werde mal Deinen Ausführungen folgen. Und dann hier berichten. Bin eigentlich gerade am umstellen auf WIN 7 Pro. Möchte aber so ein schädliches Objekt vorher entfernen.


    Vielen Dank.


    Gruß terry9000

  • Hallo terry9000,


    Zitat

    danke für Deine ausführliche Hilfestellung. Die neueste Version von S&D enthält diverse zusätzliche Werkzeuge. Darunter auch einen Rootkit-Scan. Ob dieser natürlich verbindliche Ergebnisse liefert weiß ich nicht.


    ah, stimmt. Habe mich offensichtlich zu lange nicht mehr mit S&D beschäftigt, da gibt es einige neue Sachen. Ich wusste z. B. auch nicht, dass die Pro-Version jetzt sogar eine Antivirus-Engine enthält.


    Wie dem auch sei, da ich nicht beurteilen kann, wie gut der Rootkit-Scan von S&D arbeitet, vertraue ich ich zunächst mal lieber auf Gmer. Von daher wäre es gut, wenn Du meine Anleitung ababeitest und mir die nötigen Logfiles bei File-Upload.net hochlädst :)

  • Hallo Petra,


    danke für Deine Nachricht. Habe im Moment einfach zu viele "Baustellen" -auch außerhalb der Computerei - abzuarbeiten. Speziell der Umzug meiner Daten auf einen neuen WIN 7 Rechner macht mehr Probleme als gedacht. Viele ältere Programme wollem noch nicht so, wie ich das gerne hätte. Aber ich arbeite daran.


    Denke auch darüber nach, die betreffende (unter XP-laufende) Festplatte einfach zu ersetzen und mit einer neuen WIN 7 Version auszustatten, dann wäre ich das leidige Problem auch so los.


    Melde mich nochmal.
    Gruß terry9000

  • Hallo Petra, sorry, dass ich mich nicht mehr gemeldet habe. Grund war der, dass ich mein XP runtergeschmissen habe und all meinen 3 Rechnern WIN7 Professional spendiert habe.
    Hatte durch den ganzen Daten-Umzugsstress diesen post schlicht vergessen.


    Gelobe Besserung. Tut mir leid.


    Gruß terry9000

  • Hallo Terry,
    es ist wenigstens schön, dass du eine Rückmeldung parat hattest und dich entschuldigst! :top:
    Denke aber in Zukunft daran, dass hier alle Leute kostenlos ihre Zeit spenden und nicht so einfach "verplempern" möchten. Eine kurze Mitteilung bei Verhinderung dürfte dir zukünftig wohl nicht schwer fallen und klärt dann alles. ;)

    Internetter Gruß
    Günther ...Oldie But Even Goldie....
    Komm an den Bodensee und fühle Dich unter netten Leuten wohl!

  • Falls jemand mit dem gleichen Ursprungsproblem hier hereinschaut:

    Es ist normal, dass ein Virenscanner die Schadsoftware in den Wiederherstellungspunkten nicht entfernen kann.
    Wenn also Schadcode im Ordner C:\System Volume Information\restore ... gefunden wird, kann man die Systemwiederherstellung (für alle oder das betroffene Laufwerk) deaktivieren, den Rechner neu starten und danach die Systemwiederherstellung wieder aktivieren. So werden alle Wiederherstellungspunkte und auch der darin enthaltene Schadcode gelöscht...

    Nicht verzagen. Kato fragen!
    Wo geholfen wird, da fallen Späne...

  • Hallo terry9000,


    vielen Dank für Deine Rückmeldung :)


    Mir bleibt dann nur noch, Dir einige generelle Tipps zur Absicherung mit auf den Weg zu geben:



    Absicherung des Rechners


    Dann mache zur Sicherheit noch einen Komplettscan mit aktualisierten Virendefinitionen mit Deinem Antivirus-Programm. Falls noch Funde gemacht werden, sage mir Bescheid, welche und wo. Ansonsten können wir hier mit einigen Tipps zur Absicherung schließen und ich mache den Thread in ein paar Tagen zu :)


    In jedem Fall ist es nach einer Infektion ratsam alle Passwörter zu ändern. Einen 100%-igen Schutz gibt es nicht, aber wenn einige grundsätzliche Regeln beachtet werden, hält sich die Gefahr einer erneuten Infektion in Grenzen.


    • Betriebssystem und Software immer auf dem aktuellsten Stand halten.
    • Programme wenn möglich "benutzerdefiniert" installieren und Toolbars und Sponsoren abwählen.
    • Internet Explorer sicher konfigurieren, siehe auch hier.
    • Nur Original-Software nutzen und auf Programme aus dubiosen Quellen konsequent verzichten.
    • Programme, die Du nicht mehr nutzt, über Systemsteuerung => Software/Programme entfernen/deinstallieren.
    • Nicht alles anklicken, wo klickmich draufsteht!
    • Gesunden Menschenverstand und Vorsicht walten lassen,
    • insbesondere bei Dateien, die Du Dir auf den PC holst, also E-Mails, Downloads etc.,
    • am besten auf Filesharing über P2P-Programme ganz verzichten.
      Warum ist Filesharing gefährlich?
    • Router durch Vergabe eines Kennwortes vor Änderungen von außen schützen.
    • Nicht benötigte Dienste und Programme gar nicht erst starten.
      Bezüglich der Dienste ist es allerdings nötig, sich damit ausführlich zu beschäftigen, ansonsten die Dienste lieber lassen, wie sie sind.
    • Nicht benötigte "Ports" (am eventuell vorhandenen DSL-Router), Freigaben u. ä. schließen.
    • Port-Check.
    • DNS-Einstellungen online bei dns-changer.eu prüfen.
    • WLAN absichern.
    • Sichere Passwörter vergeben und nicht auf dem Computer speichern.
    • Nicht mehr als einen Virenscanner mit Hintergrundwächter installieren.
    • Nicht mehr als ein Antispyware-Programm mit Hintergrundwächter ständig laufen lassen.
    • Das System hin und wieder zusätzlich mit einem dieser kostenlosen Online Scanner überprüfen.
    • Datensicherung nicht vergessen!
      Wichtige Dokumente und Dateien (z. B. Fotos) auf externen Medien sichern.
      Immer eine saubere Datensicherung als zurückspielbares Image (z. B. mit Acronis True Image erstellen) auf Lager haben.
    • Poste im Internet nur Angaben und Fotos, die problemlos am nächsten Tag in der Zeitung stehen dürften,
      das gilt auch für sog. geschützte Räume in Online-Netzwerken.


    Java nur bei Bedarf aktivieren


    Wer Java nicht deinstallieren kann, weil er es z. B. für Bankgeschäfte oder Elster zwingend benötigt, kann sich helfen, indem er Java generell deaktiviert und es nur Bedarf aktiviert. Das funktioniert bei allen Browsern problemlos. Nur der beim Internet-Explorer ist dies nicht ohne Weiteres möglich, daher diesen besser aktuell nicht nutzen. Hier die nötigen Schritte für die anderen Browser:


    Java deaktivieren - Anleitungen für: Firefox - Chrome - Safari - Opera.




    Lesenswerte Blogeinträge zum Thema Absicherung


    Malware entfernt? Was nun?
    Wie mache ich mein Windows sicher?
    Wie kann ich mein System in Zukunft von Malware frei halten?
    Vorsicht bei Streaming-Diensten: Malware-Zwischenfälle auf movie2k.to und kinox.to!
    Wie kann ich prüfen, ob meine Software aktuell ist?
    Datensicherung
    Browser- und Plugincheck
    DNS manipuliert?
    Phishing und Malwareseiten melden

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!