Virus auf Vista

Abend, ich hab mir mal wieder was eingefangen. Habe Fujitsu Siemens PC mit windows vista.
Kurz zu mir: ich spiel auf meinem Rechner Poker um Echtgeld und bin auf absolute Sicherheit angewiesen.
Beim heutigen update mit antivir wurde ein unerwünschtes Programm entdeckt, und zwar in Verbindung mit einer Pokerseite.
Antivir hat das ganze jetzt in Quarantäne geschoben. Kann der Trojaner in Quarantäne irgendeinen Schaden anrichten? Ich möchte meinen Rechner ungern neu formatieren. Oder das Objekt komplett löschen?
Möglich, dass es sich nur um einen "Fehl-Alarm" handelt (antivir erkennt Objekt als malware).
Passwörter ändern empfohlen?


Hier die Reportdatei:


AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Freitag, 28. März 2008 20:08

Es wird nach 1169688 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows Vista
Windowsversion: (plain) [6.0.6000]
Benutzername: SYSTEM
Computername: PRIVAT-PC

Versionsinformationen:
BUILD.DAT : 270 15603 Bytes 19.09.2007 13:29:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 07.09.2007 11:29:12
AVSCAN.DLL : 7.0.6.0 57384 Bytes 07.09.2007 11:29:12
LUKE.DLL : 7.0.5.3 147496 Bytes 07.09.2007 11:29:12
LUKERES.DLL : 7.0.6.0 10792 Bytes 07.09.2007 11:29:12
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 20:58:29
ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07.03.2008 17:06:47
ANTIVIR2.VDF : 7.0.3.85 434176 Bytes 27.03.2008 19:08:22
ANTIVIR3.VDF : 7.0.3.92 20480 Bytes 28.03.2008 19:08:22
AVEWIN32.DLL : 7.6.0.78 3408384 Bytes 28.03.2008 19:08:22
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 09:36:23
AVPREF.DLL : 7.0.2.2 25640 Bytes 07.09.2007 11:29:12
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 12:16:24
AVPACK32.DLL : 7.6.0.3 360488 Bytes 16.01.2008 21:53:22
AVREG.DLL : 7.0.1.6 30760 Bytes 07.09.2007 11:29:12
AVARKT.DLL : 1.0.0.20 278568 Bytes 07.09.2007 11:29:12
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 07.09.2007 11:29:12
NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 10:09:03
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07.09.2007 11:29:08
RCTEXT.DLL : 7.0.62.0 90152 Bytes 07.09.2007 11:29:08
SQLITE3.DLL : 3.3.17.1 339968 Bytes 07.09.2007 11:29:12

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\program files\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: D:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Freitag, 28. März 2008 20:08

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WmiPrvSE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ieuser.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqste08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SDWinSec.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqtra08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuSchd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '50' Prozesse mit '50' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '5' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Program Files\Full Tilt Poker\updater.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.CFI.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4851430b.qua' verschoben!
Beginne mit der Suche in 'D:\'


Ende des Suchlaufs: Freitag, 28. März 2008 20:31
Benötigte Zeit: 22:47 min

Der Suchlauf wurde vollständig durchgeführt.

11574 Verzeichnisse wurden überprüft
126944 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
126943 Dateien ohne Befall
1163 Archive wurden durchsucht
2 Warnungen
4 Hinweise

 

Hallo,
ja, Passwort ändern solltest du öfters machen!

Du kannst Antivir so einstellen:
http://board.protecus.de/t23979.htm
Um maximale Sicherheit zu erlangen.
Kann allerdings auch zu Fehl Alarm führen.

Du kannst mal HJT durchlaufen lassen und damit probieren, die Datei zu fixen
http://www.pcwelt.de/forum/sicherhe...r-rootkits/134046-posten-hijackthis-logs.html

Erste Hilfe bei Schädlingsbefall:
http://www.pcwelt.de/forum/sicherhe...erste-schritte-sch-dlingsbefall-verdacht.html

Und wenn du viel mit Geld im Internet machst, solltest du auch das mal lesen:
http://www.pcwelt.de/forum/sicherhe...-zusammenstellung-mache-meinen-pc-sicher.html

Der Virus kann in Quarantäne normal keinen Schaden anrichten. Du solltest aber dafür Sorgen, dass er auch dort bleibt. Löschen wäre besser.

Spielst du Pokern über einen Browser oder hast du das installiert?
Falls über einen Browser, erstell dir ein Profil, mit dem du NUR pokerst und sonst auf keine Seite gehst. Am besten noch um Erlaubnis für die Cookies fragen lassen.

Falls der Virus nicht weggeht, brenne dir dieses ISO auf eine CD und boote dann damit.
http://dl.antivir.de/down/vdf/rescuecd/rescuecd.exe
Alternativ könntest du dir auch die UBCD besorgen.
Ich würde den Virus sicherheitshalber Löschen, an staat in Quarantäne zu lassen.

 

Um das ganze zu konkretisieren:
meine größte Sorge sind die Pokeraccounts. Also nach dem Schema: Betrüger liest login und Passwort aus und spielt dann das Geld einfach weg (womöglich chipdumping zu einem Freund, der dann auscashed).

Ist dies mit diesem komischen Programm (scheint ja relativ ungefährlich) prinzipiell möglich (also das Auslesen von privaten Informationen)?

Hab noch eine Frage: Klicke sehr gerne das Kontrollkästchen "Passwort speichern" (so dass man nicht jedes Mal das Passwort eingeben muss), auch bei e-mail-accounts. Ist dies grundsätzlich gefährlicher, als das Passwort jedes Mal manuell einzugeben?

Ich bin einfach ein ziemlicher PC-Noob, bin schon wieder kurz davor, alles plattzumachen, weil es einfach um zu viel geht.

 

Warnung vor TR/Crypt.CFI.Gen

Virenticker vom 11.04.2007, 15:11 Uhr
http://www.pcwelt.de/start/sicherheit/virenticker/news/76889/index.html

 

Hallo,

seit dem FT-Update gestern (28.03) habe ich von Antivir auch die Meldung bekommen.
In der Datei 'C:\Program Files\Full Tilt Poker\Updater.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.CFI.Gen' [TR/Crypt.CFI.Gen] gefunden.
Ausgeführte Aktion: Datei löschen

Datei gelöscht, ging natürlich FT nich mehr. Deinstalliert -> neuer download von FT und installation. Gestern dann problemlos weitergespielt.
Heute (wahrscheinlich bei der nächsten überpprüfung auf neue updates) wieder die Meldung...
Da ich sehr vorsichtig mit fremden emails bin und schon gar nicht irgendwelche dateianhänge öffne und mich nicht auf dubiosen Seiten rumtreibe, gehe ich jetzt mal davon aus, dass das ein Feh****rm von AntiVir ist. Das wäre schon ein sehr großer Zufall, wenn der bei uns beiden genau die Updater.exe befällt... also ich mach mir erstmal keine großen Sorgen.

gruß

edit: hätt man ja auch gleich mal drauf kommen können da zu suchen:
http://pokerforums.fulltiltpoker.com/online-poker-play50588-0-asc-0.html

 

Ok, danke barney für dein posting, dann brauch ich nicht formatieren.


Hatte mit Everest Poker bereits Probleme gehabt, da spybot search and destroy das als schädliche software einstuft.

Ich war mir unsicher, ob ich in einem Pokerforum mein Problem schildern sollte, aber da gibts meistens nur wenige gute Antworten sondern hauptsächlich Besserwisser und Arschgeigen.

Habe auch gleich eine mail an Full Tilt geschrieben und mittlerweile eine Antwort erhalten, wie sie im Forum gepostet wurde. Wollen wir hoffen, dass Full Tilt nicht doch die ganz große Verschwörung im Schilde führt.


Man kann nie vorsichtig genug sein, was man da teilweise von gehackten accounts hört, da vergeht einem die Freude.