Hi Jazzer!

Vielen Dank für die Reinigung
Ich freue mich sehr, dass ich das System nicht neu aufsetzen muß!

Ein Hinweis:
Auch diesmal ist ein Programm (TFC) bei "stopping Processes ..." hängen geblieben.
Offensichtlich verträgt sich das Beenden der Prozesse nicht mit MBAM (bzw. MBAM lässt sich nicht terminieren). Jedenfalls funktionierte TFC sofort nach Deinstallation von MBAM einwandfrei (war ein Hinweis aus dem Netz ...). Wahrscheinlich war MBAM der Grund, warum der OTL-Fix ebenfalls nicht über diesen Punkt hinaus kam.

Fragen:
1) Kannst Du sagen welche Art(en) von Befall das war?
2) Kannst Du sagen über welchen Infektionsweg (Surfen/installiertes Programm) das Teil wahrscheinlich auf den Rechner kam?
3) Gibt es empfehlenswerte Tools, die man über MBAM hinaus zum regelmäßigen Scannen des Systems benutzen kann? Gibt es Tools dafür, die von einer Boot-CD (also nicht als Prozess auf dem zu prüfenden Betriebssystem) arbeiten?

Prosa:
Ich bin über den Befall schon etwas überrascht/verärgert/enttäuscht:
- gerade auf diesem Rechner sind die Nutzer-Accounts eingeschränkt (was allerdings wiederum das Aktualisieren vieler Softwarepakete erschwert)
- Windows/Flash/Java/Firefox/Thinderbird/iTunes/Quicktime/uswusf-Updates werden eigentlich immer zeitnah eingespielt (und das nervt auf die Dauer echt, man kommt fast nicht mehr zum Arbeiten )
- die Don'ts werden hier seit eh und jeh beherzigt
- gesurft wurde mit dem FireFox
- es werden keine "suspekten" Seiten angesurft. Alles nur Seiten vom Schlage Heise / ARD / berlin.de / Amazon / Arcor / etc.

Und trotz allem hat es sie erwischt (gehe fast von der JAVA-Lücke in Verbindung mit manipulierter "Werbe"-Einblendung aus).
Aber wenn diese Grundregeln nicht mehr reichen, dann hat doch Ottonormaluser echt keine Chance mehr dem zu entgehen.
Wir hatten ("natürlich") nicht alle Unterpunkte aus Punkt 5 umgesetzt (z.B. die Bereiche "Zusätzlicher Schutz", "sicheres Browsen", NoScript und AdBlock).
Die Konsequenz ist also (u.a.), alle aktiven Inhalte (Flash, Java, JS, Silverlight ...) abzuschalten in der Hoffnung, dass reines HTML heutzutage keine üblen Lücken mehr aufweist. Traurig das Ganze.

Wie sieht denn die Virenlage eigentlich in Bezug auf virtuelle Maschinen aus?
D.h. wie sieht denn die Verbreitung von Viren, die aus so einer VM ausbrechen können, derzeit aus? Könnte das Surfen in einer VM eine Alternative sein?

Vielen Dank nochmal!

Viele Grüße
- Matze -

Hi Matze

Zitat:

Auch diesmal ist ein Programm (TFC) bei "stopping Processes ..." hängen geblieben.
Offensichtlich verträgt sich das Beenden der Prozesse nicht mit MBAM (bzw. MBAM lässt sich nicht terminieren). Jedenfalls funktionierte TFC sofort nach Deinstallation von MBAM einwandfrei (war ein Hinweis aus dem Netz ...). Wahrscheinlich war MBAM der Grund, warum der OTL-Fix ebenfalls nicht über diesen Punkt hinaus kam.

Du hast die 30-Tage-Testversion von MBAM im Hintergrund mitlaufen. Diese installiert den Echtzeitschutz der Vollversion für 30 Tage. Seit dem letzten großen Update verfügt MBAM über einen verbesserten Selbstschutz, der wahrscheinlich dann auch verhindert hat, das OTL bzw. TFC den Echtzeitschutz beenden konnten. Du hättest den Echtzeitschutz von Hand vor dem Start von OTL/TFC deaktivieren müssen

Zitat:

1) Kannst Du sagen welche Art(en) von Befall das war?

Du hattest ein sogenanntes Rootkit auf deinem PC.

Zitat:

2) Kannst Du sagen über welchen Infektionsweg (Surfen/installiertes Programm) das Teil wahrscheinlich auf den Rechner kam?

Ich tippe auf ein Java-Exploit, da deine Java-Version schon etwas älter war und im Moment javabasierte Angriffe auf dem Vormarsch sind. Wie du dich wirksam dagegen schützt steht hier: http://www.trojaner-board.de/122961-...tml#post902538

Zitat:

3) Gibt es empfehlenswerte Tools, die man über MBAM hinaus zum regelmäßigen Scannen des Systems benutzen kann? Gibt es Tools dafür, die von einer Boot-CD (also nicht als Prozess auf dem zu prüfenden Betriebssystem) arbeiten?

Empfehlenswert zur Überprüfung des Systems sind Online-Scanner. Du kannst den geposteten Eset-Online Scanner verwenden, er hat eine sehr hohe Erkennungsrate und unterstützt den Firefox.
Andere empfehlenswerte Online-Scanner sind z.B.:

• Bitdefender-Online-Scanner
• Trendmicro Housecall
• Emsisoft Web-Malwarescanner (nur IE)
• Panda Active-Scan 2.0 (nur IE)

Als Boot-CDs kannst du z.B. das Avira-Rescue-System oder die Kaspersky-Rescue-Disk zum Scannen nehmen. Ich würde dir aber raten, bei den Online-Scannern zu bleiben, da die Boot-CDs dein System durch das Löschen von möglicherweise infizierten Systemdateien unbootbar machen können.

Zitat:

Prosa:
Ich bin über den Befall schon etwas überrascht/verärgert/enttäuscht:
- gerade auf diesem Rechner sind die Nutzer-Accounts eingeschränkt (was allerdings wiederum das Aktualisieren vieler Softwarepakete erschwert)
- Windows/Flash/Java/Firefox/Thinderbird/iTunes/Quicktime/uswusf-Updates werden eigentlich immer zeitnah eingespielt (und das nervt auf die Dauer echt, man kommt fast nicht mehr zum Arbeiten )
- die Don'ts werden hier seit eh und jeh beherzigt
- gesurft wurde mit dem FireFox
- es werden keine "suspekten" Seiten angesurft. Alles nur Seiten vom Schlage Heise / ARD / berlin.de / Amazon / Arcor / etc.

Zitat:

Wie sieht denn die Virenlage eigentlich in Bezug auf virtuelle Maschinen aus?
D.h. wie sieht denn die Verbreitung von Viren, die aus so einer VM ausbrechen können, derzeit aus? Könnte das Surfen in einer VM eine Alternative sein?

Dass Malware aus einer VM ausbricht, ist sehr unwahrscheinlich (und für die Programmierer auch nicht rentabel). Das Surfen in einer VM ist eine sehr sichere Alternative, es gibt sogar schon Projekte im Auftrag des BSI: BitBox Mit BitBox surfst du in einem Browser, der sich in einer VM befindet, die wiederum in einem extra Benutzerkonto angelegt ist.
Eine weniger komplizierte Alternative, die ich aber selbst benutze, weil ich sie für fast ebenso sicher halte, ist Sandboxie. Nach der Installation kannst du dann deinen Browser (oder jede andere Anwendung) in einer Sandbox, also einer vom sonstigen System abgeschotteten Laufumgebung ausführen, ohne dass dein System direkt betroffen wäre. In den Einstellungen kannst du z.B. auch festlegen, dass die Sandbox nach jeder Benutzung komplett geleert wird, etwaige Schädlinge haben also (theoretisch) keine Überlebenschance. Eine ausführliche Anleitung mit Konfigurationsempfehlungen findest du hier: Sandboxie Konfiguration

Bitte melde dich nochmal, falls du keine Fragen mehr hast

Hi Jazzer!

> ... da deine Java-Version schon etwas älter war ...
der Gag ist, das Java ja eigentlich regelmäßig selbst nach Updates sucht ...
und dass mir der Updater als letztes ein 6v35 oder so angeboten hat anstatt mir mal die 7v7 auszuliefern ...

Anyway, Keep Jazzing!

Danke für Deine Hilfe und die vielen Antworten!

Viele Grüße
- Matze -

Froh dass wir helfen konnten

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen.