Zitat:

Zitat von deeprybka

Das ist sicher nicht Standard aber auch nicht malwarebedingt.

Hm ok, aber das Problem habe ich erst seit dem Combofix-Durchlauf

Zitat:

Bzgl. ESET: Wir wissen schon warum wir ESET verwenden und Avira nicht empfehlen.

OK kein Antivir, verstanden Aber ESET ist auch keine Dauerlösung. Ich hatte bisher Norton und McAfee (günstige Studentenversion), aber hingerissen war ich von keinem der beiden.
Was gibts denn sonst noch Schönes?

Hier ersteinmal das Fixlog:

Code: Alles auswählenAufklappen

ATTFilter

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 15-04-2015
Ran by Chibichan at 2015-04-15 12:48:47 Run:1
Running from C:\Users\Chibichan\Desktop
Loaded Profiles: Chibichan (Available profiles: Chibichan & Arbeit & Administrator)
Boot Mode: Normal

==============================================

Content of fixlist:
*****************
CloseProcesses:
HKU\S-1-5-18\...\RunOnce: [SpUninstallDeleteDir] => rmdir /s /q "\SearchProtect"
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-1675562717-242507097-1823633445-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
Toolbar: HKU\S-1-5-21-1675562717-242507097-1823633445-1002-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0 -> No Name - {91DA5E8A-3318-4F8C-B67E-5964DE3AB546} -  No File
Toolbar: HKU\S-1-5-21-1675562717-242507097-1823633445-1002-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
Toolbar: HKU\S-1-5-21-1675562717-242507097-1823633445-1002-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0 -> No Name - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} -  No File
C:\Users\Chibichan\AppData\Local\7a5f2920
AlternateDataStreams: C:\ProgramData\Temp:4CF61E54
AlternateDataStreams: C:\ProgramData\Temp:5C5A503E
AlternateDataStreams: C:\ProgramData\Temp:A42A9F39
         
*****************

Processes closed successfully.
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SpUninstallDeleteDir => value deleted successfully.
"HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer" => Key deleted successfully.
"HKU\S-1-5-21-1675562717-242507097-1823633445-1000\SOFTWARE\Policies\Microsoft\Internet Explorer" => Key deleted successfully.
HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => value deleted successfully.
HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => value deleted successfully.
HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => value deleted successfully.
HKU\S-1-5-21-1675562717-242507097-1823633445-1002-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\Toolbar: HKU\S-1-5-21-1675562717-242507097-1823633445-1002-{{91DA5E8A-3318-4F8C-B67E-5964DE3AB546} => Value not found.
HKCR\CLSID\Toolbar: HKU\S-1-5-21-1675562717-242507097-1823633445-1002-{{91DA5E8A-3318-4F8C-B67E-5964DE3AB546} => Key not found. 
HKU\S-1-5-21-1675562717-242507097-1823633445-1002-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\Toolbar: HKU\S-1-5-21-1675562717-242507097-1823633445-1002-{{2318C2B1-4965-11D4-9B18-009027A5CD4F} => Value not found.
HKCR\CLSID\Toolbar: HKU\S-1-5-21-1675562717-242507097-1823633445-1002-{{2318C2B1-4965-11D4-9B18-009027A5CD4F} => Key not found. 
HKU\S-1-5-21-1675562717-242507097-1823633445-1002-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\Toolbar: HKU\S-1-5-21-1675562717-242507097-1823633445-1002-{{C55BBCD6-41AD-48AD-9953-3609C48EACC7} => Value not found.
HKCR\CLSID\Toolbar: HKU\S-1-5-21-1675562717-242507097-1823633445-1002-{{C55BBCD6-41AD-48AD-9953-3609C48EACC7} => Key not found. 
C:\Users\Chibichan\AppData\Local\7a5f2920 => Moved successfully.
C:\ProgramData\Temp => ":4CF61E54" ADS removed successfully.
C:\ProgramData\Temp => ":5C5A503E" ADS removed successfully.
C:\ProgramData\Temp => ":A42A9F39" ADS removed successfully.


The system needed a reboot. 

==== End of Fixlog 12:48:54 ====
         

Malwarebedingte Probleme gibt es, denke ich, keine mehr. (oder hätte ich lieber den -> nehmen sollen? xD)

Ich wollte mich um die manuelle Software Restriction Policy kümmern, so dass mir Sachen wie TL nicht so gefährlich werden können. Ich bin ja nun nicht der Typ der wahllos fremde emails öffnet, aber man weiß ja nie was man in geistiger Umnachtung manchmal verbockt.^^
Wenn ich damit Probleme habe, kann ich mich hier nochmal melden?

Wenn erlaubt, eine kleine Anmerkung zu dem deutschen Artikel : Könnte da vll. noch einmal jemand drüber lesen? Dieser ist an einigen Stellen schwer zu verstehen (der engl. ist verständlicher und enthällt nicht so viele Vertippser) und ist nicht ganz identisch mit diesem. Letzteres kann ja auch gewollt sein (vom inhaltlichen Standpunkt kann ich keine Aussage machen nur vom übersetzerischen^^)? Würde ich auch machen, das Korrekturlesen, wenn ihr mögt.
Es sind ja nur kleine Sachen, aber jemanden der keine Ahnung hat und sich nur Wort für Wort langhangel (so wie ich ), fällt halt auch bei kleinen Stolpersteinen auf die Nase.

Zitat:

Zitat von Sakashima

Wenn erlaubt, eine kleine Anmerkung zu dem deutschen Artikel : Könnte da vll. noch einmal jemand drüber lesen? Dieser ist an einigen Stellen schwer zu verstehen (der engl. ist verständlicher und enthällt nicht so viele Vertippser) und ist nicht ganz identisch mit diesem. Letzteres kann ja auch gewollt sein (vom inhaltlichen Standpunkt kann ich keine Aussage machen nur vom übersetzerischen^^)? Würde ich auch machen, das Korrekturlesen, wenn ihr mögt.
Es sind ja nur kleine Sachen, aber jemanden der keine Ahnung hat und sich nur Wort für Wort langhangel (so wie ich ), fällt halt auch bei kleinen Stolpersteinen auf die Nase.

What? Ich nur Bahnhof...
Welchen Artikel?

Na den hier
hxxp://anleitung.trojaner-board.de/torrentlocker-cryptolocker-ransomware-information

Sollte mich das hxxp jetzt stutzig machen, oder ist das nur da um keinen aktiven Link zu erzeugen?

Zitat:

Zitat von Sakashima

OK kein Antivir, verstanden Aber ESET ist auch keine Dauerlösung. Ich hatte bisher Norton und McAfee (günstige Studentenversion), aber hingerissen war ich von keinem der beiden.
Was gibts denn sonst noch Schönes?

Na ESET gibts auch zu kaufen. Ansonsten haben wir ein schönes Angebot:

http://www.trojaner-board.de/166031-...-produkte.html

Bzgl. der Anleitung gebe ich Dir Recht. Ist aber nicht von mir.
Kannst ja aber einen Kommentar dort hinterlassen. Dafür gibts das ja...

Zonealarm würde ich deinstallieren. Bitte auch die installierten Java-Versionen deinstallieren und mit der aktuellen ersetzen. Dann noch Adobe Flash updaten. Nach DelFix ist es ein guter Moment wichtige Online-Passwörter zu ändern.

>>clean<<
Wir haben es geschafft!
Die Logs sehen für mich im Moment sauber aus.

Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...und/oder das Forum mit einer kleinen Spende unterstützen.
Es bleibt mir nur noch, Dir unbeschwertes und sicheres Surfen zu wünschen und dass wir uns hier so bald nicht wiedersehen.

Cleanup:
(Die Reihenfolge ist hier entscheidend)

Falls Defogger verwendet wurde: Erneut starten und auf Re-enable klicken.

Falls Combofix verwendet wurde:
Combofix deinstallieren

• Wichtig: Bitte Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.
  
• Drücke bitte die + R Taste und schreibe Combofix /Uninstall in das Ausführen-Fenster.
• Klicke auf OK.
  Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert.
• Nun die eben deaktivierten Programme wieder aktivieren.

Alle Logs gepostet? Dann lade Dir bitte DelFix herunter.

• Schließe alle offenen Programme.
• Starte die delfix.exe mit einem Doppelklick.
• Setze vor jede Funktion ein Häkchen.
• Klicke auf Start.

Hinweis: DelFix entfernt u.a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
Starte Deinen Rechner abschließend neu. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein, kannst Du diese bedenkenlos löschen.



Absicherung:
Beim Betriebsystem Windows die automatischen Updates aktivieren. Auch die sicherheitsrelevante Software sollte immer nur in der aktuellsten Version vorliegen:

Browser
Java
Flash-Player
PDF-Reader

Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim einfachen Besuch einer manipulierten Website per "Drive-by" Malware zu installieren.
Ich empfehle z.B. die Verwendung von Mozilla Firefox statt des Internet Explorers. Zudem lassen sich mit dem Firefox auch PDF-Dokumente öffnen.

Aktiviere eine Firewall. Die in Windows integrierte genügt im Normalfall völlig.

Verwende ein Antivirusprogramm mit Echtzeitscanner und stets aktueller Signaturendatenbank.

Meine Kauf-Empfehlung:


ESET Smart Security

Zusätzlich kannst Du Deinen PC regelmäßig mit Malwarebytes Anti-Malware scannen.

Optional:
NoScript verhindert das Ausführen von aktiven Inhalten (Java, JavaScript, Flash,...) für sämtliche Websites. Man kann aber nach dem Prinzip einer Whitelist festlegen, auf welchen Seiten Scripts erlaubt werden sollen.
Malwarebytes Anti Exploit: Schützt die Anwendungen des Computers vor der Ausnutzung bekannter Schwachstellen.


Lade Software von einem sauberen Portal wie .
Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen, fürs Programm, irrelevanten Ergänzungen.
Um Adware wieder los zu werden, empfiehlt sich zunächst die Deinstallation sowie die anschließende Resteentfernung mit Adwcleaner .


Abschließend noch ein paar grundsätzliche Bemerkungen:
Ändere regelmäßig Deine wichtigen Online-Passwörter und erstelle regelmäßig Backups Deiner wichtigen Dateien oder des Systems.
Der Nutzen von Registry-Cleanern, Optimizern usw. zur Performancesteigerung ist umstritten. Ich empfehle deshalb, die Finger von der Registry zu lassen und lieber die windowseigene Datenträgerbereinigung zu verwenden.

Hi, gibt es eine Präferenz für das eine oder das andere AV-Programm. Ich frag mich nämlich, ob es sinnvoller ist das emsisoft zu kaufen und den ESET als Onlinescanner und Zweitmeinung bei Bedarf zu belassen, da ich annehme, das beide etwas unterschiedlich scannen. Oder ist das Blödsinn?

Zitat:

Zitat von deeprybka

Zonealarm würde ich deinstallieren. Bitte auch die installierten Java-Versionen deinstallieren und mit der aktuellen ersetzen. Dann noch Adobe Flash updaten. Nach DelFix ist es ein guter Moment wichtige Online-Passwörter zu ändern.

Ok, Zonealarm ist weg. Adobe Flash ist up to date (Wobei ich mich frage, wozu ich überall automatische Updates eingestellt habe, wenn ich das eh jedesmal von Hand machen muß? Und ich hab sogar schon was gelernt! => Ask-toolbar nicht mitinstalliert *proud* ).

Das mit Java ist so eine Sache...
Java hatte von Anfang an Schluckauf. Updates ließen sich nur widerwillig oder gar nicht installieren. Ich wollte das daher komplett loswerden und nochmal ordentlich neuinstallieren. Das ging dann auch promt daneben.
Ich habe deinstalliert, was ich konnte. Aber es ist immer noch ewig viel Zeugs davon da. (Revouninstaler findet neben der Systemsteuerg. aber auch nichts) Bei der Installation vom aktuellen Java, heißt es dann auch, dass Java noch läuft und daher nicht installiert werden kann. Ich kann das zwar "drüberinstallieren", aber so ganz richtig kann das ja auch nicht sein und die restlichen Versionen wären dann eh immer noch da.


Ugh und neue Passwörter. Ich glaube aber, ich bin nicht die einzige Person, die sich damit schwer tut die Dinger in regelmäßigen Abständen zu ändern

Ich werde jetzt dann ersteinmal mit dem restlichen cleanup fortfahren...

Was mache ich, wenn "vbscript für Skript (Pfad) wurde nicht gefunden" beim deinstallieren erscheint?

Zitat:

Zitat von Sakashima

Hi, gibt es eine Präferenz für das eine oder das andere AV-Programm. Ich frag mich nämlich, ob es sinnvoller ist das emsisoft zu kaufen und den ESET als Onlinescanner und Zweitmeinung bei Bedarf zu belassen, da ich annehme, das beide etwas unterschiedlich scannen. Oder ist das Blödsinn?

Nein, das ist sicher nicht blöd.

Wie gesagt, ich empfehle eben meist Emsisoft oder ESET.

Kannst wegen Java mal das probieren:
JavaRa - Download - Filepony

Zitat:

Was mache ich, wenn "vbscript für Skript (Pfad) wurde nicht gefunden" beim deinstallieren erscheint?

Bei was kommt das?

Zitat:

Zitat von deeprybka

Nein, das ist sicher nicht blöd.

Gut, dann mache ich das so.
Bekommt ihr wenigstens Provision fürs Kunden vermitteln? Andernfalls werde ich das angegebene Konto bemühen.

Bezüglich Java: habe ich gemacht, aber Updaten konnte ich die Version nicht. Daher habe ich alles mit JavaRa gelöscht und dann neuinstalliert. Leider habe ich immer noch alte Ordner von Version 6 und 7 mit files von 2012. Soll ich die Ordner einfach in den Papierkorb befördern?

Zitat:

Bei was kommt das?

Beim Deinstallieren von Sachen wie Agenda und irgendwelcher Uralt-Widgets von Opera über die Systemsteuerung.
Bin grade am Updaten von alter Software und Entrümpeln ungenutzter Programme. Danach dann ein Backup (und die Datenträgerbereinigung, aber an die trau ich mich nicht so richtig ran, weil "eine Vielzahl von Systemdateien" dabei gelöscht werden. What? Das klingt jetzt nicht grade unbedenklich. Ist bestimmt kein Drama, wenn ich das nicht mache, oder?).

Ich habe auf der Uni Jena Seite (https://www.uni-jena.de/iuksicherheit/-p-1910.html) zum fehlendem vbscript gelesen: "In der Registry wurde dieser Schlüssel [...]von einem Antivirensystem modifiziert" Danach folgt eine kleine Anleitung zur Problembehebung. Aber ich möchte nur sehr ungern an der Registry rumpfuschen, vor allem wenn ich nicht genau weiß was ich da tue.

Bevor ich jetzt Delfix starte, nur zur Absicherung: Ich kann das bedenkenlos machen, ja? Das mit den Wiederherstellgspkt.en etc. verunsichert mich ein bißchen. Ich hab die grade liebgewonnen