Hallöchen zusammen *wave*

Ich habe mir gestern scheinbar einen ungebetenen Gast auf meinen Rechner eingeladen. Er äußerte sich indem er in regelmäßigen Abständen einen Internetexplorer bei mir öffnete, und das obwohl ich standardmaßig Firefox verwende.

Ich habe dann AVIRA einmal durchlaufen lassen wobei ein TR....dropper gefunden wurde. Ich konnte diesen allerdings nicht entfernen da sich vorher AVIRA mit der Meldung:

"On-Demand Scanner funktioniert nicht mehr"

verabschiedet hat. Ich habe dann AVIRA deinstalliert, Registry gesäubert, Rechner neu gestartet und Kaspersky installiert.

Kaspersky hat dann im folgenden Suchlauf insgesamt 4 TR-Dropper-"irgendwas" und eine Malware "Tnx.exe*32 (ich meine mich erinnern zu können das in der Meldung darüber auch das Wort "Daniels" vorkam), gefunden. Ich habe dann mein System säubern lassen und scheinbar ist nun auch alles wieder in Ordnung, zumindest startet der Inetexplorer nicht mehr.

Nun habe ich aber eben einmal den Taskmanager gestartet, und siehe da, bei meinen Prozessen taucht diese Tnx.exe*32 mit der Bezeichnung "Daniels" auf.

Ich habe nun einmal Google bemüht, finde aber nicht einen einzigen Hinweis auf diese Tnx.exe*32, was mich sehr beunruhigt.

Ich habe gerade einmal das Hijack-Logfile online auswerten lassen, dort wurde der Eintrag:

C:\Users\Armatax\AppData\Local\Temp\Tnx.exe

mit einem Fragezeichen bewertet.


Kann mir hier vielleicht jemand einen Tipp geben wie ich damit jetzt weiter verfahren soll?

Vielen Dank schon mal für`s Anschauen,

so long,

Armatax

hi, wenn du 2 antivirus programme laufen hast, deinstaliere 1
ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt poste beide

Hallo Markus, ich grüße Dich!

Ich hatte gestern morgen nach dem ersten Durchlauf von Kaspersky mit anschließender Reinigung zur Kontrolle noch einen weiteren Durchlauf gestartet.

Dabei wurden mir dann nochmals 6 (!) von diesen Tnx.exe*32 und noch 8 weitere Meldungen über Fraud's angezeigt. Ich habe dann nach den Meldungen gegoogelt und bin dabei zur bitteren Erkenntnis gelangt das es den Rechner doch ziemlich schwer erwischt hat.

Bei anderen Usern mit den gleichnamigen Problemen hat sich der Workaround zur Beseitigung über mehrere Tage erstreckt, und das wollte ich uns dann doch ersparen.

Ich habe diese Gelegenheit dann genutzt um mein System von Scratch auf neu zu installieren, das war eigentlich eh schon überfällig.

Ich bedanke mich dennoch für die tolle Arbeit die Ihr hier auf dem Board leistet !


So long,

Armatax

welches windows nutzt du? ich möchte dir tipps zum absichern geben

Seit gestern verwende ich Win 7 Ultimate, und im krassen Gegensatz zu meinem alten Vista fühlt sich der Umgang mit dem neuen OS vom ersten Moment an sehr geschmeidig an.

So long,

Armatax

ja, win7 gefällt mir auch.
dann mal zum absichern:
1. solltest du nur noch als eingeschrenkter nutzer arbeiten , das admin konto ist nur für instalationen gedacht.
klicke start, tippe unter suchen (ausführen) systemsteuerung. wähle dort Benutzerkonten hinzufügen/entfernen.
wähle "neues konto erstellen"
Wähle standard benutzer.

die konten sollten mit einem passwort geschützt werden.
dazu auf konto endern klicken und passwörter vergeben.

die uac sollte auf maximum stehen.
klicke auf start, ausführen (suchen) tippe
uac
enter
nachfrage bestätigen, regler auf höchste stufe.
so ist es schwiriger heimlich etwas auf dem pc zu instalieren.
Die folgenden konfigurationen als admin ausführen:
2.
dep aktivieren:
dep für alle prozesse:
Datenausführungsverhinderung (DEP)
• "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:".
wenn es zu problemen kommen sollte, kann man die betroffenen prozesse aus der Überwachung entfernen.

3. sehop aktivieren:
SEHOP aktivieren:
Aktivieren von SEHOP (Structured Exception Handling Overwrite Protection) in Windows-Betriebssystemen
klicke auf "Feature automatisch aktivieren"
und folge den anweisungen

4.
als browser den firefox nutzen:
Webbrowser Firefox | Schneller, sicherer & anpassbar | Mozilla Europe
5.
als adon noscript, es werden dadurch einige scripts (java) zb blockiert, du kannst diese dann frei geben, in dem du auf der seite, die freigegeben werden
soll, nen rechtsklick machst, noscript wählst, und temporär alle berectigungen aufheben wählst, somit werden sie für den besuch aufgehoben, oder alle beschrenkungen
aufheben, somit wird die seite freigegeben. das kann man natürlich wieder rückgängig machen.
http://filepony.de/download-adblock_firefox//
hier gibt es noch filterlisten:
Sandboxie Download
anleitung:
drop.io
(als pdf)
wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.
ab sofort also nur noch in der sandbox surfen bitte.
8. autorun für usb deaktivieren:
über diesen weg werden sehr häufig schaddateien verbreitet, schalte die funktion also ab.
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de
usb sticks, festplatten etc, sollte man mit panda vaccine impfen:
ANTIMALWARE: Panda USB Vaccine - Download FREE - PANDA SECURITY
so holt man sich keine infektionen ins haus, wenn man mal die festplatte etc verleit.
hake an:
hake an:
run panda usb vaccine automatically when computer boots
automatically vaccine any new insert usb key
enable ntfs file suport
9.
updates:
Updates sind für dein system genauso wichtig, wie ein antivirenscanner. Sehr häufig gelangen schädlinge nur aufs system, weil der user veraltete software nutzt.
instaliere die folgenden update checker.
Secunia:
http://www.trojaner-board.de/83959-s...ector-psi.html
und file hippo update checker:
FileHippo.com Update Checker - FileHippo.com
das file Hippo Symbol wird im infobereich neben der uhr auftauchen, mache bitte nen rechtsklick darauf, wähle settings, results, setze einen haken bei "hide beta updates" klicke ok.
10.
regelmäßige Backups des systems sind sehr wichtig, du weist nie, ob deine festplatte mal kaputt geht.
Acronis True Image 2011 - Festplatten-Backup-Software, Datei-Backup und Disk Imaging, Wiederherstellung von Anwendungseinstellungen, Backup von Musik, Videos, Fotos und Outlook-Mails
außerdem kannst du, bei neuerlichem malware befall das system zurücksetzen.
Das Backup sollte möglichst auf eine externe festplatte etc emacht werden, nicht auf die selbe, wo sich die zu sichernden daten befinden.
Von sehr wichtigen Daten könnte man noch eine zusätzliche Sicherung auf dvds/cds erstellen, dazu könnte man auch wiederbeschreibbare verwenden (rws) falls die sammlung mal erneuert werden soll.
so ab jetzt nur noch im standard nutzerkonto arbeiten und dort nur noch in der sandbox surfen.
klicke dazu auf "sandboxed web browser".
11. passwörter endern.b

Hallo Markus,

whoow, das ist ja ein toller Service, thx a lot !

Jetzt hätte ich da noch brandaktuell eine Frage nach einem brauchbaren Virenscanner.

Das Vertrauen zu AVIRA habe ich verloren, und Kaspersky kommt mit meinem OS nicht zurecht, welche Alternative bleibt denn da noch ?

Wenn DU mir da vielleicht noch einen Rat geben könntest, würde ich mich sehr freuen.


So long,

Armatax

du kannst schon avira benutzen, das wichtigste ist ein abgesicherter pc, dass du dir nicht irgendwelchen müll (keygens etc) lädst, keine filme auf seiten wie kino.to schaust etc.
wenn du dann immer in der sandbox surfst kann eigendlich nicht mehr viel passieren.
avira konfigurationsanleitung
http://www.trojaner-board.de/54192-a...tellungen.html

Aloha Markus,

ich habe Deine Liste mit Vorschlägen wacker abgearbeitet, jetzt kann ich mich ja dann beruhigt auf die Suche nach FREE PORN und Keygens usw. machen

Scherz beiseite, ich habe da noch etwas auf dem Herzen.

Ich denke mal das mein altes System wohl nicht erst seit vorgestern infiziert war.
Jetzt habe ich in der letzten Zeit auch häufiger mal meinen USB-Stick benutzt und damit Exceltabellen auf den Lappy eines Kollegen geupped.

Besteht nun die Möglichkeit das ich damit die Seuche auch noch weiterverschleppt habe ?


So long,

Armatax

hmm da wir keine genaue analyse gemacht haben kann ich dir das nicht so genau sagen. den usb stick formatieren und den kolegen mal anrufen. er müsste dann ja merkwürdigkeiten entdecken, oder er soll sich halt mal hier melden und wir schauen.