Trojaner-Board - Win7 64 bit System neu aufsetzen? HijackThis-Log

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Win7 64 bit System neu aufsetzen? HijackThis-Log (https://www.trojaner-board.de/100272-win7-64-bit-system-neu-aufsetzen-hijackthis-log.html)

Win7 64 bit System neu aufsetzen? HijackThis-Log

Liebe Trojaner-Boardmembers,

nun habe auch ich ein Problem und bitte Euch um dringende Hilfe.

Habe gestern mein System mit Win7 64 Bit bekommen... leider habe ich eine infizierte .exe unvorsichtigerweise geklickt. Es gingen danach Werbepopups auf und eine Info "AUTOSTART" kam. Mithilfe des Forums hier konnte ich das System nun soweit mal (für mich ersichtlich) wiedr frei bekommen.

Die Frage ist nun, ob ich komplett neu aufsetzen muss?
Bitte um dringende Hilfe, muss morgen Früh gleich im neuen System arbeite, vielen Dank und liebe Grüße, Daniel

Hier der HijackThis Logfile:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 11:58:33, on 13.06.2011
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v8.00 (8.00.7601.17514)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\WinZip\WZQKPICK.EXE
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Canon\Solution Menu EX\CNSEMAIN.EXE
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe
C:\Program Files (x86)\Adobe\Acrobat 10.0\Acrobat\acrotray.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Windows Live\Toolbar\wltuser.exe
C:\Windows\SysWOW64\Macromed\Flash\FlashUtil10o_ActiveX.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Users\andi\Downloads\HiJackThis204.exe
C:\Windows\SysWOW64\NOTEPAD.EXE
C:\Windows\SysWOW64\DllHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://lenovo.msn.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Program Files (x86)\Adobe\Adobe Contribute CS5\Plugins\IEPlugin\contributeieplugin.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~2\MICROS~3\Office14\GROOVEEX.DLL
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~2\MICROS~3\Office14\URLREDIR.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files (x86)\Windows Live\Toolbar\wltcore.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files (x86)\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Program Files (x86)\Adobe\Adobe Contribute CS5\Plugins\IEPlugin\contributeieplugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [AdobeCS5.5ServiceManager] "C:\Program Files (x86)\Common Files\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [SwitchBoard] C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O4 - HKLM\..\Run: [AdobeCS5ServiceManager] "C:\Program Files (x86)\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [CanonSolutionMenuEx] C:\Program Files (x86)\Canon\Solution Menu EX\CNSEMAIN.EXE /logon
O4 - HKLM\..\Run: [BCSSync] "C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe" /DelayServices
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] "C:\Program Files (x86)\Adobe\Acrobat 10.0\Acrobat\Acrobat_sl.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files (x86)\Adobe\Acrobat 10.0\Acrobat\Acrotray.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Adobe Acrobat Synchronizer] "C:\Program Files (x86)\Adobe\Acrobat 10.0\Acrobat\AdobeCollabSync.exe"
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files (x86)\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: An OneNote s&enden - res://C:\PROGRA~2\MICROS~3\Office14\ONBttnIE.dll/105
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - res://C:\PROGRA~2\MICROS~3\Office14\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: Canon Inkjet Printer/Scanner/Fax Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Program Files (x86)\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: IviRegMgr - InterVideo - C:\Program Files (x86)\Common Files\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: RoxMediaDB10 - Sonic Solutions - C:\Program Files (x86)\Common Files\Roxio Shared\10.0\SharedCOM\RoxMediaDB10.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files (x86)\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: System Update (SUService) - Lenovo Group Limited - c:\Program Files (x86)\Lenovo\System Update\SUService.exe
O23 - Service: SwitchBoard - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O23 - Service: ThinkVantage Registry Monitor Service - Lenovo Group Limited - C:\Program Files (x86)\Common Files\Lenovo\tvt_reg_monitor_svc.exe
O23 - Service: TVT Backup Service - Lenovo Group Limited - C:\Program Files (x86)\Lenovo\Rescue and Recovery\rrservice.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 11974 bytes

hi, hast du die exe noch? falls ja, hochladen:
und zwar im upload channel:
http://www.trojaner-board.de/54791-a...ner-board.html
falls du den link noch hast, als private nachicht an mich.
womit hast du deinen pc bereinigt, wo sind die logs?

Hallo markusg,
danke für die schnelle Antwort.

> hi, hast du die exe noch? falls ja, hochladen:
>und zwar im upload channel:
>Anleitung: UploadChannel - Trojaner-Board
>falls du den link noch hast, als private nachicht an mich.

Leider beides nicht mehr. Denke die wurden von "Malwarebytes' Anti-Malware" gelöscht.

> womit hast du deinen pc bereinigt, wo sind die logs?

Mit "Malwarebytes' Anti-Malware" und "TDSSKiller".

Habe "avira_antivir_personal648_de" installiert. Der kannte die Infizierung der EXE aber schienbar nicht. Ich scanne immer bevor ich EXE-Files die mir nicht bekannt sind klicke.

System läuft zumindest wieder gut, habe nur Angst vor irgendwelchen "Löchern". Aber wie bekommt man Win7 eigentlich möglichst sicher?

Danke,
Daniel

ok poste das tdss killer log, auf c: befindlich und öffne malwarebytes, logdateien, poste logs mit funden.

Malwarebytes' Anti-Malware 1.51.0.1200
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 6845

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

13.06.2011 09:21:15
mbam-log-2011-06-13 (09-21-15).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|Q:\|)
Durchsuchte Objekte: 659962
Laufzeit: 40 Minute(n), 9 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 35

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\andi\AppData\Local\Temp\Ig0.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Users\andi\AppData\Local\Temp\Ig2.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Users\andi\AppData\Local\Temp\Ig3.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Users\andi\AppData\Local\Temp\Igw.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Users\andi\AppData\Local\Temp\Igz.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Windows\Ijybea.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Windows\Temp\14b3a5.exe (Trojan.FakeMS) -> Quarantined and deleted successfully.

---

Malwarebytes' Anti-Malware 1.51.0.1200
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 6845

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

13.06.2011 08:38:08
mbam-log-2011-06-13 (08-38-08).txt

Art des Suchlaufs: Flash-Scan
Durchsuchte Objekte: 125861
Laufzeit: 21 Sekunde(n)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
c:\Users\andi\AppData\Local\Temp\Igx.exe (Trojan.Downloader) -> 6792 -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\4ECYTQ9SIC (Trojan.FakeAlert.SA) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\NtWqIVLZEWZU (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\QK9G0Z54EX (Trojan.FakeAlert.SA) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\4ECYTQ9SIC (Trojan.Downloader) -> Value: 4ECYTQ9SIC -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NtWqIVLZEWZU (Trojan.Downloader) -> Value: NtWqIVLZEWZU -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\andi\AppData\Local\Temp\Igx.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Users\andi\AppData\Local\Temp\Igy.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Windows\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Windows\Tasks\{810401e2-dde0-454e-b0e2-aa89c9e5967c}.job (Trojan.FraudPack) -> Quarantined and deleted successfully.

tdss killer fand keine Probleme mehr, hatte alles Malwarebytes bereits bereinigt.

Gibt es andere Software mit der ich checken kann?
Habe Angst vor einem "kompromittiertem System"... :/

naja, wir können das system um sicher zu gehen neu aufsetzen und dann zeige ich dir, wie mans richtig absichert.

> naja, wir können das system um sicher zu gehen neu aufsetzen und dann
> zeige ich dir, wie mans richtig absichert.

Denkst Du also, dass es noch befallen ist?

Brauche für das Neuaufsetzen sicher wieder ein paar Stunden... habe schon recht viel individualisiert und einiges an Software drauf...

Jedenfalls danke für Dein Angebot, das nehme ich gerne an. Bisher war meine Absicherung der "Antivir" und "Spybot nich auf dem alten XP".

tja, wenn man so viel software etc hatt, gibts nen zauberwort, das heißt backup. wenn man das regelmäßig macht ist man mit dem backup in 10 minuten auf nem sauberen bzw funktionieremdem pc stand zurück.
wir setzen neu auf und richten auch eine backup software etc mit ein.

Backups habe ich bisher immer nur für die Files gemacht (mit "insync"). Am Laptop mal ein Image der ganzen Platte, aber mehr Erfahrung hatte ich auch damit nicht, hast sicherlich Recht.
Wenn sich das heute alles noch ausgeht, wäre ich für Deine Hilfe wirklich sehr dankbar.

Das System läuft jetzt zwar gut, aber ich habe halt ein mulmiges Gefühl, dass da ev. noch etwas ist.

Habe zwei Festplatten... die erste mit C: Win7 64 bit und einer Partition Q: für Recovery
(auf "Q" war das "AUTOSTART" Problem).

Die zweite Platte ist D: rein mit Daten.

Habe eine Lenovo Workstation mit "OS Recovery Discs Win7", soll ich damit auf C: und Q: das System in den Ausliefrungszustand bringen?

Kann ich die Daten auf "D:" belassen, oder soll ich das Laufwerk neu Formatieren, oder sonst etwas tun?

Bitte um Info wie ich starten soll. Vielen Dank und liebe Grüße, Daniel

nur c: auf auslieferungszustand, die daten von q: werden sicher benötigt, d: kannst du belassen.
na ein festplatten image ist doch gut. so lange der mbr (master boot rekord) immer mit gesichert wird, das dauert zwar länger (sektor weise backup) aber ist die bessere wahl, da zb das tdss rootkit den mbr befällt und man den dann ebenfalls sauber wiederherstellen muss

OK, danke Dir seh für die Hilfe.. ich starte jethzt die Wiederherstellung von Win7 und melde mich gleich, wenn das System wieder im Ausleiferungszustand ist.

Win7 64 bit ist nun neu. Habe eingestellt "nur wichtige Updates installieren".
Könntest Du mir bitte sagen was die nächsten Schritte zur Absicherung sein sollen. Rechner ist derzeit noch offline. Danke für die Hilfe!

lass mal auch optionale updates instalieren, da gibts auch ab und zu welche, die wichtig sind.

http://www.trojaner-board.de/96344-a...-rechners.html
hier alles unter vista / windows 7 und allgemeines abarbeiten!
außerdem den abschnitt
Maßnahmen für ALLE Windows-Versionen abarbeiten.

als antivirus kannst du zb avast nutzen. pdf zur anleitung gibts hier:
http://www.trojaner-board.de/127580-...igurieren.html
denke die haben das beste gesammt angebot für kostenlose produkte.
als browser opera.
falls er dir nicht zusagt, passe ich die anleitung für nen andern browser an
um das surfen sicherer zu machen, würde ich sandboxie empfehlen.
Download:
http://filepony.de/download-sandboxie/
anleitung:
Sandbox*Einstellungen |

(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn du das programm instaliert hast, werden sie klar.
den direkten datei zugriff bitte auf opera beschrenken,
bei
Internetzugriff:
opera.exe
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok.
somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern.

wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.

eine sandbox ist eine isulierte umgebung aus der kein programm raus kommt.

um die volle wirkung zu erreichen muss alles umgesetzt und eingehalten werden.
alle benötigten verknüpfungen fürs eingeschrenkte konto nach
c:\benutzer\Default\desktop bzw \startmenü
kopieren. so sind sie für alle sichtbar
wenn du fragen hast, probleme, oder erfolgreich warst, melde dich bitte.
wenn du online banking betreibst, lese den passenden abschnitt, die card reader gibts verbilligt bei den banken. ist ein sehr sicheres verfahren.

Danke!

> Anleitung: Maßnahmen zur Absicherung des Rechners
> hier alles unter vista / windows 7 und allgemeines abarbeiten!

Arbeite ich ab. Werde auch alle "wichtigen Upstaes" machen lassen.

> als antivirus kannst du zb avast nutzen. pdf zur anleitung gibts hier:

Werde antivir verwende, habe ich auch auf den anderen Rechner gerade laufen und ich finde den schon gut.

Ab wann kann ich mit dem Internet verbinden?
Brauche ich "Spybot", oder ähnliche Programme?

Ich beginne mit der Arbeit...

Verwende als Browser Firefox, Chrome, Opera und den IE.

Soll ich jetzt schon einen Systemwiederherstellungspunkt setzen?

Und wenn ich antivir installiere... soll ich den "Windows Defender" abdrehen?

hi, avast hat mehr schutzmodule, du solltest daher umsteigen, da malware ausgeklügelter wird, musst auch du dich den gegebenheiten anpassen um einen optimalen schutz zu gewehrleisten, und das man ein programm auf 2 pcs nutzt ist doch kein argument :-)
spybot brauchst du nicht.
naja um die windows updates zu instalieren btrauchst du schon internet. instaliere auch optionale.

hast mich überzeugt, steige auf avast um. nur eine frage. du hast version 5 verlinkt in deiner anleitung. sollte ich besser gleich diese nehmen, oder?
hxxp://www.chip.de/downloads/avast-Free-Antivirus_13010163.html

wann soll ich einen wiederherstellungspunkt setzen?

habe eine lenovo workstation und Lenovo "Rescue and Recovery" dabei.
soll ich damit eine datensicherung machen, oder ein anderes programm verwenden?

Dank Dir!

ja avast 6 soll es sein, das pdf sollte auch auf avast 6 zeigen.
na nimm das backup programm was ich verlinkt hab. systemwiederherstellungs punkt brauchst du nicht zu erstellen, geht ja auch automatisch, und das backup ist dann immer vorzuziehen.
ein erstes backup kannst du erstellen, wenn alle tipps umgesetzt wurden, und dann mindestens eines alle 2 wochen.
falls du viel instalierst etc, dann häufiger.
du kannst ja nen zeitplan erstellen

Sooda, soweit schon mal viel geschafft. Folgende Fragen hätte ich bitte noch:

-- das verstehe ich nicht so ganz, betrifft mich das mit Win 7 alles?
Dienste konfigurieren:
Windows-Dienste sicher konfigurieren und abschalten (Windows 7/Vista/XP/2000) - Windows-Dienste sicher konfigurieren und abschalten (Windows 7/Vista/XP/2000) - www.ntsvcfg.de

Anleitung steht hier als Download zur verfügung.
hxxp://ntsvcfg.de/svc2kxp.zip
Lies den Abschnitt über die svc2kxp.md

Wähle die 2. Methode da diese die Sicherste ist.
Je weniger Dienste der PC nach außen anbietet, desto besser.
Prüfe bitte, nachdem Du das Tool gestartet hast, ob die automatischen Updates für Windows sowie der intelligente Hintergrundtransferdienst ( BITS ) aktiv sind.

Start --> Ausführen --> services.msc ( eingeben ) --> OK

Suche die beiden Dienste und kontrolliere ob der Starttyp der Dienste auf Automatisch gestellt ist. Ist dies nicht der Fall, wähle den Dienst aus: Rechtsklick --> Eigenschaften --> Starttyp automatisch.

Das selbe gilt für die Windows Firewall.

---

Und das?
Datenausführungsverhinderung (DEP)

---

Mein Standardbrowser soll Firefox sein, dotrt brauche ich als Webentwickler aber JS, flash, etc. Wie soll ich dmait am BEsten umgehen?
Die andren Browser brauche ich zum Testen dann auch.

Und dann die letzte Frage zu "Sandboxie". Muss ich die Browser immer per Sandieboxie starten dann und ist es sehr unsicher ohne diese Anwendung?

Dankesehr für die Hilfe.

LG,
Daniel

Datenausführungsverhinderung (DEP)
das musst du machen.
deine browser immer in der sandbox starten.
1. weis man nie, ob nicht auch die große tageszeitung, die man online sieht, einen werbebanner hat der infiziert ist, oder die zeitung selbst gehackt wurde.
2. macht das arbeiten in der sandbox doch keinen großen unterschied.

firefox einrichten:
als adon noscript, es werden dadurch einige scripts (java) zb blockiert, du kannst diese dann frei geben, in dem du auf der seite, die freigegeben werden
soll, nen rechtsklick machst, noscript wählst, und temporär alle berectigungen aufheben wählst, somit werden sie für den besuch aufgehoben, oder alle beschrenkungen
aufheben, somit wird die seite freigegeben. das kann man natürlich wieder rückgängig machen.
http://filepony.de/download-noscript//
adblock+ um werbung zu blockieren:
http://filepony.de/download-adblock_firefox//
hier gibt es noch filterlisten:
Bekannte Filterlisten fr Adblock Plus
hier würde ich 2 oder 3 deutsche filter auswählen.
unter sonstiges die malware blocklist.
sandboxie

anleitung:
Sandbox*Einstellungen |
(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar.
den direkten datei zugriff bitte auf firefox.exe und plugin-container.exe
beschrenken, hier kannst du auch noscript und andere plugins eintragen.
geht auch unter
c:\windows\sandboxie.ini
unter dem eintrag defauld box
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\prefs.js
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\bookmarks.html
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\sessionstore.js
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\adblockplus\patterns.ini
bei
Internetzugriff:
firefox.exe und
plugin-container.exe
eintragen
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, firefox.
direkten zugriff auf lesezeichen erlauben auswählen und auf hinzufügen klicken, dann auf ok.
wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.
klicke dazu immer auf sandboxed web browser.

Hallo Markus,
soweit hoffentlich jetzt alles sicher.

Könntest Du mir bitte noch sagen wo ich folgende zwei Punkte finde?

1. unter sonstiges die malware blocklist.

2. bei
Internetzugriff:
firefox.exe und
plugin-container.exe
eintragen

Rest hab ich umgesetzt.

Danke nochmals und liebe Grüße,
Daniel

Und noch eine Frage:
Unter dem neuen "Standarduser" (hatte früher immer mit dem "Admin" Konto gesurft) läuft der "File Hippo" nicht ist mir aufgefallen. Wie soll ich damit umgehen?

Dank Dir.

ok, es heißt jetzt
verschiedenes
2. ist keine frage, was willst du genau wissen?
steht doch eig da, unter internet zugriff bzw programmstart die firefox.exe und plugin...exe eintragen bzw firefox.
kannst du file hippo manuell starten? dann mach das einmal pro woche. secunia sollte ja laufen oder?

> ok, es heißt jetzt
> verschiedenes

Ja, aber wo finde ich das??

> 2. ist keine frage, was willst du genau wissen?
> steht doch eig da, unter internet zugriff bzw programmstart die firefox.exe und
> plugin...exe eintragen bzw firefox.

Auch diesen Punkt kann ich nirgends finden :/

> kannst du file hippo manuell starten?

Ja, danke.

> dann mach das einmal pro woche. secunia sollte
> ja laufen oder?

Ja, läuft.

Danke für die Hilfe!

na auf der seite wo es die filterlisten gibt, ist ein abschnitt sonstiges bzw verschiedenes. habs auch gefunden, musst mal lesen.
programm zugriff bzw internet zugriff findest du unter sandboxie kontrol, sandbox menü anklicken dann die sandbox auswählen und dann optionen. auf der linken seite in der liste.

> na auf der seite wo es die filterlisten gibt, ist ein abschnitt sonstiges bzw
> verschiedenes. habs auch gefunden, musst mal lesen.

Ah, ok, dachte in der Extension selbst. Jetzt hab ich's, vielen Dank!

> programm zugriff bzw internet zugriff findest du unter SandboxIE kontrol, sandbox
> menü anklicken dann die sandbox auswählen und dann optionen. auf der linken seite
> in der liste.

OK, danke. Hatte ich zuvor schon eingestellt, denk ich.

Hat sich wirklich ausgezahlt das zu machen. Vielen Dank für Deine Hilfe! Hoffe jetzt lange ein sicheres System zu haben.. :)

naja du hast backups, mache sie regelmäßig, wöchendlich zb, und beim ersten trojaner anzeichen bitte das backup zur hand un zurück spielen, dann ist ruhe :-)
schau dir die sandbox an, surfe n bissel, downloade, alles was du sonst so machst, damit du ein "gefühl" für sie bekommst bzw bei fragen diese jetzt gleich auftauchen und wir sie behandeln können.

Ja, Backups mache ich jetzt regelmäßig, auch vom System, geht ja recht flott. Hab jetzt schon das dritte gemacht grad ;)

Bzgl. Sandbox... ich werde auch Open Source Programme versuchen in der Sandbox zu installieren... kann man ja, falls was daneben geht dann scheinbar einfach wieder entfernen.

Jedenfalls hast mir sehr geholfen, dass ich jetzt ein viel besseres Gefühl habe mit meinem System. Großes DANKE nochmals!!!

Liebe Grüße,
Daniel

richte für solche tests eine extra sandbox ein, übers sandbox menü.
und dann, wenn du fertig getestet hast, auf sandbox leeren klicken und alles is weg.

> richte für solche tests eine extra sandbox ein, übers sandbox menü.
> und dann, wenn du fertig getestet hast, auf sandbox leeren klicken und alles is weg.

Mir fehlen da mit dem "Standarduser" oft die Rechte zum installieren und die Abfrage des Admin-Passwortes kommt nicht. Versuche nur vertrauenswuerdiges zu installieren, dann geht es auch so.

Würde es prinzipiell möglich sein in der Sandbox eine Anwendung zu installieren und diese dann sozusagen mit "einem Klick" freizuschalten?

Danke.