C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\63A624.exe Schädlich?
 

Hallo zusammen.

Heute hat Antivir mehrere Viren auf meinem Rechner gefunden, daraufhin habe ich mit HijackThis einen Scan durchgeführt. Die Logfile habe ich zunächst mit der automatischen Auswertung analysiert. Dabei wurde ein Eintrag als schädlich eingestuft (die im Titel erwähnte 63A624.exe) sowie ein nicht bekanntes Programm gefunden. Meine erste Intention war, die schädliche Datei direkt zu löschen, aber dann habe ich beschlossen, doch lieber Leute die von so etwas eine Ahnung haben zu fragen, was ich nun unternehmen soll.

Die Logfile sieht folgendermaßen aus:
HiJackthis Logfile:
--- --- ---

Ich hoffe ihr könnt mir sagen, wie ich nun weiter vorgehen soll.
Mfg,
Phloem

Leider finde ich den Edit-Button nicht mehr, sorry für den Doppelpost. Ich habe erst mit einiger Verspätung entdeckt, dass ihr keine Scans von HijackThis möchtet. Den Scan mit DDS konnte ich durchführen, die Logfiles sind im Anhang. Mit Gmer hab ich allerdings ein Problem. Der Scan startet aber beide male, die ich es versucht habe, wird nach einer Zeit Windows heruntergefahren und folgende Nachricht erscheint: "Es wurde ein Problem festgestellt, Windows wurde heruntergefahren, damit der Computer nicht beschädigt wird
DRIVER_IRQL_NOT_LESS_OR_EQUAL".

hi,
öffne avira, ereignisse, poste alle fundmeldungen.
öffne avira, berichte, poste scan reports mit funden.
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die
  OTL.exe
  .
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg
  Textbox.

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere
  nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Hallo,
erst einmal danke für die Hilfe!

Avira - Ereignisse - Fundmeldungen

In der Datei 'C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\xibfuuklaquyypnvtvfbkdoqqg32wqbq2\svcnost.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Barys.2020.3' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Die Datei 'C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\xibfuuklaquyypnvtvfbkdoqqg32wqbq2\svcnost.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Barys.2020.3' [trojan].
Durchgeführte Aktion(en):
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Dokument e und Einstellungen\Admin\Anwendungsdaten\xibfuuklaquyypnvtvfbkdoqqg32wqbq2\svcnost.exe> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\xibfuuklaquyypnvtvfbkdoqqg32wqbq2\svcnost.exe> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\xibfuuklaquyypnvtvfbkdoqqg32wqbq2\svcnost.exe> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1757981266-152049171-725345543-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Init> wurde erfolgreich repariert.
Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003.
Die Datei konnte nicht gelöscht werden!
Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b48900f.qua' verschoben!

Avira - Berichte - Scanreports mit Funden sind genauso wie die OTL-Reports im Anhang

hi

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.





• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!



Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.

• Öffne dein Systemlaufwerk ( meistens C: )
• Suche nun
  folgenden Ordner: _OTL und öffne diesen.
• Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
• 
  Dies wird eine Movedfiles.zip Datei in _OTL erstellen
• Lade diese bitte in unseren Uploadchannel
  hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)

Danke für das Script!

Hier der Inhalt des von OTL erstellten Textdokuments:

All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\Avira deleted successfully.
File move failed. C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\63A624.exe scheduled to be moved on reboot.
========== COMMANDS ==========

[EMPTYFLASH]

User: Admin
->Flash cache emptied: 72366 bytes

User: All Users

User: Default User
->Flash cache emptied: 56475 bytes

User: LocalService

User: NetworkService

Total Flash Files Cleaned = 0,00 mb


[EMPTYTEMP]

User: Admin
->Temp folder emptied: 56808534 bytes
->Temporary Internet Files folder emptied: 30168449 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 1096722232 bytes
->Flash cache emptied: 0 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2134333 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1442638 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 1.132,00 mb


OTL by OldTimer - Version 3.2.42.2 log created on 05022012_191944

Files\Folders moved on Reboot...
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\63A624.exe moved successfully.
File\Folder C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\plugtmp-1\plugin-images.php not found!

Registry entries deleted on Reboot...



Der Upload müsste geklappt haben, es kam die Meldung:

Datei: MovedFiles.zip_1 empfangen

Vorgang erfolgreich abgeschlossen.

hi

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hi,

hier ist der Inhalt der combofix.txt

hi
malwarebytes:
Downloade Dir bitte Malwarebytes

• Installiere
  das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche
  nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet
  ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste
  das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Hier ist das logfile von malwarebytes:

So nebenbei, mir ist aufgefallen, dass mein Laptop langsamer wird, seit ich die trojaner-meldung bekommen habe und wir daran arbeiten. Ist das Zufall oder gibts dafür ne total offensichtlichtliche Begründung, die sich mir nicht erschliesst? ^^
Und nochmal, weil man es nicht oft genug sagen kann, Danke für deine Hilfe!

wie siehts nach der deinstalation von malwarebytes aus?
download tdss killer:
http://www.trojaner-board.de/82358-t...entfernen.html
Klicke auf Change parameters
• Setze die Haken bei Verify driver digital signatures und Detect TDLFS file system
• Klick auf OK und anschließend auf Start scan
- bei funden erst mal immer skip wählen, log posten

Ich hab malewarebytes nun mal deinstalliert und werde beobachten, ob die performance besser wird. Aber an sich denke ich, dass das Problem woanders liegt, da ich schon vor der Installation das Gefühl hatte, dass Windows länger braucht um hochzufahren und Programmstarts ebenfalls länger dauern als vor der Infektion.

Log von tdss killer:

lade hitmanpro:
http://www.trojaner-board.de/99424-c...o-scannen.html
settings, license, testlizense
dann scan, funde in quarantäne, log als csv exportieren und hier anhängen bitte.

Hitmanpro hat mir das log nur als xml file angeboten - Ich habe leider keine Möglichkeit entdeckt, das log als csv zu exportieren. Xml kann ich wiederum hier nicht hochladen habe ich nun festgestellt ("ungültige Datei"). Ich hab den Inhalt der xml nun in eine Textdatei kopiert, ich hoffe das geht in Ordnung.

sieht io aus.
lade den CCleaner standard:
CCleaner Download - CCleaner 3.18.1707
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Ich habe noch die Beschreibung "für die überprüfung installiert" mit dazu genommen. Zwei Programme habe ich noch nicht wieder deinstalliert, weil ich noch nicht weiss, ob ich sie noch benötige.
Bei "unbekannt" sind die ganzen Programme von Dell dabei, da ich bei denen nicht weiss, wofür sie gut sind bzw. es nur vermute zu wissen.

deinstaliere:
Adobe Flash Player alle
Adobe - Adobe Flash Player installieren
neueste version laden
adobe reader:
Adobe - Adobe Reader herunterladen - Alle Versionen
haken bei mcafee security scan raus nehmen

bitte auch mal den adobe reader wie folgt konfigurieren:
adobe reader öffnen, bearbeiten, voreinstellungen.
allgemein:
nur zertifizierte zusatz module verwenden, anhaken.
internet:
hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc.
es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht.
bei javascript den haken bei java script verwenden raus nehmen
bei updater, automatisch instalieren wählen.
übernehmen /ok



deinstaliere:
Google Chrome
Spybot nicht mehr sonderlich hilfreich.

öffne ccleaner analysieren ccleaner starten, poste die autostart liste vom ccleaner

Hi,

mir wurde mal gesagt, dass Spybot spyware erkennt, die von antivir nicht erkannt wird, daher habe ich das Programm installiert. Wenn du sagst, Spybot ist nicht mehr besonders hilfreich, was bedeutet das für mich? Gibt es bessere Alternativen?
Und wenn ich javascript deaktiviere, läuft das nicht auf das selbe hinaus wie Java komplett zu deinstallieren? Ist das Programm so gefährlich, dass ich lieber auf die Features verzichten sollte?

Hier die Autostart-Liste des CCleaner

hi,
du sollst es ja nur in adobe deaktivieren.
es gibt eig keinen grund es aktiev zu haben und es kann unter umständen zum ausnutzen von schadcode verwendet werden.
pc absicherung kommt später.

start ausführen tippe:
msconfig.exe
systemstart.
alle haken raus, außer avgnt
SynTPEnh
Broadcom Wireless
ok klicken, neustart durchführen lassen, testen wie der pc jetzt läuft

Danke für die Anleitung, nun läuft er wieder besser :)

Ist der PC nun eigentlich virenfrei oder unternehmen wir weitere Schritte?

Nachtrag:
Dass der PC wieder schneller ist, war wohl eine allzu vorschnelle, optimistische Einschätzung. Es dauert furchtbar lange, bis er hochgefahren ist. Jeder Programmstart gibt mir genug Zeit, eine kleine Mahlzeit zuzubereiten. Wenn ich einen Film schaue, hängen die Bilder. Meine Laien-Reaktion wäre, den PC zu formatieren. Erfahrungsgemäß ist das von Zeit zu Zeit erforderlich, und nun scheint es wieder soweit zu sein.
Kann ich meine Dateien gefahrlos auf meine Backup-Festplatte kopieren, ohne dass ich riskiere, auch Viren mit zu übertragen?

ja, das machen wir auch so.
1. Datenrettung:

• deaktiviere Autorun: http://www.trojaner-board.de/83238-a...sschalten.html
• dann sichere Daten auf nen externen datenträger: http://www.trojaner-board.de/82533-d...ted-magic.html
  Bilder, Dokumente, Musik Videos (persönliches) http://www.trojaner-board.de/71715-k...iendungen.html

2. Formatieren, Windows neu instalieren:

• nutzt du eine Windows CD: http://www.trojaner-board.de/51262-a...sicherung.html
• recovery cd oder recovery partition.
• falls dies ein fertig pc ist, nenne hersteller + typ.
• Keine Windows 7 DVD? http://www.trojaner-board.de/100776-...-download.html

3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.

EDIT: Ich habe den Fehler gefunden. Die Datei die ich als iso brennen wollte, war nicht parted magic sondern das Programm UNetBootin um einen Bootfähigen USB-Stick zu erstellen. Kann es sein, dass in der Anleitung http://www.trojaner-board.de/82533-d...ted-magic.html kein Link für die iso enthalten ist oder finde ich sie nur nicht? Werde sie nun von Chip.de downloaden.

hi, dann sichere auf nen externes laufwerk im windows betrieb.

So habe nun geschafft, parted magic zu starten, allerdings klappt das Kopieren der Dateien nicht. Versuche ich es, kommt die Meldung Error: read-only file system. Gibt es dafür eine einfache Lösung oder soll ich im Windows Betrieb kopieren?

Übrigens habe ich auch jetzt schon eine Frage zu
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
Womit überprüfen? Lediglich dem Antivirenprogramm das ich installieren werde, oder nehmen wir da noch weitere Scans vor?

warum sollen wir jetzt schon auf 5. kommen, wenn 1 noch nicht mal fertig ist :-)
sichere die daten bitte einfach über das laufende windows

Ich hatte gedacht, dass ich bis Schritt 5 problemlos komme und es daher nicht schaden würde, schonmal zu wissen wie es dann weitergeht ;)
Aber natürlich hab ich nun doch schon wieder Probleme...Nach dem neu Aufsetzen und Absichern habe ich einen Antivirenscan mit Avira drüberlaufen lassen und bekomme folgende Meldung:

C:\System Volume Information\_restore{BE8A6490-091D-4EFF-8DA7-3FE83993F4B1}\RP15\A0004380.exe
[WARNUNG] Die Datei ist kennwortgeschützt

hast du wirklich nach anleitung formatiert, sind also alle alten ordner etc von c: gelöscht?

Jubs, die Festplatte wurde, wie in der Anleitung vorgegeben, vollständig formatiert.
In einem anderen Punkt musste ich allerdings von der Anleitung abweichen, da ich sie Schritt für Schritt befolgt habe und nicht vorher genau durchgelesen habe. Deswegen hatte ich die Servicepacks nicht im Vorfeld runtergeladen sondern musste dazu das Internet aktivieren.

ok, die avira meldung verweist sowieso nur auf eine kennwort geschützte datei.
pc absichern:
als antimalware programm würde ich emsisoft empfehlen.
diese haben für mich den besten schutz kostet aber etwas.
http://www.trojaner-board.de/103809-...i-malware.html
testversion:
Meine Antivirus-Empfehlung: Emsisoft Anti-Malware
insbesondere wenn du onlinebanking, einkäufe, sonstige zahlungsabwicklungen oder ähnlich wichtiges, wie zb berufliches machst, also sensible daten zu schützen sind, solltest du in sicherheitssoftware investieren.
vor dem aktivieren der lizenz die 30 tage testzeitraum ausnutzen.

kostenlos, aber eben nicht ganz so gut wäre avast zu empfehlen.
http://www.trojaner-board.de/110895-...antivirus.html

sag mir welches du nutzt, dann gebe ich konfigurationshinweise.
bitte dein bisheriges av deinstalieren
die folgende anleitung ist umfangreich, dass ist mir klar, sie sollte aber umgesetzt werden, da nur dann dein pc sicher ist. stelle so viele fragen wie nötig, ich arbeite gern alles mit dir durch!

http://www.trojaner-board.de/96344-a...-rechners.html
Starte bitte mit der Passage, Windows Vista und Windows 7
Bitte beginne damit, Windows Updates zu instalieren.
Am besten geht dies, wenn du über Start, Suchen gehst, und dort Windows Updates eingibst.
Prüfe unter "Einstellungen ändern" dass folgendes ausgewählt ist:
- Updates automatisch Instalieren,
- Täglich
- Uhrzeit wählen
- Bitte den gesammten rest anhaken, außer:
- detailierte benachichtungen anzeigen, wenn neue Microsoft software verfügbar ist.
Klicke jetzt die Schaltfläche "OK"
Klicke jetzt "nach Updates suchen".
Bitte instaliere zunächst wichtige Updates.
Es wird nötig sein, den PC zwischendurch neu zu starten. falls dies der Fall ist, musst du erneut über Start, Suchen, Windows Update aufrufen, auf Updates suchen klicken und die nächsten instalieren.
Mache das selbe bitte mit den optionalen Updates.
Bitte übernimm den rest so, wie es im Abschnitt windows 7 / Vista zu lesen ist.
aus dem Abschnitt xp, bitte den punkt "datenausführungsverhinderung, dep" übernehmen.
als browser rate ich dir zu chrome:
Installation von Google Chrome für mehrere Nutzerkonten - Google Chrome-Hilfe
anleitung lesen bitte
falls du nen andern nutzen willst, sags mir dann muss ich teile der nun folgenden anleitung


Sandboxie
Die devinition einer Sandbox ist hier nachzulesen:
Sandbox
Kurz gesagt, man kann Programme fast 100 %ig isuliert vom System ausführen.

Der Vorteil liegt klar auf der Hand, wenn über den Browser Schadcode eingeschläust wird, kann dieser nicht nach außen dringen.
Download Link:
Sandboxie Download - Sandboxie 3.68

anleitung:
http://www.trojaner-board.de/71542-a...sandboxie.html
ausführliche anleitung als pdf, auch abarbeiten:
Sandbox Einstellungen |

bitte folgende zusatz konfiguration machen:
sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen.
dort klicke auf sandbox einstellungen.
beschrenkungen, bei programm start und internet zugriff schreibe:
chrome.exe
dann gehe auf anwendungen, webbrowser, chrome.
dort aktiviere alles außer gesammten profil ordner freigeben.
Wie du evtl. schon gesehen hast, kannst du einige Funktionen nicht nutzen.
Dies ist nur in der Vollversion nötig, zu deren Kauf ich dir rate.
Du kannst zb unter "Erzwungene Programmstarts" festlegen, dass alle Browser in der Sandbox starten.
Ansonsten musst du immer auf "Sandboxed webbrowser" klicken bzw Rechtsklick, in Sandboxie starten.
Eine lebenslange Lizenz kostet 30 €, und ist auf allen deinen PC's nutzbar.

Weiter mit:
Maßnahmen für ALLE Windows-Versionen
alles komplett durcharbeiten
anmerkung zu file hippo.
in den settings zusätzlich auswählen:
hide beta updates.
Run updateChecker when Windows starts

Backup Programm:
in meiner Anleitung ist bereits ein Backup Programm verlinkt, als Alternative bietet sich auch das Windows eigene Backup Programm an:
http://www.trojaner-board.de/82962-w...en-backup.html
Dies ist aber leider nur für Windows 7 Nutzer vernünftig nutzbar.
Alle Anderen sollten sich aber auf jeden fall auch ein Backup Programm instalieren, denn dies kann unter Umständen sehr wichtig sein, zum Beispiel, wenn die Festplatte einmal kaputt ist.

Zum Schluss, die allgemeinen sicherheitstipps beachten, wenn es dich betrifft, den Tipp zum Onlinebanking beachten und alle Passwörter ändern
bitte auch lesen, wie mache ich programme für alle sichtbar:
Programme für alle Konten nutzbar machen - PCtipp.ch - Praxis & Hilfe
surfe jetzt also nur noch im standard nutzer konto und dort in der sandbox.
wenn du die kostenlose version nutzt, dann mit klick auf sandboxed web browser, wenn du die bezahlversion hast, kannst du erzwungene programm starts festlegen, dann wird sandboxie immer gestartet wenn du nen browser aufrufst.
wenn du mit der maus über den browser fährst sollte der eingerahmt sein, dann bist du im sandboxed web browser

Danke!

Das meiste hab ich abgehakt.
Als AV hab ich avast installiert.
Browser würde ich Firefox verwenden, da ich den schon kenne. Demnach würde sich für die Sandbox das von dir geschriebene
auch ändern oder?
Hinsichtlich dem Punkt "Datenausführungsverhinderung" bin ich mir noch unsicher. Muss ich dazu in der BOOT.INI das "/noexecute=optin" durch "/NoExecute" ersetzt werden?

hi,
du kannst das auch über die systemsteuerung regeln mit dep.
hast du dir schon mal chrome angesehen? er ist sicherer und sollte auch schneller sein.

Bisher hatte ich Chrome nicht ausprobiert. Ich habs nun mal installiert und werde gucken, ob ich damit zurecht komme.
Wie gehts weiter? ^^

chrome konfig:
adblock für chrome:
http://filepony.de/download-adblock_chrome/
damit sollte das leben werbefreier von statten gehen.
ghostery um tracking zu verhindern:
http://filepony.de/download-ghostery_chrome/
sicher surfen mit chrome:
Sicher surfen mit Google Chrome | Verbraucher sicher online

Danke :)

Beide Ad-ons sind nun installiert.

kommst mit ihm zu rande :-)

Hehe ja, ich glaube mit dem kann ich mit anfreunden :)
Passwörter sind auch schon alle geändert.

gut zu hören :-)
- instalieren von optionalen und wichtigen updates.
- konfigurieren von windows updates.
- dep für alle prozesse aktivieren.
- sehop aktivieren.
- chrome instalieren.
- sandboxie instalieren.
- autorun deaktivieren.
- panda vaccine instalieren.
- secunia instalieren.
- file hippo instalieren.
beachte:
secunia und file hippo bieten englische updates, überall wo du auf die nutzeroberfläche zugreifst, wie zb reader, browser, etc benötigst du deutsche updates, also hier die hersteller seiten in den favoriten deines browsers speichern und wenn ein update gezeigt wird, von dort hohlen, bei java, flash quicktime, ist es egal ob deutsch oder englisch.
- backup software instalieren, backup und rettungsdvd erstellen.
hier ne kurze anleitung:
Anleitung: Systemabbild mit Paragon Drive Backup - NETZWELT

- wenn du onlinebanking machst, kann ich noch kurz was über die vorteile von card reader und banking software sagen.

wenn das alles fertig ist, haben wirs

Sehr schön.
Online Banking mache ich keines.
Wie siehts mit
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
aus? Womit soll ich die Daten prüfen? Nur Avast oder auch noch mit anderen Programmen?

mit avast reicht :-)

Danke :)
Die Überprüfung mit Avast hat keine infizierten Dateien gefunden, nur ein paar kennwortgeschützte Archive. Ich habe keine Möglichkeit gefunden, das Protokoll als Textdatei zu speichern, übersehe ich die nur? Sind kennwortgeschützte Archive bedenklich? Die Dateien sind großteils bmp, z.B.
E:\System Volume Information\_restore{10B14871-E4B1-4F66-95C4-411B27E0D7B7}\Rp87\A0009466.exe|>%MAINDR%\Skins\Ad-Aware SE default.ask|>sprite1.bmp

hi
du kannst ja mal über arbeitsplatz, eigenschaften, systemwiederherstellung, bzw einstellungen systemwiederherstellung, die swh für alle laufwerke deaktivieren, dann übernehmen ok, 5 min warten neustarten wieder einschalten und erneut scannen tritts dann noch auf?

Ich habe die Systemwiederherstellung auf allen Laufwerken deaktiviert wie du beschrieben hast, aber die kennwortgeschützten Archive findet Avast immernoch :(

was ist e: für ein laufwerk?

e: ist meine externe Festplatte mit den Daten-Backups. Eine Archos Mini HD

war die angeschlossen als du die swh ein und ausgeschalten hattest? falls nicht, mach das noch mal.
warte diesmal aber 10 min, kann vllt ein wenig länger dauern.

Jubs, die war angeschlossen als ich die swh deaktiviert habe. Habs nochmal mit ner längeren Wartezeit versucht, aber noch immer findet Avast diese kennwortgeschützten Archive :(

Ich hoffe es geht in Ordnung dass ich mein Thema ausnahmsweise nach oben pushe. Ich wüsste zu gerne, was ich mit der Festplatte nun machen soll, da ich die Daten, die dort gespeichert sind, möglichst bald wieder verwenden möchte :/

Was mich wundert ist, dass viele der Dateien garnicht mehr auf der Festplatte liegen, es dürfte also ein älterer Systemwiederherstellungspunkt sein oder? Wieso es durch das Ausschalten der Systemwiederherstellung nicht gelöscht wird verstehe ich einfach nicht...Kann man das nicht einfach manuell löschen?

hi, du könntest halt mal gucken ob du die wichtigesten dateien mal kurzfristig woanders lagerst, und die externe platte dann über rechtsklick, formatierst.

Das habe ich nun gemacht und endlich sind die passwortgeschützten Archive weg :)
Danke! Somit dürften wir durch sein oder?