|
Du hast ein 64-Bit Vista, sry das hätte ich eigentlich vorher sehen müssen, da läuft GMER und OSAM nicht immer. Das aswMBR Log sieht aber gut aus. Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
Der Berg kreißte für 24 h und gebar - na, wenigstens nicht nur eine, sondern 305 Mäuse. Code: SUPERAntiSpyware Scan LogAch ja, hast Du denn eigentlich bisher eine Spur einer echten Malware entdeckt? Ich wäre ja froh, wenn das Ganze nur falscher Alarm gewesen wäre. Die von SAS gefundenen cookies habe ich im Übrigen noch nicht gelöscht. Kann ich das Programm trotzdem schließen? Hie also MBAM Code: Malwarebytes Anti-Malware 1.65.1.1000Ich müsste einige Überweisungen machen. Meinst Du, ich kann das schon wieder gefahsrlos unternehmen? Dann wäre es wohl auch ein günstiger Zeitpunkt, um eine Datensicherung und Notfall-CD zu erstellen. Hmm. Da nun alle weiteren Einträge mit in meinem letzten landen, wir der Thread jetzt auch nicht mehr in der Liste nach oben befördert, wenn ich was hinzufüge. Wie kann ich jetzt die Aufmerksamkeit daraiuf lenken, dass es weitergehen kann? |
Code: UAC On - Limited UserBitte so wie es in der Anleitung steht auch ausführen! Zitat:
|
Zitat:
Und was jetzt? 24 Sunden Scan nochmal von vorne? Oder erstmal die 305 identifizierten Cookies rausschmeißen? Damit wäre mir jedenfalls schon wohler. |
Wenn du sagst du hast es als Admin gestartet dann wird es so sein - ich hab schon mehrere Fälle gehabt wo sasw trotz mehrfacher Wiederholungen und direktem darauf Achten es als Admin auszuführen über einen Rechtsklick im Log immer noch limited - ignorieren wir es also ;) Sieht ok aus, da wurden nur Cookies gefunden, die können alle weg. Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie ) Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat. Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller http://filepony.de/download-cookie_culler/ Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird. Ich halte es so, dass ich zum "wilden Surfen" den Opera-Browser oder Chromium unter meinem Linux verwende. Mein Hauptbrowser (Firefox) speichert nur die Cookies von den Sites die ich auch will, alles andere lehne ich manuell ab (der FF fragt mich immer) - die anderen Browser nehmen alles an Cookies zwar an, aber spätestens beim nächsten Start von Opera oder Chromium sind keine Cookies mehr da. Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme? |
Alle von SAS identifizierten Cookies sind gelöscht bzw. sie wurden in Quarantäne verschoben. Wozu aber eigentlich die Quarantäne? Der Quarantäne-Ordner behält die Dinger auch nur 30 TAge, da könnte ich sie doch auch gleich löschen? Das Hosts File habe ich installiert, den DNS client service will ich allerdings eigentlich erst mal nicht auf Manual stellen. Erst mal sehen wie stark das große HostFile die Dinge verlangsamt. Das betriufft aber ja wohl zunächst mal nur den IE. Oder sieht Firefox ebenfalls dort nach? Die Webseite schweigt sich hierzu aus (ode ich habe es jedenfalls nicht gesehen) Im Firefox habe ich meine Einstellungen so geändert, dass Cookies nicht länger automatisch akzeptiert werden. Ich nehme an, dann wird FF mich demnächst vorher fragen. Und wenn ich sie akzeptiere, werden sie jedenfalls hinterher wieder gelöscht. Meine Passwörter habe ich aber ohnehin nie abspeichern lassen. Ich logge mich immer bei allen benutzten Webseiten frisch ein. Nein, das mit dem Popup der Phishing Warnung bei Web.de war mein einziges "Problem" (ist eigentlich ja nur ein Indiz für ein Problem). Seit dem ersten OTL-Scan trat das schon nicht mehr auf. Ich wollte mir aber natürlich sicher sein, den Rechner wieder sauber zu haben. Vielen, vielen Dank für Deine Hilfe dabei! (**saikeirei**)http://dl.dropbox.com/u/5117968/Saikeirei.jpg Das wäre doch jetzt ein guter Moment, um eine Notfall CD zu erstellen. Ich habe das jetzt mal begonnen wie unter dem Link in Deiner Signatur beschrieben. Eine sehr sichere Variante zum Surfen ist ja sicherlich das Booten von einer CD, wobei dem so erstellten Benutzer nur Schreibrechte in einem isolierten Verzeichnis eingeräumt werden, das man dann anschließend vor jeder weiteren Verwendung der heruntergeladenen Dateien scannen kann. Kennst Du eine Beschreibung, wie man sowas implementieren könnte? Im ersten Anlauf war jetzt mal die Xubuntu *.iso Datei größer als gefordert (682 statt 680,3 MB, Hash Werte nicht übereinstimmend mit den unter hxxp://forum.chip.de/viren-trojaner-wuermer/notfall-live-system-datenrettung-webzugang-etc-1453431.html genannten) Also noch ein Versuch. Zweiter Anlauf, gleiches Ergebnis: Die von TU Chemnitz: URZ: Anwendungen und Dienste...: FTP-Archivbrowser heruntergeladene *.iso ist zu groß (wieder 682 MB). Was tut man da? Ok, passt (siehe hxxp://forum.chip.de/viren-trojaner-wuermer/rueckmeldungen-faq-threads-vtw-forum-1547562-page5.html#post10413208; #43 und #44) Xubuntu Disk wurde erstellt |
Zitat:
Was machst du denn, wenn du ein paar Tage später feststellst, "oh die Datei wurde durch einen Fehlalarm gelöscht" - ist die gleich gelöscht hast du keine Chance mehr, ist sie noch in Quarantäne kommst du an sie ran. Was genau stört dich daran, dass die Malware entfernt ist aber in Q isoliert steckt? Zitat:
Zitat:
Wo sollen die Daten verwendet werden, unter Windows?! Wenn du eh nur in dem Live-Betriebssystem arbeitest gibt es nichts zu scannen |
Lieber C., danke, dass Du Dir die Zeit genommen hast, diese Fragen noch zu beantworten! Zitat:
Zitat:
Zitat:
Ja, unter Windows. Es sind ja selten .exe oder .bat Dateien, aber hin und wieder zieh ich mir schon mal eine .doc oder .xls mit irgendwelchen Informationen zu einem Spiel u.Ä. (z.B. Technologiebäume für Strategietitel, Lösungen zu RPGs, etc.). Da auf Nummer sicher gehen kann nicht schaden. Die Xubuntu Disk könnte ja zum Beispiel nicht infiziert werden, aber darunter hat das System sicher (Schreib-)Zugriff auf alle vorhandenen Festplatten. Gibt es denn eigentlich Schädlinge, die in so einem Szenario gefährlich werden können, ohne dass eine ausführbare Datei geöffnet wird (die sich also z.B. beim Zugriff auf eine Webseite auf einen lokalen Datenträger schreiben)? Klingt eigentlich unwahrscheinlich. |
Zitat:
Zitat:
Zitat:
|
Zitat:
Die Deinstallation von SAS ist aber jedenfalls nicht so einfach wie bei vielen anderen Programmen, wo im Startmenü ein extra Unterpunkt "XYZ deinstallieren" vorgesehen ist, den ich nur anklicken muss. Schwierig ist es allemal nicht, insbesondere wenn man die Seite hxxp://www.superantispyware.com/supportfaqdisplay.html?faq=47 gefunden hat, aber eben auch nicht intuitiv. Zitat:
Ich muss mich aber wohl doch mit den Details nochmal befassen, denn das Booten von der Xubuntu Disk funktioniert nicht. Das BIOS sagt "Boot von CD", dann zweimal Zeilenwechsel, und dann startet der Bootloader von der Festplatte. Ich werde mich mal an das Forum zu der Xubuntu Disk wenden. |
Zitat:
Hinweise zur Deinstallation von sasw hatten wir auch extra ganz unten in unsere Anleitung gebaut |
Zitat:
Gut, deinstalliere ich SAS. Was bleibt eigentlich sonst noch zu tun? Ich hatte Dich ja so verstanden, dass wir durch sind. Defogger wieder rückgängig zu machen ist an sich nicht notwendig, da der eh nichts bewirken konnte. Oder doch? |
defogger ist nur relevant wenn du Software für virtuelle CD/DVD Laufwerke verwendest Dann wären wir durch! :abklatsch: Die Programme, die hier zum Einsatz kamen, können alle wieder runter. Mit Hilfe von OTL kannst du auch viele Tools entfernen: Starte bitte OTL und klicke auf Bereinigung. Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen. Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken. Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP:Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Start, Systemsteuerung, Windows-Update PDF-Reader aktualisieren Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast) Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers: Prüfen => Adobe - Flash Player Downloadlinks findest du hier => Browsers and Plugins - FilePony.de Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind. Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
Danke für die Tips! Dazu folgende Kommentare, der Vollständigkeit halber: Windows Update habe ich auf Setting: bei Updates benachrichtigen. Die installiere ich eigentlich immer. Nur das Defender update, das neulich schiefging (siehe oben) dürfte ich irgendwie verpasst haben. Java und Flash Player habe ich vor einiger Zeit rausgeschmissen, eine Empfehlung der c't. LDas Fehlen von Java bedeutet zwar ein bisschen extra Sicherheit, aber auch, dass ich PSI nicht nutzen kann. Oder gibt es evtl. eine Möglichkeit, PSI auch ohne Java scannen zu lassen? Adobe Reader ist ebenfalls nicht auf meinem Rechner, ich nutze einen anderen Reader (wenn auch keinen der genannten). Firefox hält sich mittlerweilen selber aktuell, den IE nutze ich wegen der Anfälligkeit nicht mehr. Chrome und Safari habe ich drauf, werden aber nicht genutzt. Aber jetzt nochmal was Anderes: Firefox war nach Ersatz der HOSTS-Datei ja anfangs mindestens gefühlt schneller. Inzwischen kriecht der Browser aber nur noch. Insbesondere das Abrufen von e-mail (wobei immer Tonnen von Adware im Hintergrund geladen werden wollen, f**k Arcor/Vodafone) und das Tippen in Eingabemasken (wie z.B. hier und jetzt) ist schmerzhaft lahm. Kann ich das durch Deaktivieren des DNS client service wieder beschleunigen, oder liegt es evtl. eher nicht daran? ---------- Update, 5.11., 9:45: Heute morgen bot Avira einen update auf die neue Version 2013 an. Die habe ich eingespielt. Jetzt ist Firefox wieder gewohnt schnell, insbesodere keinerlei Verzögerungen mehr bei der Eingabe von Text. Ein kausaler Zusammenhang muss deswegen noch nicht gegeben sein, ist aber natürlich immerhin möglich. |
Zitat:
Man kommt nicht immer ohne Flash aus, wenn du nicht willst, dass sofort Flashanimationen auf einer Website starten, dann nimmst du eben NoScript oder Flashblock Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 06:57 Uhr. |
Copyright ©2000-2025, Trojaner-Board