GVU 2.11 / evtl. noch was in RECYCLE bin und Sytemfoldern?
 

Liebe Trojanerbekämpfer

ich habe mir am 9.1. un ca. 23 Uhr den GVU-Trojaner 2.11 (ohne jedoch meine Webcam aktiviert zu sehen) eingefangen. Windows7 64bit mit Avira Antivirus und Windows Firewall, keine andere dauernd laufende Sicherheitssoftware.
Evtl. etwas vorschnell habe ich diverse Maßnahmen selbst ergriffen, bin aber mit dem Ergebnis nicht so zufriedengestellt. Da ich jetzt nicht bei meinem Heimrechner bin der vor sich hin ESET online scan macht
wollte ich den Fall hier schon mal vorbereitend, soweit rekonstruierbar im Gedächntnis und (noch) ohne Scanprotokolle, beschreiben.

Ich habe den Rechner im abgesicherten Modus mit Netzwerktreibern wieder starten können und habe Malwarebytes geladen. Im Quickmodus fand der auch sehr schnell 5 infizierte Dateien, die um 22.59 Uhr auf den Rechner gelangt sind. Drei der Dateien waren mit einer langen, repititiven Buchstabenfolge, jedoch mit verschiedenen File Extensions, benannt (zumindest .dll entsinne ich mich). Von den anderen beiden entsinne ich mich war eine eine .js Datein in meinem Users Ordner, und eine ein .lnk in Autostart. Die Dateien habe ich zunächst in Quarantäne gesickt. OTL und Adware Suche habe ich auch gemacht, nichts gefunden oder nichts damit anfangen können. Ich habe dann die zwischenzeitig abgehängten externen Festplatten auch mit Malwarebytes gescannt. Dort befanden sich viele zumeist adware Dinge, die auf uralten Installers sind, und einige wenige (andere) als Trojaner oder jokeware bezeichneten Dinge, die ich im wesentlichen quarantiert habe und dann die Festplatten wieder abgeklemmt habe.

Ich habe noch einige andere Tools genutzt, insbesondere von Kaspersky den Rootkit Tool, nichts gefunden.

Dann habe ich einen Vollscan auf den C/D Drives mit Malwarebytes gemacht. Dummerweise habe ich während des langen Scans ein paar mir bekannte Dateien auf dem Desktop aufgeräumt und abgesichert (wie Installers für die neue Sicherheitstools), während der nicht gerade da auf dem Desktop am Scannen war. Da ich mir auch anschaute, wo der Scanner gerade ist, habe ich zufällig in einer noch nicht erreichtem Ornder (ProgramData) gesehen, da ist noch eine Datei mit obigen langem Namen, aber eine .js. Gleicher Zeitstempel. Diese Datei habe ich umbenannt und auf D verschoben.

Dann habe ich noch Java aktualisiert und Adobe Flash ohne altes zu löschen neu installiert. Bei letzterem dummerweise unachtsam den McAfee Scan mitgeholt, der nervt. Den hatte ich schon mal, aber der war vorher nicht an.
Die quarantinierten Dateien habe ich später von Malwarebytes löschen lassen.

Zuguterletzt habe ich gestern den ESET Online Scan gemacht.
Außer Adware (ua. ein keylogger aus einem Softwareinstallerpaket, der mich schon nervöser macht) waren da drei Trojaner.
Zwei der Trojanerdateien, mindestens eine davon vom selben Zeitpunkt wie die von Malwarebytes erkannten, habe ich mit Eraser komplett geschreddert - es war die von mir in D verschobene .js Datei dabei! Eine weitere .js Trojanerdatei laut ESET habe ich auch mit Eraser geshreddert, und da in dem Ordner eine weitere .js gleichen Zeitpunkts aber ohne Beanstandung lag, diese gleich auch.
Die andere ESET-Beanstandungen habe ich gelassen, bzw. lassen müssen. Denn der dritte Trojaner, der liegt im Papierkorb. Und der bereite mir jetzt große Sorge. Gleicher Zeitstempel, gleicher Trojanertyp, und von mir selbst nicht in den Papierkorb geschoben!

Nun kann ich leider keinen Zugriff auf $RECYCLE. Ich lasse alle versteckten Dateien und Ordner anzeigen, komme aber im Windows Explorer nicht rein in dessen Unterverzeichnisse. Der beanstandete Ordner wird nicht mal angezeigt. Komischerweise kann ich aber im Chrome Browser tiefer in die Struktur von $RECYCLE sehen. Da gibt es den Ordner mit beanstandeter Datei, aber nicht die beanstandete Datei darin. Stattdessen ist da eine desktop.ini, anderen Datums, vielleicht eine die ich irgendwann mal versehentlich gelöscht habe. Jedenfalls kann ich in einem Texteditor diese desktop.ini direkt mit Pfadeingabe dortin aus $RECYCLE heraus anschauen, sie sieht so aus wie andere aktuelle desktop.ini.
Ich habe während des ESET Scans evtl. wieder unbedacht den Papierkorb geleert, vielleicht ist da nichts mehr, aber dem Braten traue ich nicht mit der komischen desktop.ini dort und dem verschollenen Trojaner im Papierkorb. Avira und Malwarebytes finden nichts zu beanstanden in $RECYCLE. Ich glaube AVIRA sagt, er hätte alle 4 Bestandteile in $RECYCLE, zuletzt desktop.ini, unbeanstandet gescannt.
Ich lasse jetzt während der Arbeit ESET nochmal laufen, auf Abschluß konnte ich zu Hause nicht warten. Aber ich glaube, er war schon durch etliche Ordner durch und hat bislang nichts gefunden. Dies wäre aber auch seltsam, da ich die Adware-Dinge vom letzten Scan nicht angerührt habe. Muß nachher sehen, was er nun gefunden hat.

Wegen des Problems in §RECYCLE bereitet mir auch Systemwiederherstellung Sorgen. Die Ordner sind scheinbar 0 bytes, aber ich habe Wiederherstellungspunkte. Ich habe sie mir auch nicht getraut abzuschalten, sondern im Gegenteil einen aktiv angelegt und mit automatischen Updates von Windows, und Java-Update, weitere bekommen. Können die Viren sich auch da versteckt haben, ohne das selbst ESET die findet? Der letzte Punkt vor der Attacke war am 5.1.
Passwörter, von denen ich zu viele habe, sind alle verschlüsselt und ich habe mich bis auf e-mail nicht getraut, irgendeines zu nutzen. Alle neu machen wird nicht gehen, ich muß sicher sein, den Trojaner komplett wegzukriegen. Wenn kein keylogger aktiv ist sollte dies doch gehen - nach kompletter Bereinigung, es sei denn, irgendwas shreddert mir vorher meine verschlüsselten Passwörter

In Abwesenheit der Logs ist dies erstmal alles. Dies logs kann ich schicken, wenn ich wieder an den Heimrechner kommen kann.

Vielen Dank, wenn Sie mir weiterhelfen können.

Hi
poste bitte alle Malwarebytes und eset logs.
die werden autom gespeichert.
http://www.trojaner-board.de/125889-...en-posten.html

Hallo
bevore ich zu Hause ankomme (weiß aber nicht ob ich sofort Zeit habe), wie posted man nochmal kleinere Logs, so daß sie in den scrollbaren Kästchen erscheinen. Habe ich schon irgendwo Anleitung gesehen aber nun finde ich nichts mehr.
Danke

- dies habe ich nun noch mit Google Suche gefunden aus Trojanerboard: Nehme an so.

Hi,
du kannst die Logs entweder im code posten, oder nicht, mir ist beides recht.

Malwarebytes - erste drei Scanresults (evtl)
erster Scan:
zweiter Scan:
dritter Scan (full C and D):
Malwarebytes, vierter Scan, alle externen Festplatten:
die Dinge in Quarantäne sind nun mittlerweile gelöscht.

hast du die Funde entfernt? falls nein, erledigen

Die Funde in Malwarebytes sind aus der Quarantäne gelöscht. Zumindest was C und D Laufwerke angeht (falls die Quarantäne der abgehängten Laufwerke woanders ist).
Ich habe noch etlich endere Logs. dauert eine weile.

[Code]
***OTL EXTRAS Logfile:
--- --- ---
OTL Logfile:
--- --- ---

Im Anhang TDSS Log.

ESET erster Scan:
Ich habe auch defogger laufen lassen
PS - bitte wie mache ich die Einstellung zu CD emulators wieder rückgängig?

ESET Screenshot.

OTL zweiter Scan
OTL Logfile:
--- --- ---

Dritter Scan
OTL Logfile:
--- --- ---

Ich wollte noch testen, ob es sein kann es befindet sich was ungesehen in Recyclebin.
Dazu habe ich eine Datei absichtlich gelöscht, und mir Recyclebin genauer angesehen. Und dann habe ich sogar (zunächst unbeabsichtigt) meine Notizen direkt aus einem Texteditor in eine neue Datei in Recyclebin gespeichert.
Recyclebin-Scanergebnisse sind auch hier drin.
ACTUNG - ich habe eine Report-Datei dann versehentlich auch in $RECYCLE hineingespeichert. Sie läßt sich von dort öffnen (Pfad in Editpad Lite eingeben) und editieren (habe mittlerweile Inhalt gelöscht), aber ist ansonsten unsichtbar und läßt sich nicht mehr mit Papierkorb löschen entfernen und nicht umbenennen. Dies spricht dafür, daß auch ein Virus der absichtlich in §RECYCLE reingeschrieben wird, dort ungesehen bleibt.

so, alles was ich an Scans habe ist drin
meine Hauptfragen sind
- ist der Trojaner komplett weg
- kann es sein er hängt unentdeckt und unlöschbar im Papierkorb?
- Warum findet ESET Sachen nicht mehr die eindeutig noch da sind
- desktop.ini in Recycle ist normal?
- was mache ich mit Systemwiederherstellungspunkten
- wie mache ich Änderungen durch defogger rückgängig
- GMER Bluescreen Crash schlimm?:crazy:

Ich habe gestern, da noch keine neue Anweisungen, gesehen ob was mit Papierkorb ist. Tatsächlich, mit dem Microsoft Fix-It Tool stellte sich der Papierkorb als defekt heraus.
MS Fix-It MicrosoftFixit.WinFileFolder.FISC.35281452635381313.2.1.Run.exe

jetzt habe ich einen neuen Papierkorb.

nach Scan mit Trend Micro Housecall Eraser-gelöscht:
C:\Users\***\AppData\Local\Temp\somoto-master.exe Win32/Somoto application

--

habe Windows die temporären Dateien löschen lassen, aber nur was Windows selbst macht über C - Eigenschaften - Bereinigen - Systemdateien selbst macht. Ich habe u.a. auch mehrere ! GB große Crashbereichte, die habe ich nicht gelöscht, ebenso habe ich nicht manuell Temp Folders oder .tmp und irgendwelche Fragmente von gecrashten Office Dokumenten gelöscht.

--

AVG Search (Plugin von Chrome) hatte am zur Attackenzeit um 22.59 mehrfach angeschlagen, obwohl dies ein Chrome-Plugin ist, und zu dem Zeitpunkt nur Opera offen war.
C:\Users\***\AppData\LocalLow\AVG Secure Search\cache

--


hxxp://www.bitdefender.de/scanner/online/free.html (.cab in IE installiert)
Herzlichen Glückwunsch! Es wurden keine Infektionen gefunden.
Testen Sie den Testsieger: Bitdefender Internet Security 2013

---

Panda hxxp://www.pandasecurity.com/germany/homeusers/solutions/activescan/:
d.h. in alten, riesigen Thunderbird Maildateien schlummern noch alte Trojaner. Diese Maildateien haben kein funktionierende .msf mehr, ich kriege Thunderbird nicht mehr dazu, dies wiederherzustellen aber kann immer noch einzelne e-mails darin suchen und behalte die deshalb.

combofix:

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hallo Markusg,
bin ein paar Tage verreist, bitte die Links für Combofix noch nicht löschen und Vorgang aktiv halten.
Vielen Dank Dir!

immer mit der ruhe, und, hoffendlich, erholsame Tage

Vielen Dank für die Grüße.
Ich habe Combofix ausgeführt. Lief etwas anders als in der Beschreibung z.B Verbindung von Internet trennen und Uhrzeitänderung oder Windows Wiederherstellungskonsole einrichten nix gemerkt, aber lief durch.
- Zwei Sachen sind in Quarantäne, aber nichts was andere Scanner erkannt hatten. Eins davon habe ich gar selbst in Autostart gesetzt. Alles andere was Combofix berichtet ist wohl noch da.
- Temporäre Internetdateien und windows/temp weitgehend weg (hätte mir gar nicht getraut dies alles zu löschen, da waren z.B. ja solche Microsoft KB Dateien drin)
- Wiederherstellungspunkte alle da aber keine von Combofix gemachte (nach Durchlauf selbst gelöscht?)
- Bei C Eigenschaften sehe ich immer noch große Crashreports etc und weiß nicht ob die nicht auch wegkönnen. Hatte gedacht Combofix löscht die auch.

Also, hier der Report

[CODE]
Combofix Logfile:
--- --- ---

--- --- ---

Habe Avira und Firewall wieder eingeschaltet. Ich reboote erstmal.

hi

lade den CCleaner standard:
CCleaner - Download - Filepony
falls der CCleaner
bereits instaliert, überspringen.
öffnen, Tools (extras),uninstall Llist, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Hallo Markus

danke!
Ich bin erstmal wieder weg (Wochenend pendeln ...) mache dies nächste Woche CCleaner ist schon installiert, werde vorher nach Update schauen.

Dir ein gutes WE!

DWT

dir auch. einfach weiter machen wenn du zeit hast.

Hallo Markus

ales erstes nach Eintrudeln die Liste.

7-Zip 9.20 10.07.12 Benötigt
ABBYY FineReader 6.0 Sprint ABBYY Software House 22.05.12 119MB 6.00.1395.4512 Benötigt
Adobe AIR Adobe Systems Incorporated 10.01.13 3.5.0.1060 Benötigt
Adobe Flash Player 11 ActiveX Adobe Systems Incorporated 08.01.13 6,00MB 11.5.502.146 Benötigt
Adobe Flash Player 11 Plugin Adobe Systems Incorporated 10.01.13 6,00MB 11.5.502.146 Benötigt
Atheros Communications Inc.(R) AR81Family Gigabit/Fast Ethernet Driver Atheros Communications Inc. 16.03.12 1.0.0.36 Benötigt
AVG Security Toolbar AVG Technologies 08.11.12 13.2.0.5 Benötigt
Avira Free Antivirus Avira 14.11.12 125MB 12.1.9.1236 Benötigt
BioEdit Tom Hall 11.06.12 21,7MB 07.01.03 Benötigt
BUDNI Fotowelt 25.05.12 Benötigt
CCleaner Piriform 19.12.12 01.03.26 Benötigt
ColorPic Iconico 22.05.12 04.01.13 Benötigt
CutePDF Writer 2.8 22.05.12 Benötigt
dm-Fotowelt 23.05.12 Benötigt
EDEKA Foto 11.06.12 Benötigt
Energy Management Lenovo 16.03.12 16,8MB 6.0.2.0 Benötigt
Epson Easy Photo Print 2 SEIKO EPSON CORPORATION 22.05.12 2.1.0.0 Benötigt
Epson Event Manager SEIKO EPSON Corporation 22.05.12 2.20.00 Benötigt
EPSON Scan 22.05.12 Benötigt
Epson Stylus SX110_TX110 Manual 22.05.12 Benötigt
EPSON SX110 Series Printer Uninstall SEIKO EPSON Corporation 25.05.12 Benötigt
Eraser 6.0.9.2343 The Eraser Project 23.05.12 2,35MB 6.0.2343 Benötigt
Eudora OSE (1.0) Mozilla 25.07.12 1.0 (en-US) Benötigt
FLVPlayer4Free Free FLV Player 4.7.0.0 Sakysoft s.r.l. uninominale 22.05.12 8,42MB Benötigt
FotoUP_bisabi.de Q4 media AG 25.05.12 3.1.832 Benötigt
Foxit Reader Foxit Corporation 25.10.12 39,2MB 5.4.3.920 Benötigt
FUJIdirekt Bestellsoftware 4.4 26.05.12 Benötigt
Globus Fotoservice 4.4 26.05.12 Benötigt
Google Chrome Google Inc. 16.03.12 24.0.1312.52 Benötigt
Google Earth Google 22.05.12 107MB 6.2.2.6613 Benötigt
Google Talk Plugin Google 02.11.12 19,2MB 3.10.2.10212 Benötigt
Google Toolbar for Internet Explorer Google Inc. 16.01.13 7.4.3607.2246 Benötigt
HP Customer Participation Program 14.0 HP 22.05.12 14.0 Benötigt
HP Deskjet D2600 Printer Driver Software 14.0 Rel. 5 HP 22.05.12 14.0 Benötigt
HP Imaging Device Functions 14.0 HP 22.05.12 14.0 Benötigt
HP Smart Web Printing 4.60 HP 22.05.12 01.04.60 Benötigt
HP Solution Center 14.0 HP 22.05.12 14.0 Benötigt
HP Update Hewlett-Packard 22.05.12 2,97MB 5002002002 Benötigt
IBM Lotus Symphony IBM 22.05.12 442MB 3.01.12011 Benötigt
ImageConverter Plus 8.0 fCoder Group, Inc. 22.05.12 Benötigt
Inkscape 0.48.2 22.05.12 0.48.2 Benötigt
Intel(R) Control Center Intel Corporation 24.05.12 1.2.1.1007 Benötigt
Intel(R) Management Engine Components Intel Corporation 24.05.12 7.0.0.1144 Benötigt
Intel(R) Processor Graphics Intel Corporation 24.05.12 8.15.10.2342 Benötigt
Intel(R) Rapid Storage Technology Intel Corporation 24.05.12 10.1.5.1001 Benötigt
IrfanView (remove only) Irfan Skiljan 10.01.13 2,00MB 01.04.35 Benötigt
Java 7 Update 10 Oracle 17.10.12 128MB 7.0.100 Benötigt
JavaFX 2.1.0 Oracle Corporation 23.05.12 20,8MB 02.01.00 Benötigt
Just Great Software EditPad Lite DE 6.4.5 Just Great Software 11.01.13 4,38MB DE 6.4.5 Benötigt
Kaufland Foto 02.11.12 Benötigt
Lenovo EasyCamera Vimicro 16.03.12 13.11.616.1 Benötigt
Lenovo EE Boot Optimizer Lenovo 16.03.12 0.0.1.6 Benötigt
Lenovo Games Console Oberon Media Inc. 16.03.12 1.2.6.436 Benötigt
Lenovo OneKey Recovery CyberLink Corp. 16.03.12 7.0.1628 Benötigt
Lenovo YouCam CyberLink Corp. 16.03.12 135MB 03.01.28 Benötigt
Lenovo_Wireless_Driver Lenovo 16.03.12 01.02.01 Benötigt
Marktkauf Fotowelt 25.05.12 Benötigt
Maxthon 3 Maxthon International Limited 22.05.12 Benötigt
Mendeley Desktop 1.5.2 Mendeley Ltd. 22.05.12 01.05.02 Benötigt
Microsoft .NET Framework 4 Client Profile Microsoft Corporation 26.05.12 38,8MB 4.0.30319 Benötigt
Microsoft .NET Framework 4 Client Profile DEU Language Pack Microsoft Corporation 26.05.12 2,93MB 4.0.30319 Benötigt
Microsoft Silverlight Microsoft Corporation 26.05.12 40,3MB 4.1.10329.0 Benötigt
Microsoft SQL Server 2005 Compact Edition [ENU] Microsoft Corporation 16.03.12 1,69MB 03.01.00 Benötigt
Microsoft Visual C++ 2005 Redistributable Microsoft Corporation 26.05.12 2,38MB 8.0.61001 Benötigt
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729 Microsoft Corporation 23.05.12 598KB 9.0.30729 Benötigt
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Microsoft Corporation 23.05.12 590KB 9.0.30729 Benötigt
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 Microsoft Corporation 26.05.12 600KB 9.0.30729.6161 Benötigt
Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 Microsoft Corporation 25.07.12 12,2MB 10.0.40219 Benötigt
Mozilla Thunderbird 12.0.1 (x86 de) Mozilla 22.05.12 38,1MB 12.0.1 Benötigt
Notepad++ 22.05.12 06.01.02 Benötigt
OneKey Recovery CyberLink Corp. 16.03.12 7.0.1628 Benötigt
Opera 12.12 Opera Software ASA 10.01.13 12.12.07 Benötigt
Path Copy Copy 10.1 Charles Lechasseur 23.05.12 2,17MB Benötigt
pdfsam 22.05.12 02.02.01 Benötigt
Pegasus Mail David Harris 22.05.12 Benötigt
Pegasus Mail HTML Renderer 2.4.7.2 Micha's Midnight Manufacture 22.05.12 2,28MB Benötigt
Pegasus Mail v4.63 Release 1, Build 325 (Deutsche Komplettversi Tech Soft GmbH 22.05.12 32,8MB Benötigt
PhotoDose 4.2 26.05.12 Benötigt
Picasa 3 Google, Inc. 22.05.12 03.08.13 Benötigt
Power2Go CyberLink Corp. 16.03.12 5.6.0.7303 Benötigt
PowerCmd 2.2 PowerCmd 23.05.12 6,35MB AppVerName Benötigt
PrintFolder 1.3 No Nonsense Software 22.05.12 Benötigt
Quick Media Converter 22.05.12 Benötigt
R for Windows 2.15.0 R Development Core Team 22.05.12 89,2MB 2.15.0 Benötigt
Realtek USB 2.0 Reader Driver Realtek Semiconductor Corp. 16.03.12 6.1.7600.10003 Benötigt
Replace Text Ecobyte 23.05.12 2,05MB 02.02.13 Benötigt
REWE Fotoservice 11.06.12 Benötigt
RockMelt RockMelt, Inc. 23.05.12 0.16.91.483 Benötigt
Rosetta Stone Version 3 Rosetta Stone Ltd. 30.07.12 118MB 3.4.5.0 Benötigt
Rossmann Fotowelt Software 4.12.1 ORWO Net 23.05.12 04.12.01 Benötigt
RStudio RStudio 22.05.12 0.96.122 Benötigt
Ruby 1.9.3-p194 RubyInstaller Team 22.05.12 60,3MB 1.9.3-p194 Benötigt
Shop for HP Supplies HP 22.05.12 14.0 Benötigt
Skype™ 6.0 Skype Technologies S.A. 13.12.12 20,3MB 6.0.126 Benötigt
Sleipnir Version 3.0.17 Fenrir Inc. 23.05.12 113MB 3.0.17 Benötigt
Social Extras Buzzbox Media 22.11.12 Benötigt
Soda 3D PDF Reader LULU Software 22.05.12 71,4MB 1.0.154.2600 Benötigt
Strawberry Perl (64-bit) strawberryperl.com project 22.05.12 247MB 5.14.2001 Benötigt
Synaptics Pointing Device Driver Synaptics Incorporated 16.03.12 46,4MB 15.3.0.0 Benötigt
USB PC Camera 25.05.12 4.6.0.2 Benötigt
UserGuide Lenovo 16.03.12 51,3MB 1.0.0.6 Benötigt
VeriFace Lenovo 16.03.12 4.0.0.1224 Benötigt
Video Download Button 25.06.12 Benötigt
Video Download Toolbar 2.6.0.0 Sakysoft s.r.l. uninominale 25.06.12 10,7MB Benötigt
Windows Live Essentials Microsoft Corporation 16.03.12 15.4.3508.1109 Benötigt
Windows Live Mesh ActiveX control for remote connections Microsoft Corporation 16.03.12 5,57MB 15.4.5722.2 Benötigt
Windows-Treiberpaket - Lenovo (ACPIVPC) System (12/02/2010 6.1.0.1) Lenovo 16.03.12 12/02/2010 6.1.0.1 Benötigt
WinPcap 4.1.2 CACE Technologies 22.05.12 4.1.0.2001 Benötigt
Yahoo! Messenger Yahoo! Inc. 22.05.12 Benötigt
YTD Toolbar v6.6 Spigot, Inc. 04.12.12 3,48MB 06.06.13 Benötigt
YTD Video Downloader 3.9.2 GreenTree Applications SRL 16.09.12 Benötigt
EditPad Lite DE 7.2.2 Just Great Software 11.01.13 13,5MB DE 7.2.2 Benötigt (2 Versionen wg. Bug in v. 7)
McAfee SiteAdvisor McAfee, Inc. 26.08.12 3.5.229 Benötigt (aber unbekannt warum zweimal installiert)
McAfee SiteAdvisor McAfee, Inc. 23.07.12 3.5.0.221 Benötigt (aber unbekant warum zweimal installiert)
ESET Online Scanner v3 10.01.13 Benötigt (im Rahmen des Problems jetzt)
Malwarebytes Anti-Malware Version 1.70.0.1100 Malwarebytes Corporation 09.01.13 18,4MB 1.70.0.1100 Benötigt (im Rahmen des Problems jetzt)
Panda ActiveScan 2.0 Panda Security 12.01.13 3,90MB 01.04.01.0014 Benötigt (im Rahmen des Problems jetzt)
Secunia PSI (3.0.0.6001) Secunia 10.01.13 5,76MB 3.0.0.6001 Benötigt (im Rahmen des Problems jetzt)
Conexant HD Audio Conexant 16.03.12 8.54.4.51 Unbekannt, vermutlich mit PC gekommen und für Multimedia gebraucht
McAfee Security Scan Plus McAfee, Inc. 10.01.13 10,2MB 3.0.285.6 Unbenötigt
Yahoo! Toolbar 22.05.12 Unbenötigt
SumatraPDF Krzysztof Kowalczyk 10.01.13 8,19MB 02.01.13 Unbenötigt (irgendwie letztens mitinstalliert)
Microsoft Office 2010 Microsoft Corporation 16.03.12 6,31MB 14.0.4763.1000 Benötigt wenn auch nur Trialware

Ich bestelle öfters Fotos und kann mich oft nicht festlegen wo, daher viele solche Programme. Ansonsten ist da recht wenig drauf für einen 1 Jahr alten Rechner, sonst hatte ich da viel mehr an berufsbedingter Software.

deinstaliere:
Adobe Flash Player alle
Adobe - Adobe Flash Player installieren
neueste version laden, instalieren.
deinstaliere:
AVG Security Toolbar : kann man drauf verzichten, außerdem verlangsamen toolbars nur den Browser
Google Toolbar : selbe gilt dafür, toolbars sind außerdem ein zusätzliches risiko
Java : beide
downloade Java jre:
Java-Downloads für alle Betriebssysteme
klicke:
Download der Java-Software für Windows Offline
laden, und instalieren
deinstaliere:
Video Download Toolbar
YTD Toolbar
McAfee : können beide weg
ESET
Panda
Secunia : bleibt, das ist immer nötig für updates.
SumatraPDF
Microsoft Office

Öffne CCleaner, analysieren, starten, PC neustarten.
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Suche.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste
  mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

Hallo markusg,

die mit dem PC gekommene Test-Version von MS Office muß allerdings bleiben. Während ich durchaus zu Hause mal mit IBM Lotus Symphony was editieren kann kriege ich öfters Dateien geschickt die in jedem Open Office /Lotus oder verwandten Programm nicht korrekt dargestellt sind (track changes Chaos, falsche Formatierung, Grafiken schwarz und ähnliches). So kann ich ohne privates Kaufen des ungeliebten MS Office dies wenigstens noch anschauen wenn auch nichts editieren oder abspeichern.
Ich verwende MS IE so gut wie nie (selten wenn es in anderen Browsern nicht geht), deaktivierte Toolbars stören mich da nicht. Ist dies denn problematisch? Mein Standardbrowser ist Maxthon, gelegentlich auch Chrome oder Opera, RockMelt für Facebook. In Maxthon verwende ich die Google-Toolbar aber ständig. Die Toolbar die ich absolut nicht brauche ist die von Yahoo. Komischerweise habe ich auch eine Soda 3D PDF Reader Toolbar, die hat CCleaner nicht gefunden.

dann lasse die drauf, die Toolbar sollten wir mit adwcleaner finden

Adobe Flash Player alle - gemacht mit CCleaner
Adobe - Adobe Flash Player installieren (wegen Problem mit HP Drivers siehe unten doppelt installiert)
neueste version laden, instalieren. - okay
deinstaliere:
AVG Security Toolbar : kann man drauf verzichten, außerdem verlangsamen toolbars nur den Browser - gemacht mit CCleaner
Google Toolbar : selbe gilt dafür, toolbars sind außerdem ein zusätzliches risiko - noch gelassen
Java : beide - gemacht mit CCleaner
downloade Java jre:
Java-Downloads für alle Betriebssysteme
klicke:
Download der Java-Software für Windows Offline
laden, und instalieren - okay
deinstaliere:
Video Download Toolbar - gemacht mit CCleaner
YTD Toolbar - gemacht mit CCleaner
McAfee : können beide weg - gemacht mit CCleaner
ESET - gemacht mit CCleaner
Panda - gemacht mit CCleaner
Secunia : bleibt, das ist immer nötig für updates.
SumatraPDF - gemacht mit CCleaner
Microsoft Office - muss bleiben

--

Yahoo IE Toolbar mit Systemeinstellungen deinstalliert

Soda 3D PDF IE Toolbar - scheint nicht unabhängig von Soda 3D deinstallierbar zu sein, deaktiviert,

--
hxxp://toolbarcollection.com/toolbar_detail.php?toolbar_id=1684&name=Soda+3D+PDF+Reader+Toolbar

an internet explorer toolbar developed by LULU Software

der beschriebene key ist nicht zu finden!

--

Chrome updated, da Flash Player eigentlich doch da integriert war

Achtung, jetzt kriege ich eine nervige Meldung von HP, daß Solution Center nicht mehr geht, da eine inkompatible Version von Adobe Flash Player installiert ist!! Es wird nicht mehr der Tintenstand gemeldet.
Ich wurde von HP neu aufgefordert, über IE Adobe Flash zu installieren.
Danach ging HP Solution Center wieder.
Ich habe danach HP Update ausgeführt.
EPSON geht (nur als Scanner verwendet).

AdwCleaner

hi
das hp da flash braucht, ist mir neu, aber man lernt nie aus.
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Suche.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste
  mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

AdwCleaner log ist oben schon drin im Codeblock!

klicke auf löschen statt suchen.

letzter AdwCleanerScan vor Löschen:
Nach der Löschung und reboot:

Diese Soda 3D IE Toolbar ist immer noch gelistet in IE, aber funktioniert eh nicht wenn ichda wieder auf "aktivieren" gehe. Macht mir keine Sorge.

Übrigens - Reicht MS Windows Defender als Firewall aus, wenn ich Avira als AV habe? Ist ZoneAlarm besser?
Wie gut ist eigentlich MS Process Explorer (hxxp://technet.microsoft.com/en-us/sysinternals/bb896653.aspx) als Alternative zu Taskmanager und msconfig, um genauer zu sehen was aktuell auf Rechner passiert? Und wie sicher und kompatibel ist DriverDetective?

Nur so als Idee, um den Rechner noch besser unter Kontrolle zu haben.

driver immer vom hersteller laden, prozess explorer ist ok.
gibts noch Probleme?

Ich erkenne keinerlei Performance- oder sonstige Probleme. Also, der Trojaner muss weg sein?
Diverse Antivirenscanner hatten ja noch was in alten riesigen Thunderbird-Mailboxen gefunden. Ich gehe davon aus, dies ist inaktiv. Externe Festplatten sind weitgehend abgetrennt und hatten auch nur in der Richtung was.
Was ist mit defogger? Kann man/soll man rückgängig machen? MS Windows Defender ersetzen?

--

Sollte ich schauen, ob was andere AV Scanner noch erkannt haben, aber ich nicht gelöscht habe, noch da ist und manuell löschen? Oder wenn Combofix sagt alles ist okay, dann ist es?

Kann sein die Soda Toolbar war von Junkware Removal Tool entfernt aber IE listed ihn immer noch (wenn man auf aktivieren klickt läd aber nichts)? War aber nicht 64C9D46E-8F8B-4158-9780-A6581C7439B1 drunter - hxxp://toolbarcollection.com/toolbar_detail.php?toolbar_id=1684&name=Soda+3D+PDF+Reader+Toolbar (irgendwelche andere Toolbars wurden jedoch hier schon gelöscht)

Soll ich insbesondere schauen ob dies noch da ist? Keylogger klingt unschön.
C:\copydesktopmay2012\DownloadPrograms\EDrawMindMap.exe a variant of Win32/KeyLogger.Ardamax.NBK application
(auf externen Platten ist es ohnehin alles, aber in C/D?)

Dies ist hxxp://www.ardamax.com/helps/keylogger/hidden-mode.html und ich frage mich wieso das im Installer von was anderem mit drin steckt.

habe mal bei fc_setup.exe - VirSCAN.org geschaut - diese datei erkennen AV gelegentlich als Trojaner.
a-squared 5.1.0.4 20121223160450 2012-12-23
Trojan-Spy.Win32.SpyEyes!IK
15.845
Ikarus T3.1.32.20.0 2012.12.23.83056 2012-12-23
Trojan-Spy.Win32.SpyEyes
a-squared 4.5.0.8 20091009200401 2009-10-09
Trojan-Dropper.Agent!IK
Ikarus T3.1.01.72 2009.10.09.74016 2009-10-09
Trojan-Dropper.Agent
Microsoft 1.5101 2009.10.08 2009-10-08
TrojanClicker:Win32/Yabector.A
Möglicherweise Fehlalarm bei so wenigen Treffern.

Hallo Markus
ein nerviges Problem habe ich doch. Seit den ganzen Reparaturen muß ich jede externe Festplatte erst über diesen Autorun-Dialog öffnen. Bei maximal 4 Festplatten nervt dies echt. Vorher war es so, daß die wie interne Festplatten einfach da waren, solange sie schon vor dem Windows booten angeschlossen waren. Falls dies aus Sicherheit nun so geschieht ist es trotzdem sehr nervig.
Gibt es da eine einfache Lösung ohne da in der registry rumzuspielen?

lösche alte mails, leere den papierkorb, komprimiere ordner.
und lad software beim hersteller, du hast jede menge misst geladen (adware)
externe platten automatisch zu öffnen ist nicht gut, kann schadsoftware übertragen. aber du kannst in dem öffnen dialog ne standard aktion auswählen, keine aktion zb.
wegen der toolbar, poste ein neues otl log

Bin noch auf Arbeit, daher erstmal Nachfrage.

lösche alte mails
>>> ich habe gestern ein paar Stunden gebraucht die alten e-mails in Thunderbird neu zu indexen und freue mich auch noch eine e-mail Adresse von 2007 so zu finden. Löschen werde ich die auf keinen Fall. Ich muß die Mails schon jahrelang auf Festplatte speichern, da ich sonst nur Webmail habe und da die Quota immer voll ist. Diese habe ich auch mehrfach auf Festplatten wegen Rechnerneukäufen und der Erfahrung einer defekten Festplatte.
Die Maildateien waren lange nicht mehr in Ordnung wegen größe, hin-und herschieben bei neuem Rechner, etc, abwechselnder Verwendung von Eudora und Thunderbird die sich dann gegenseitig in die Suppe spucken. Sind aber von Thunderbird nun wieder geindexed.

leere den papierkorb
>>> sollte leer sein

komprimiere ordner
>>> meintest Du Mailordner?

und lad software beim hersteller, du hast jede menge misst geladen (adware)
>>> merk ich mich für die Zukunft. Obwohl ich denke viel gibt es nur auf so online Plattformen zB. von Computerzeitschriften. Ich vermute Du meinst nix laden was nicht Bezahlware ist? Vielleicht helfen Onlinescanner bevor man eine Datei läd - aber sicher nicht gegen Adware?

externe platten automatisch zu öffnen ist nicht gut, kann schadsoftware übertragen. aber du kannst in dem öffnen dialog ne standard aktion auswählen, keine aktion zb.
>>> Die Option ist da nicht. Ich kann Autoplay komplett abschalten, aber nicht für die externen Festplatten separat. Und wenn Autoplay an ist, keine Option für nichts machen gesehen. In der Regel steht da Fotos zeigen etc., in Explorer öffnen, manchmal auch zu backup nutzen, solche Optionen kommen nur.
Vorher war es bei diesem Win7 Rechner wie auch bei früheren Win (andere Version) Rechnern.
Wenn ich Autoplay jetzt komplett deaktiviere kriege ich es auch nicht mehr für CDs und USB Sticks, da fand ich dies aber voll in Ordnung für z.B. zu sagen öffne CD mit dem Programm, brenne DVD mit dem Programm..., eben nur bei Festplatten will ich daß die einfach gemounted erscheinen ohne Fragen.
- wenn die Platten schon eingesteckt waren und auch Strom hatten, dann wurden sie bis vor wenigen Tagen ohne Autoplay einfach gezeigt. Nur wenn ich die nachträglich angeschlossen habe oder erst dann Stromnetz angeschaltet habe, kam Autoplay. Irgeneines der Tools muß da was verändert haben.

wegen der toolbar, poste ein neues otl log
Okay, schaue mal wann ich zu komme, WE und Reise kommt näher. Erstmal danke so weit!

Ich habe mal gesucht und finde dieses

hxxp://www.sevenforums.com/general-discussion/191571-external-hard-drive-keeps-showing-autoplay-prompt-2.html

In der Registry in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer oder HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
dword "NoDriveTypeAutoRun".
Traue mich aber nicht in regedit was zu machen. In hxxp://en.wikipedia.org/wiki/AutoRun liest sich dies noch komplexer.

Also, ich finde es riskant und unschön Autoplay bei USB Sticks und optischen Drives nicht zu haben, aber echt blöd daß mir irgendwas die Möglichkeit, Autoplay nicht bei externen Platten zu haben, zerhackt hat. Na schätze muß ich nun bei diesem Rechner mit leben.

vom Combofix, da habe ich noch folgendes gefunden:
ich folgere Combofix hat die Verknüpfungen von Soda PDF zu IE zerhaun, aber wohl nicht komplett weil innerhalb von IE taucht es gelistet auf aber läßt sich nicht mehr aktivieren. Dies ist in Add-Ons verwalten und betrifft sowohl die Toolbar als auch IE Helper.

Ich überlege ob ich nicht dieses Soda 3D PDF Reader, den ich standardmäßg verwende, lösche und neuinstalliere, vielleicht kann man danach die Integration mit IE richtig entfernen falls nicht gebraucht.

OTL neuer Scan
OTL Logfile:
--- --- ---

Diese Chromeplugins findet OTL, aber die sind doch deinstalliert!
CHR - plugin: McAfee SiteAdvisor (Enabled) = C:\Users\***\AppData\Local\Google\Chrome\User Data\Default\Extensions\fheoggkfdfchfphceeifdbepaooicaho\3.31.137.7_0\McChPlg.dll
CHR - plugin: AVG SiteSafety plugin (Enabled) = C:\Program Files (x86)\Common Files\AVG Secure Search\SiteSafetyInstaller\11.1.0\\npsitesafety.dll
CHR - plugin: McAfee SecurityCenter (Enabled) = c:\progra~2\mcafee\msc\npmcsn~1.dll
CHR - plugin: AVG SiteSafety plugin (Enabled) = C:\Program Files (x86)\Common Files\AVG Secure Search\SiteSafetyInstaller\11.1.0\\npsitesafety.dll
So perfekt funktionieren diese Sicherheitsprogramme also auch nicht.

Und was ist dies eigentklich? Sicher?

[2013.01.22 20:42:14 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Hosts_Anti_Adwares_PUPs
C:\Program Files (x86)\Hosts_Anti_Adwares_PUPs\HOSTS_Anti-Adware.exe

?

Weiß nicht mehr wie dies sich am 22.1. installiert hat.

Okay, nun sehe ich, dies ist etwas was von AdwCleaner empfohlen ist (unter ?), was aber nicht korrekt installiert wurde, deinstaller dazu ist auch keiner da, auch nicht unter Programme gelistet.
Soll ich die HOSTS_Anti-Adware.exe und HOSTS_Anti-Adware_main.exe einfach löschen, aber dann bleiben doch Reste in der registry? Ebend habe ich die exe sogar versehentlich ausgeführt, scheint nix passiert zu sein und taucht in taskmanager auch nicht auf.

Sorry dass ich nicht einiges obig gepostete rückgängig machen kann.
nach mehrfach hin und her Autoplay ein/aus habe ich jetzt zweimal rebootet und die externen Festplatten erscheinen ohne Autoplay, obwohl Autoplay nicht generell deaktiviert ist.
Die SD Karte zeigt Autplay wieder.
So wollte ich es haben, jetzt geht es wieder. Unerklärlich.

hi
du sollst ja auch nur unnötige mails löschen, papierkorb leeren, ordner komprimieren
warum sollte es riskannt sein, kein autoplay zu haben, umgekerht wird n schu draus
den pdf reader kannst du de und reinstalieren.

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.





• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.

a) Zum Glück habe ich dies kopiert, keine Ahnung wo OTL den Bericht vom Fix hingelegt hat.
b) reboot gemacht
c) danach gewundert wieso versteckte Systemdateien wie $RECYCLE.BIN auf C nicht mehr angezeigt werden - wieder so gemacht.
d) IE gecheckt, Soda 3D PDF Toolbar da immer noch inaktiv angeboten, dann Soda 3D PDF Reader deinstalliert -> Add-ons in IE sind jetzt weg, lag also an Soda selbst.
e) ganz neue Version des Programs Soda 3D PDF Reader neu installiert, ohne die angebotene AVG Sevurity Toolbar mitzuinstallieren
f) und siehe da, in IE wird die Soda 3D PDF Toolbar wieder angeboten, wenn man sie aktivieren will, wird gesagt man muß den Soda 3D PDF Helper Tool mitaktivieren (habe beides gelassen, genauso habe ich nicht auf die PDF-Creation Tools von Soda per Registrierung aktiviert)

Übrigens Chrome listed die folgenden Plugins, was sich von OTL's gefunden doch unterscheidet:

--

ich sehe dass alle möglichen Temp Dateien nun weg sind. Habe mal in C bereinigen geschaut.
Was ist eigentlich mit evtl. vorhandenen älteren Systemwiederherstellungen und mit Windows-Fehlerberichterstattungsdateien (mehrere mit über 1 GB!), eine Systemfehler-Speicherabbilddatei mit 920 MB? tmp Dateien außerhalb der Ordner die OTL nun gereinigt hat?, ~ Dateien von gecrashten Officeanwendungen?
nett daß diese riesigen Chrome und Flash caches leer sind jedenfalls. Da wäre ich nicht draufgekommen.

Wo ist eigentlich der Pfad zur Chrome Cache? C:\Users\***\AppData\Local\Google\Chrome\User Data\Default\Cache
Flash cache ? C:\Users\***\AppData\Roaming\Adobe\Flash Player\AssetCache\JPFT2PPX - da sind aber noch etliche Dateien drin im Flash cache.

die crash dateien kannst du löschen, oder behalten, wie du willst
systemwiederhestellung kannst du de und reaktivieen:
http://www.windowspower.de/systemwie...vista_967.html
das mit der toolbar so belassen
cache:
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Cache

aber so viel ist da ja meist eh nicht drinn in den caches
an speicher scheints dir ja zumindest nicht zu mangeln.

Hallo Markusg,
zurück von Reise. Erstmal ganz vielen Dank.
Wie weiter, wenn soweit alles erledigt?
downwithtroy

otl öffnen bereinigen, pc startet neu, remover werden gelöscht.
lösche über gebliebene Logs, Remover, Setups, leere den Papierkorb
als antimalware programm würde ich emsisoft empfehlen.
diese haben für mich den besten schutz kostet aber etwas.
Computeractive Software Store - Emsisoft Anti-Malware 7 [1-PC] - 63% off RRP
testversion:
Meine Antivirus-Empfehlung: Emsisoft Anti-Malware
insbesondere wenn du onlinebanking, einkäufe, sonstige zahlungsabwicklungen oder ähnlich wichtiges, wie zb berufliches machst, also sensible daten zu schützen sind, solltest du in sicherheitssoftware investieren.
vor dem aktivieren der lizenz die 30 tage testzeitraum ausnutzen.

kostenlos, aber eben nicht ganz so gut währe avast zu empfehlen.
http://www.trojaner-board.de/110895-...antivirus.html

sag mir welches du nutzt, dann gebe ich konfigurationshinweise.
bitte dein bisheriges av deinstalieren
die folgende anleitung ist umfangreich, dass ist mir klar, sie sollte aber umgesetzt werden, da nur dann dein pc sicher ist. stelle so viele fragen wie nötig, ich arbeite gern alles mit dir durch!

http://www.trojaner-board.de/96344-a...-rechners.html
Starte bitte mit der Passage, Windows Vista und Windows 7
Bitte beginne damit, Windows Updates zu instalieren.
Am besten geht dies, wenn du über Start, Suchen gehst, und dort Windows Updates eingibst.
Prüfe unter "Einstellungen ändern" dass folgendes ausgewählt ist:
- Updates automatisch Instalieren,
- Täglich
- Uhrzeit wählen
- Bitte den gesammten rest anhaken, außer:
- detailierte benachichtungen anzeigen, wenn neue Microsoft software verfügbar ist.
Klicke jetzt die Schaltfläche "OK"
Klicke jetzt "nach Updates suchen".
Bitte instaliere zunächst wichtige Updates.
Es wird nötig sein, den PC zwischendurch neu zu starten. falls dies der Fall ist, musst du erneut über Start, Suchen, Windows Update aufrufen, auf Updates suchen klicken und die nächsten instalieren.
Mache das selbe bitte mit den optionalen Updates.
Bitte übernimm den rest so, wie es im Abschnitt windows 7 / Vista zu lesen ist.
aus dem Abschnitt xp, bitte den punkt "datenausführungsverhinderung, dep" übernehmen.
als browser rate ich dir zu chrome:
Installation von Google Chrome für mehrere Nutzerkonten - Google Chrome-Hilfe
anleitung lesen bitte
falls du nen andern nutzen willst, sags mir dann muss ich teile der nun folgenden anleitung anpassen.


Sandboxie
Die devinition einer Sandbox ist hier nachzulesen:
Sandbox
Kurz gesagt, man kann Programme fast 100 %ig isuliert vom System ausführen.

Der Vorteil liegt klar auf der Hand, wenn über den Browser Schadcode eingeschläust wird, kann dieser nicht nach außen dringen.
Download Link:
Sandboxie - Download - Filepony

anleitung:
http://www.trojaner-board.de/71542-a...sandboxie.html
ausführliche anleitung als pdf, auch abarbeiten:
Sandbox Einstellungen |

bitte folgende zusatz konfiguration machen:
sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen.
dort klicke auf sandbox einstellungen.
beschrenkungen, bei programm start und internet zugriff schreibe:
chrome.exe
dann gehe auf anwendungen, webbrowser, chrome.
dort aktiviere alles außer gesammten profil ordner freigeben.
Wie du evtl. schon gesehen hast, kannst du einige Funktionen nicht nutzen.
Dies ist nur in der Vollversion nötig, zu deren Kauf ich dir rate.
Du kannst zb unter "Erzwungene Programmstarts" festlegen, dass alle Browser in der Sandbox starten.
Ansonsten musst du immer auf "Sandboxed webbrowser" klicken bzw Rechtsklick, in Sandboxie starten.
Eine lebenslange Lizenz kostet 30 €, und ist auf allen deinen PC's nutzbar.

Weiter mit:
Maßnahmen für ALLE Windows-Versionen
alles komplett durcharbeiten
anmerkung zu file hippo.
in den settings zusätzlich auswählen:
hide beta updates.
Run updateChecker when Windows starts

Backup Programm:
in meiner Anleitung ist bereits ein Backup Programm verlinkt, als Alternative bietet sich auch das Windows eigene Backup Programm an:
http://www.trojaner-board.de/82962-w...en-backup.html
Dies ist aber leider nur für Windows 7 Nutzer vernünftig nutzbar.
Alle Anderen sollten sich aber auf jeden fall auch ein Backup Programm instalieren, denn dies kann unter Umständen sehr wichtig sein, zum Beispiel, wenn die Festplatte einmal kaputt ist.

Zum Schluss, die allgemeinen sicherheitstipps beachten, wenn es dich betrifft, den Tipp zum Onlinebanking beachten und alle Passwörter ändern
bitte auch lesen, wie mache ich programme für alle sichtbar:
Programme für alle Konten nutzbar machen - PCtipp.ch - Praxis & Hilfe
surfe jetzt also nur noch im standard nutzer konto und dort in der sandbox.
wenn du die kostenlose version nutzt, dann mit klick auf sandboxed web browser, wenn du die bezahlversion hast, kannst du erzwungene programm starts festlegen, dann wird sandboxie immer gestartet wenn du nen browser aufrufst.
wenn du mit der maus über den browser fährst sollte der eingerahmt sein, dann bist du im sandboxed web browser

passwort sicherheit:
jeder dienst benötigt ein eigenes, mindestens 12-stelliges passwort
bei der passwort verwaltung und erstellung hilft roboform
Passwort Manager, Formular Ausfueller, Passwort Management | RoboForm Passwort Manager
anleitung:
RoboForm-Bedienungsanleitung: Passwort-Manager, Verwalten von Passwörtern und persönlichen Daten

Hallo Markusg,

ohje, dies wird eine Weile dauern.

Kleine Nach-Fragen:
- mit OTL fix anfangen, und dann nach und nach abarbeiten?
- was mache ich mit dem defogger?
- wenn ich erstmal mit avast Pro fahren will, ich habe gelesen avast Pro hat eine eigene Sandbox, reicht dies dann nicht? Oder Comodo mit Sandbox?
- kann man Opera auch als Sandboxed Browser wählen?
- bzgl. SEHOP: da wird von Problemen mit cygwin und Skype gesprochen. Cywin hatte ich mal beruflich, aber Skype nutze ich oft. Wenn Skype nicht mehr funktioniert, kann man SEHOP schnell wieder deaktivieren?

Dankesehr

Und anstelle von Sandboxie, hast Du Erfahrungen damit: hxxp://www.trustware.com/BufferZone-Pro-Features/ (BufferZone)? Ich würde gern mehr als einen Standardbrowser in der Sandbox nutzen können.
Ein review davon:
hxxp://www.tecchannel.de/sicherheit/tools/2039539/bufferzone_pro_programme_in_isoliertem_bereich_ausfuehren/

hi
nimm Sandboxie, das ist besser, wenn es ne Kaufversion von Antimalware software sein darf, emsisoft, ist ebenfalls besser als Avast.
otl löscht alle remover, auch defogger, sehop kann man rückgängig machen.
opera kann man auch in der Sandbox laufen lassen.
gib anstellte chrome.exe opera.exe frei und unter anwendung, webbrowser, sonstige, opera, alles außer gesammten profil ordner
du kannst in sandboxie mehrere Browser nutzen.
in der Vollversion zb erzwungene programmstarts, bei programm zugriff und internet zugriff die benötigte exe datei freigeben und gut is.
ich würd aber dann eher chrome nutzen, die halten sich an webstandards und da dürfte es dann keine Probleme geben und mehrere Browser sind gar nicht nötig
edit:
bei der kostenlosen sandbox version, die Freigaben wie angesprochen, rechtsklick, in sandboxie starten, bei dem jeweiligem Symbol

Hall Markusg

bin momentan viel dienstlich unterwegs, daher dauert es etwas dies abzuarbeiten (verwende Rechner gerade eher wenig). Das wesentliche scheint aber durch zu sein. Ich verwende auch Sandbox. Chrome mußte ich neuinstallieren, da war was komisch daß die Chrome Icons von .url shortcuts immer weg waren. Hatte gegoogelt und verschiedentlich wurde sowas in Foren diskutiert. Ansonten läuft Rechner jetzt super, und ich bleibe über Filehippo auch uptodate.

Nochmals vielen vielen Dank für die Hilfe. Allein wäre ich soweit nicht gekommen!

downwithtroy

hi
gerne, dafür sind wir hier