|
AntiVir meldet TR/Crypt.XDR.Gen' in 'C:\WINDOWS\system32\drivers\amd64si.sys' Hallo zusammen, seit zwei Tagen erscheinen auf dem PC meiner Eltern nun immer wieder Trojaner_meldungen von AntirVir. Bei einem stand dabei, dass hier keine Optionen zum löschen oder "in Quarantäne packen" zur Verfügung stehen, weil es die Heuristik betrifft. Sollte daher diese Datei an AntiVir schicken, das funktionierte aber leider nicht. CC Cleaner habe ich bereits ausgeführt und auch Malwarebytes habe ich gestern drüber laufen lassen und die Dinger in Quarantäne gepackt. Habe danach nochmal AntiVir laufen lassen und heute SuperAntiSpyware. Das hat natürlich noch was gefunden. Denke die alten Reportdateien von gestern sind damit bestimmt hinfällig. Müsste ich dann ggf. nochmal neu scannen, oder? Hier nun aber erstmal die bisherigen Ergebnisse: 1. SUPERAntiSpyware: Code: SUPERAntiSpyware Scan Log2. Hijack this: Code: Logfile of Trend Micro HijackThis v2.0.2CC Cleaner hab ich so lange ausgeführt, bis keine Fehler mehr kamen. Ich bin des Weiteren mit meinem Laptop über wlan mit dem PC meiner Eltern verbunden? Kann da irgendwas passieren oder sich übertragen? Halte meine Programme immer auf dem neuesten Stand und lasse sie regelmäßig alles checken. Wäre toll, wenn mir jemand helfen könnte. lg, irie |
hmm ich habe dieses thema jetzt schon zweimal gepostet, einmal unter "plagegeister aller art" und einmal hier, weil ich dachte, dass es hier vlt. sinnvoller ist weil es ja auch um eine Auswertung des beigefügten logfile geht. ich habe hier in all den jahren schon öfter mal um hilfe gebeten und die ist auch immer prompt gekommen. danke dafür! nur dieses mal meldet sich wirklich gar niemand seit zwei tagen. fehlt meinem beitrag vlt noch irgend ne angabe? wenn ja, reiche ich sie sofort nach. lg, irie |
Hallo zusammen, ich warte jetzt schon seit drei Tagen auf eine Antwort. Es wäre wirklich schön, wenn mir jemand wenigstens sagen könnte, warum mir nicht geantwortet wird und anderen nach mir schon, obwohl sie teilweise die Anleitungen für den ersten Beitrag nicht befolgen. Ich kann mir denken, dass ihr hier viel zu tun habt, aber eine kurze knappe Antwort wäre trotzdem schön. Entweder ist es dann ne Zu- oder aber ne Absage. Aber dann muss ich nicht mehr ständig nachgucken, ob jemand geantwortet hat und neue "Anweisungen" gegeben hat. Dann könnte ich mich nämlich anderweitig umhören in puncto Hilfe. lg, irie |
Hey, danke, dass du geantwortet hast!:Boogie: Also da ich im Moment nicht so viel Zeit hab, da ich für meine mündlichen Prüfungen lernen muss, wäre es mir lieber, wenn wir den PC erstmal bereinigen könnten. Danach kann ich meinen Eltern dann auch ne Neuaufsetzung anbieten und mich in Ruhe damit beschäftigen. Also ich bin den ganzen Tag on. Achso, wie kann ich denn den anderen Thread schließen unter "Plagegeister.."? Der ist ja dann unnötog im Weg. lg, irie |
Hi, das wird nicht einfach, amd64si.sys ist/kann ein Rootkit (sein)... http://www.prevx.com/filenames/10434...64SI2ESYS.html Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code: C:\WINDOWS\system32\drivers\amd64si.sys
Gmer: http://www.trojaner-board.de/74908-a...t-scanner.html Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht chris |
Hey, danke, dass du hier übernimmst. Leider kann ich die Datei, die du angegeben hast, nirgends mehr finden. Hab sie auch schon unter Suche eingegeben, aber nix zu finden. Was soll ich nun machen! Kann ich den Schritt mit gmer jetzt schon ausführen oder ist der erst sinnvoll nachdem die Dateien gecheckt wurden? lg, irie |
Hmm ich hab die Ergebnisse bei superantispyware hinterher gelöscht, weil ich so lange auf ne antwort gewartet hatte. wahrscheinlich finde ich die deswegen nicht mehr, oder? soll ich den superantispyware-scan dann nochmal neu machen?das ist jetzt natürlich dumm gelaufen. |
Hi, dann lassen wir die Onlineprüfung einfach weg und machen bei Gmer weiter... chris |
Hey, also der scan mit gmer ist nun fertig. hier die ergebnisse: GMER 1.0.15.14966 - http://www.gmer.net Rootkit scan 2009-04-06 13:48:32 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.15 ---- SSDT F8D1BAF4 ZwCreateThread SSDT F8D1BAE0 ZwOpenProcess SSDT F8D1BAE5 ZwOpenThread SSDT \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xF4C8EDF0] SSDT F8D1BAEA ZwWriteVirtualMemory ---- Kernel code sections - GMER 1.0.15 ---- .text ntkrnlpa.exe!ZwCallbackReturn + 27B8 80501FF0 4 Bytes JMP 3CF8D1BA ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\Ntfs \Ntfs avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH) AttachedDevice \FileSystem\Fastfat \Fat avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH) ---- Files - GMER 1.0.15 ---- File C:\WINDOWS\system32\config\software.LOG (size mismatch) 1024/16384 bytes ---- EOF - GMER 1.0.15 -- Mehr kam nicht und etwas "verneinen" musste ich auch nicht. Hoffe, das ist der richitge bericht, den ich genommen hab. aber was anderes stand auch nicht zur auswahl. lg, irie |
Zwischendurch kam aber auch noch diese Meldung von AntiVir: In der Datei 'C:\DOKUMENTE UND EINSTELLUNGEN\MUM & DAD\MUM & DAD.EXE' wurde ein Virus oder unerwünschtes Programm 'TR/Nomen.A' [trojan] gefunden. Ausgeführte Aktion: Datei in Quarantäne verschieben. Und: In der Datei 'C:\SYSTEM VOLUME INFORMATION\_RESTORE{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP803\A0129113.SYS' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XDR.Gen' [trojan] gefunden. Ausgeführte Aktion: Datei in Quarantäne verschieben Ich dreh am Rad! lg, irie |
Hi, das GMER-Log sieht schon mal gut aus... MAM, Prevx und RSIT: Malwarebytes Antimalware (MAM). Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html Fullscan und alles bereinigen lassen! Log posten. Alternativer Download: http://filepony.de/download-malwarebytes_anti_malware/, http://www.gt500.org/malwarebytes/mbam.jsp Prevx: http://www.prevx.com/freescan.asp Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters... RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/ speichere es auf Deinem Desktop. Starte mit Doppelklick die RSIT.exe. Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. Und noch: MBR-Rootkit Lade den MBR-Rootkitscanner von Gmer auf Deine Bootplatte: http://www2.gmer.net/mbr/mbr.exe Merke Dir das Verzeichnis wo Du ihn runtergeladen hast; Start->Ausführen->cmd Wechsle in das Verzeichnis des Downloads und starte durch Eingabe von mbr das Programm... Das Ergebnis sollte so aussehen: Zitat:
poste es im Thread; chris |
Hey, so hier nun schon mal der report von mam: Code: Malwarebytes' Anti-Malware 1.35Jetzt gehts weiter mit dem nächsten Prog. Lasse das jetzt durchlaufen. lg, irie |
hey, hier die Forsetzung: Prevx hat nix gefunden. Status: Clean Random's system information tool mit beiden logfiles: 1. Code: info.txt logfile of random's system information tool 1.06 2009-04-06 15:45:56Das zweite logfile kommt sofort. lg, irie |
ähm teil 2 ist irgendwie zu lang. du hast etwas von minimieren geschrieben. wie meinst du das? wie kann ich das minimieren? lg, irie |
Hi, entweder in mehrer Post aufteilen, oder hier uploaden und den Downloadlink posten: http://www.file-upload.net chris |
so okay nun der link zum log von random's system information tool: http://www.file-upload.net/download-1570787/log.txt.html hoffe, das hat geklappt. lg, irie |
so und nun zum letzten: was ist die bootplatte? die mit windows drauf und nicht die recovery, oder? ich frag lieber nochmal! lg, irie |
habe hier folgendes problem: hab die mbr.exe unter C:\ gepackt. wäre der pfad ja dann also C:\mbr. wenn ich start --> ausführen --> cmd eingebe, kommt aber immer sofort C:\Dokumente und Einstellungen\HP-Besitzer...kann da nix verändern. Soll ich die mbr.exe dann in diesen ordner verschieben? fragen über fragen...sorry. lg, irie |
Hi, die mit Windows drauf.... Noch zwei Sachen: ......RegisterySearch: Download Registry Search by Bobbi Flekman <http://virus-protect.org/artikel/tools/regsearch.html> und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) Zitat:
Notepad wird sich oeffnen - poste den text Danach bitte noch nach: Zitat:
Online bitte prüfen (virustotal): C:\WINDOWS\system32\DRIVERS\NMnt.sys chris Ps.: Wenn Du die commandline öffnest (cmd.exe), dann kannst Du durch die Eingabe von cd \Pfad_wo_ich_hinmöchte das Verzeichnis wechseln (CD=change Directory) In Deinem Fall würde ein C:\ genügen um auf C.\ zu kommen |
hier schon mal die ergebnisse von registry search zu nm.sys Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.6.0 ; Results at 06.04.2009 16:49:13 for strings: ; 'nm.sys ' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... Hier die Ergebnisse zu NMnt.sys: Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.6.0 ; Results at 06.04.2009 16:53:07 for strings: ; 'nmnt.sys' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\nm] ; Contents of value: ; system32\DRIVERS\NMnt.sys "ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\ 52,00,49,00,56,00,45,00,52,00,53,00,5c,00,4e,00,4d,00,6e,00,74,00,2e,00,73,\ 00,79,00,73,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\nm] ; Contents of value: ; system32\DRIVERS\NMnt.sys "ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\ 52,00,49,00,56,00,45,00,52,00,53,00,5c,00,4e,00,4d,00,6e,00,74,00,2e,00,73,\ 00,79,00,73,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nm] ; Contents of value: ; system32\DRIVERS\NMnt.sys "ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\ 52,00,49,00,56,00,45,00,52,00,53,00,5c,00,4e,00,4d,00,6e,00,74,00,2e,00,73,\ 00,79,00,73,00,00,00 ; End Of The Log... |
Hi, hast Du oben die Anweisung im vorangegangen Post gesehen, wie Du in der CMD das Verzeichnis wechseln kannst? Bin jetzt weg, morgen wieder erreichbar... chris |
Hier die Ergebnisse (hab auf Permalink geklickt und dann kam folgendes): Code: Antivirus Version letzte aktualisierung ErgebnisHab deine Anweisungen zu cmd gelesen, aber leider komm ich da trotzdem nicht weiter. Nach der Eingabe von ausführen --> cmd kommt dann der schwarze kasten und da steht dann voreingestellt C:\Dokumente und Einstellungen\Hp_Besitzer\...was soll ich dann daran direkt anhängen? :confused: |
Hi, einfach in den "Kasten" bitte cd \ und dann Datenfreigabe eingeben... Die Commandline wechselt dann in das Root-Verzeichnis von C, dort wo Du auch MBR.EXE abgelegt hast, dann sollte das mit dem Aufruf klappen... chris |
hey, also die eingabe hat jetzt endlich geklappt :Boogie: hatte ständig den doppelpunkt mit eingegeben nach cd. so und die reportdatei sieht so aus: Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK alles richtig gemacht? lg, irie |
Hi, ja, ist OK... Damit finde ich anhand der Logs nichts mehr... Was treibt der Rechnerß Chris |
Hey, hab den Rechner gerade hoch gefahren. Geht alles recht langsam. Also der schnellste war der eh nicht mehr, aber erscheint mir langsamer als sonst. Soll ich AntiVir nochmal durchlaufen lassen? Im Moment kommt sonst keine Warnung/ kein Fund, aber die kamen meist erst, wenn der Rechner ne kurze Zeit an war. Ähm und die ganzen Sachen, die ich nun in Quarantäne hab: Kann ich dir irgendwie sicher löschen oder müssen die nun ewig da drin bleiben? Will die irgendwie da raus haben :) lg, irie |
Hey, also ich bin jetzt gerade dabei, AntiVir nochmal durchlaufen zu lassen. Kann jetzt schon mal sagen, dass AntiVir den Tr/Drop.Agent.qkm gefunden hat an zwei oder drei Stellen. Immer jedoch auf der Seite mit eingeschränktem Benutzerkonto. Darüber gehen meine Eltern immer ins Netz. Über TR/Crypt.XDR.Gen kam aber noch nix. Werde den report später posten. lg, irie |
Hallo, unbedingt die Funde posten, war das eingeschränkte Konte inzwischen aktiv (wurde es genutzt)? chris |
Hey, ja soweit ich weiß, war mein Dad gestern dadrauf. Ich hab auch das Gefühl, dass die sich sofort vermehren, wenn ich die einen TR in die Quarantäne packe. Die wird immer voller. Die einen sind weg und irgendwie generieren sich dann gleich neue. Hier der report von antivir: Code: Danke für deine Hilfe! lg, irie |
JAP.....sowas machen Trojaner....am besten gehste nur noch zu Trojaner Board und nicht mehr lange im Netz bleiben....sonst lädt die sau immer mehr, was dann auch wieder Sachen nachlädt.... Und hör auf das was CHRIS sagt.....^^ Hoffendlich bekommt ihr das hin.... Gruss BIOTEC |
Hi, also das Ganze noch einmal von vorne... Was setzt Du zum Surfen ein, Firefox oder IE? Firefox wäre auf jeden Fall besser, mit den entsprechenden PlugIns versehen... Bitte unter den Eltern einloggen und MAM updaten und laufen lassen, und Dr. Web hinterher... Dr. Web http://www.trojaner-board.de/59299-anleitung-drweb-cureit.html Poste bitte mal noch das Hostfile: Hosts-File anzeigen: Lade das Host-file (C:\WINDOWS\system32\drivers\etc\hosts) in einen Texteditor (im Explorer drauf klicken, rechte Maus, senden an -> editor). Kopiere den Inhalt und poste ihn hier... Zusätzlich noch Silentrunner: Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen. Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten. http://www.silentrunners.org/Silent%20Runners.zip chris |
Hey, ich habe meinen Eltern erst am Wochenende firefox als browser draufgepackt. Die sind vorher immer über ihren geliebten t-online-browser ins Internet gegangen. Der TR, der sich auf der Seite mit eingeschränkten Benutzterrechten befindet, war aber auch schon am Samstag da drauf, als ich hier zum ersten Mal gepostet habe. Der ist also nicht neu. Der war zeitgleich mit TR\crypt... drauf. Der ist irgendwie unter gegangen. Hatte die AntiVir-Meldung dazu in den anderen Thread gepostet, als ich mich das erste Mal hier gemeldet habe. Sorry! Der Scan mit MAM dauert noch an. Hab währenddessen versucht, die Datei, die du angegeben hast, in den editor zu packen. Wenn ich rechtsklicke, kann ich die leider an keinen editor senden. Kann ich das vlt. wieder nur von der Admin-Seite aus? Dann muss ich gleich erst wechseln nach dem Scan. lg, irie Soll ich, bevor ich Dr.Web laufen lassen, auch die Systemwiderherstellung deaktivieren? Und: Silentrunner mit Adminrechten ausführen oder auch auf dem eingeschränkten Benutzerkonto? |
Hallo, die Systemwiederherstellung kannst Du mal deaktivieren ist aber vorerst nicht so wichtig (müssen nur am Schluß dran denken)... Wenn senden an nicht geht, einfach mit rechtem Mausklick "Öffnen mit" dann als Programm den Editor auswählen, alles markieren und hier posten. In Firefox noch folgende PlugIns installieren "WOT" (https://addons.mozilla.org/de/firefox/addon/3456) und "NoScript" (http://filepony.de/download-noscript/)... Lass bitte auch mal den CCleaner laufen... http://www.trojaner-board.de/51464-a...-ccleaner.html chris |
hey, hier die ergebnisse von MAM. hat wohl nix gfunden. liegt vlt daran, weil sie bei antivir in der quarantäne sind? Malwarebytes' Anti-Malware 1.36 Datenbank Version: 1947 Windows 5.1.2600 Service Pack 3 07.04.2009 15:14:15 mbam-log-2009-04-07 (15-14-15).txt Scan-Methode: Vollständiger Scan (C:\|D:\|J:\|K:\|) Durchsuchte Objekte: 182891 Laufzeit: 1 hour(s), 0 minute(s), 28 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Arbeite nun die anderen Sachen ab. Den CCleaner habe ich heut morgen schon mal laufen lassen. Wieder so lange, bis kein Fehler mehr zu finden war. lg, irie |
Hey, denk nicht, ich hab die Nase voll und will hier nicht mehr weiter machen. Dr. Web scannt... und scannt und scannt... lg, irie (nicht, dass du denkst, ich würde wieder was falsch machen: Ich schreibe von meinem Laptop aus) |
Hi, ungewöhnlich, wie lange ist er schon bei der Arbeit...? chris |
Hey, also ein paar Stunden läuft der schon. Hab gerade wieder nachgeguckt. Ist jetzt gleich fertig. Dann poste ich das Ergebnis. Hab noch ne Frage zu Silentrunner: Soll ich das Programm im abgesicherten Modus laufen lassen? Oder auf der Admin-Seite oder auf dem eingeschränkten Benutzerkonto? Muss allerdings gucken, ob ich das heute noch schaffe. lg, irie |
Hi, bitte im eingeschränkten Benutzerkonto laufen lassen... chris |
Hey, also Dr.Web hat nichts gefunden. Also so stand es dort. Keine Fehler! Mehr kann ich dir da leider auch nicht bieten, da sich der Rechner danach aufgehangen hat. Die Berichtsdatei konnte ich leider nicht mehr unter dem speziellen Namen speichern. Hätte dir die trotzdem noch weitere wichtige Infos geliefert? Hoffe, die Info des Programms "Keine Fehler" reicht aus. Des Weiteren habe ich nochmal versucht, die Datei C:\windows\system32\drivers\etc\hosts zu öffnen und in den editor zu packen, aber da steht diesmal auch nix mit "öffnen mit". Allerdings sind dort auch zwei Dateien drin, die so heißen. Die eine ist eine icalendar-Datei. Bei der funktiniert das mit "öffnen mit". bei der normalen Datei wiederrum nicht. Also so ein derbes Problem hatte ich noch nie. Also nochmal vielen Dank! lg, irie |
hey hier nun silentrunner: http://www.file-upload.net/download-1573129/Startup-Programs--DIETER--2009-04-07-21.41.15.txt.html hoffe, das funktioniert jetzt wenigstens. ich kann jetzt leider nicht mehr weiter machen für heute. danke und schönen abend noch. lg,irie |
Hi, der Eintrag unter dem HKCU-Run-Key ist wieder/immer noch da: "Mum & Dad" = "C:\Dokumente und Einstellungen\Mum & Dad\Mum & Dad.exe /i" Wenn Du dich mit RegEdit auskennst kannst Du das mal löschen... chris |
Hey, also das gebe ich unter "Ausführen" ein, richtig? Muss ich dazu auch wieder in den abgesicherten Modus? Brauche Admin-Rechte oder? Und dann suche ich einfac den Eintrag, den du genannt hast und da gibts dann auch ne Option "löschen"? lg, irie |
Hi, dann lassen wir das lieber, sonst war nichts auffälliges zu finden... Installiere (Admin) mal das hier und lasse es mit Avira mitlaufen: http://www.threatfire.com/de/ chris |
Hey, lasse die beiden nun parallel laufen. Bin gespannt. Für den Fall, dass bei Antivir noch etwas kommen sollte, soll ich dann lieber auf Zugriff verweigern oder in Quarantäne? lg, irie |
Hey, also beide Programme haben nix gefunden. Hier der Report von AntiVir: Code: Klingt fast zu gut um wahr zu sein! Soll ich noch irgendwas drüber laufen lassen? lg, irie |
Hi, Threadfire ist ein Guard und läuft parallel mit, daher mal an lassen, es meldet sich schon, wenn es verdächtige Aktionen feststellt (da solltest Du Deine Eltern darauf vorbereiten)... Das was jetzt noch passieren kann, wäre das ein verseuchter USB-Stick/Festplatte/MP3-Player/Kamera zur Neuinfektion führt. Daher schalten wir noch autorun aus (Admin!): Lade Dir den Flash_disinfector auf den Desktop, starte ihn und folge den Anweisungen... http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe oder http://www.trojaner-board.de/72847-flash-disinfector-externe-medien-desinfizieren-und-absichern.html Trenne den Rechner physikalisch vom Netz! Deaktiviere den Hintergrundwächter deines AVP (Avira und Threadfire ausschalten) und (falls vorhanden) den TeaTimer. Schließe jetzt alle externe Datenträger mit gedrückter Shift-Taste an Deinen Rechner (Autoplay wird unterbunden). Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen. Wenn der Scan zuende ist, kannst du das Programm schließen. Starte Deinen Rechner neu. Achtung: Bereits beim Download kann Avira anschlagen, da der Desinfector die gleichen Mechanismen benutz wie die autorun-viren... Er ist aber "gut" (wie bei einem Messer, zum Obst scheiden oder abstechen...:o( ) chris |
Hey, hab es gemacht, wie du es beschrieben hast. Kam nur die Meldung "Done". Kann ich das Programm jetzt einfach wieder löschen? lg, irie |
Hi, ja, das Teil schaltet den Autostart/-run für alle Laufwerke aus (auch CD) und erstellt auf den angeschlossenen Laufwerken (interne wie externe) autorun.inf-Dateien die nicht so einfach von einem Virus/Trojaner überbügelt werden können... Damit wird die Verbreitung "eingedämmt"... chris |
Hey, okay, kann ich jetzt ruhigen Gewissens sagen, dass alles wieder im Lot ist? Ach und noch etwas: Habe für firefox ja NoScript runtergeladen und hinzugefügt. Ich glaube allerdings, dass meine Eltern dann ständig leicht verwirrt sein werden, wenn sie etwas nicht einfach anklicken können,weil geblockt oder ähnliches. Kann man da irgendwie ne "humane" aber trotzdem effektive Einstellung vornehmen. Hab mir das kurz angeguckt, aber alles versteh ich da auch nicht. Denke, das wäre dann auch meine letzte Frage :crazy: lg, irie |
Hi, damit würde man es unterlaufen. Du kannst bei den Einstellungen von NoScript, Reiter "Plug-Ins" rechts unten den Haken bei "vertrauenswürdigen Seiten" rausnehmen und ansonsten die Positiveliste um die Seiten erweitern, die Deine Eltern "ansurfen" und von denen Du weist, das sie OK sind... chris |
Hey, okay super, dann werd ich das noch machen. Müssen die beiden sich halt umgewöhnen. Aber dann hab ich wenigstens hoffentlich lange Ruhe...und du dann nun endlich auch. Vielen vielen Dank nochmal! :party: lg, irie |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 18:29 Uhr. |
Copyright ©2000-2025, Trojaner-Board