Trojaner-Board - Problem mit Spybot Search&Destroy und AntiVir

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Problem mit Spybot Search&Destroy und AntiVir - Bitte Logfile checken! (https://www.trojaner-board.de/76654-problem-spybot-search-destroy-antivir-bitte-logfile-checken.html)

Problem mit Spybot Search&Destroy und AntiVir - Bitte Logfile checken!

Hallo,

ich habe vorgestern innerhalb von 15 min. folgende Meldungen über Funde von meinem AntiVir bekommen. Die sahen folgendermaßen aus:

- "Malware gefunden": In der Datei 'C:\Dokumente und Einstellungen\XYZ\Lokale Einstellungen\Anwendungsdaten\Mozilla \Firefox\Profiles\l45011qn.default\Cache\D48AE456d01'
wurde ein Virus oder unerwünschtes Programm 'HTML/Infected.WebPage.Gen' [virus] gefunden.
Ausgeführte Aktion: Datei löschen

- "Malware gefunden": In der Datei 'C:\Dokumente und Einstellungen\XYZ\Lokale Einstellungen\Temp\plugtmp-73\plugin-data'
wurde ein Virus oder unerwünschtes Programm 'EXP/Pidief.yaa' [exploit] gefunden.
Ausgeführte Aktion: Zugriff verweigern

- In der Datei 'C:\Dokumente und Einstellungen\XYZ\Lokale Einstellungen\Temp\plugtmp-73\plugin-data'
wurde ein Virus oder unerwünschtes Programm 'EXP/Pidief.yaa' [exploit] gefunden.
Ausgeführte Aktion: Zugriff verweigern

-In der Datei 'C:\Dokumente und Einstellungen\XYZ\Lokale Einstellungen\Temp\plugtmp-73\plugin-data'
wurde ein Virus oder unerwünschtes Programm 'EXP/Pidief.yaa' [exploit] gefunden.
Ausgeführte Aktion: Datei löschen

-In der Datei 'C:\Dokumente und Einstellungen\XYZ\Lokale Einstellungen\Temp\spool.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/TDss.aoif' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

- In der Datei 'C:\Dokumente und Einstellungen\XYZ\Lokale Einstellungen\Temp\msnxaorwec.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.PEPM.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

- In der Datei 'C:\Dokumente und Einstellungen\XYZ\Lokale Einstellungen\Temp\esxnmacowr.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.FraudLoad.wgdu.2' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

- In der Datei 'C:\Dokumente und Einstellungen\XYZ\Lokale Einstellungen\Temp\mncxwsoaer.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/TDss.aoif' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Habe seither schon zwei vollständige Systemprüfungen gemacht, jedoch ohne Fund.
Heute habe ich bemerkt dass beim Hochfahren des Laptops der AntiVir-Guard deaktiviert war (Schirm-Symbol geschlossen), jedoch ohne dass ich ihn ausgeschaltet habe.
Außerdem kann ich das Programm "Spybot Search&Destroy" nicht mehr öffnen! Trotz Doppelklick tut sich nix. Hab auch schon de- und neuinstalliert, aber immernoch nix. Ich kann zwar z.B. den Updater starten, das Hauptprogramm aber nicht.

Sonst geht eigentlich noch alles am Laptop, finde das aber trotzdem ein wenig seltsam.
Hab daher mal mit HijackThis (v.1.99.1: ist das OK?) ein Logfile gemacht.

Könnt ihr da mal einen Blick drauf werfen? Hab ich mir was eingefangen und wenn ja was muss ich tun? Bitte Schritt für Schritt erklären, bin kein Fachmann auf dem Gebiet...
Wäre wirklich dankbar wenn ihr mir so schnell wie möglich helfen könntet...

Vielen Dank schon im Vorraus!

Arthur

Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 17:32:33, on 22.08.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AccSys\AccVSSvc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Notebook Hardware Control\nhc.exe
C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\Diercke Globus Online\files\DierckeGlobusBrowserSchnittstelle.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HiJack\HJT1991.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://192.168.1.1/VoIP_SysStatusFrame.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [HWSetup] "C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe" hwSetUP
O4 - HKLM\..\Run: [SVPWUTIL] "C:\Programme\Toshiba\Windows Utilities\SVPWUTIL.exe" SVPwUTIL
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NotebookHardwareControl] "C:\Programme\Notebook Hardware Control\nhc.exe" -quiet
O4 - HKLM\..\Run: [PadTouch] "C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe"
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [o2DSLConnectionManager] "C:\Programme\DSL Connection Manager\o2DSLConnectionManager.exe" -autostart
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Microsoft Office OneNote 2003 Schnellstart.lnk.disabled
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk.disabled
O4 - Global Startup: DierckeGlobusBrowserSchnittstelle.lnk = C:\Programme\Diercke Globus Online\files\DierckeGlobusBrowserSchnittstelle.exe
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - {9E830FA0-AD05-4254-812E-9FD3DE950802} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AccSys WLAN Control Service (accvssvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccVSSvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

Hallöle.

Da dein System aus dem Mittelalter stammt bist du opfer eines Exploits geworden. Wer ohne Service Pack 3, den aktuellen Internet Explorer 7 und alle weiteren Updates online geht setzt sich einem verdammt hohem Risiko aus! Auch wenn man über FireFox online geht ändert das nichts daran, dass das System angreifbar ist. Aber das hast du ja selbst erfahren...

Wir können versuchen den Rechner zu bereinigen. Wäre das mein Rechner würde ich ihn neuaufsetzen und hinterher ordentlich absichern.

Wie entscheidest du dich?

Oh jeh, das hört sich ja nicht gut an...
Was genau macht dieser "Exploit"? Kann ich mit dem Laptop im jetzigen Zustand noch ins Internet gehen oder wäre das grob fahrlässig? Aktuell sitze ich an nem anderen Rechner...
Und muss ich jetzt meine Passwörter (E-Mail, eBay...) ändern?

Naja, wenn du sagst dass es besser wäre das System neu auzusetzen würde ich mich dafür entscheiden. Hab mir auch schon die Anleitung durchgelesen, habe dazu aber noch einige Fragen:

Zu 1)
- Besteht die Gefahr, dass ich wenn ich die Daten (Musik, Persönliches etc.) auf eine externe Festplatte speichere den Schädling mit auf die externe Festplatte schleppe? Oder sind .mp3, .doc, .pdf-Dateien o.ä. meist nicht betroffen? Ich will nur verhindern, dass sich die externe Platte auch infiziert...

Zu 2)
- Als ich das Notebook gekauft habe war Windows XP schon installiert. Ich habe in meinen Unterlagen nachgeschaut und habe nur 2 CDs von Toshiba gefunden, die "Product Recovery" heißen. Eine CD vom Betriebssystem selbst habe ich nicht. Kann ich damit XP neu installieren?
- Ne Treiber CD habe ich meines Wissens auch nicht. Wo sind die aktuellen Treiber gespeichert bzw. wo kann ich die dann runterladen?

Zu 3)
- Wenn ich dann das System neu installiert habe bin ich ja erst mal "ungeschützt" und muss Antivirenprogramm, ServicePacks etc zuerst runterladen. Kann ich dass dann in dem ungeschützten Zustand machen oder laufe ich dann wieder Gefahr mir was einzufangen?

Ich hoffe meine Fragen sind nicht allzu bescheuert, aber für mich ist das Neuaufsetzen, Daten sichern etc. schon ne große Sache :eek:

Vielen Dank noch für die schnelle Antwort und Danke für die Tips!
Es würde mir sehr helfen wenn, ich während des ganzen Prozesses bei Unklarheiten bei euch nachfragen könnte...Wär das OK?

Viele Grüße, Arthur

Huhu.

Gute Entscheidung!

Mit dem Rechner solltest du zu deiner eigenen Sicherheit auf keinen Fall mehr online gehen!

Ich poste dir mal die wichtigsten Punkte zum Neuaufsetzen. Drucke dir die Liste am besten aus und lies sie dir aufmerksam durch.
Neuaufsetzen ist im Grunde wirklich nicht schwer und geht schneller als den Rechner iwie zusammenzu flicken...

Bereinigung nach einer Kompromitierung

Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen!

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record reparieren:

XP:

Um die Wiederherstellungskonsole zu starten, einfach die Windows XP CD in das Laufwerk legen und davon booten.. Wenn du dazu aufgefordert wirst, wähle die erforderliche Optionen für den Start von der Installations-CD aus.
Wenn der textbasierte Teil von Setup startet, wähle die Option zum Reparieren oder Wiederherstellen, indem du die Taste [R] drückt.
Gegebenfalls nun das Administratorkennwort eingeben.
Nun gelangst du zur Eingabeaufforderung der Wiederherstellungskonsole.

Dort bitte den Befehl fixmbr eingeben und mit Enter bestätigen.

Um die Wiederherstellungskonsole zu beenden und den Computer neu zu starten, gibst du 'exit' ein.

Einen Personal Computer neuaufsetzen:

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies über eine LiveCD und nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV sowie andere AV-Scanner findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!

Damit dir sowas nicht nocheinmal passiert möchte ich dir die wichtigsten Punkte für einen sicheren Surf zusammen gefasst an die Hand geben:

Installiere keine Anti-Spyware/Anti-Malware oder sonstige "Sicherheits"-Programme sondern nur ein normales AntiViren Programm wie zum Beispiel: AntiVir free, Panda AV, a-squared oder avast free. Tipp: Häufig gibt es die Programme billiger als auf der Hersteller-Homepage. Zum Beispiel bei Amazon.de.
Internet Security Suiten oder gar TotalCare Produkte haben keinerlei Mehrwert!
Sehr empfehlen kann ich PrevX!
Mit einem kostenlosen Anti-Malware-Scanner ohne Wächter wie SuperAntiSpyware oder Anti-Malware kann der PC bei Verdacht überprüft werden.
.
Halte immer alle Anwendungen aktuell (Secunia PSI kann hier wertvolle Hilfe leisten).
.
Update die Viren-Signaturen deines Anti-Viren Programmes reglemäßig.
.
Beachte bitte, dass jegliche Anti-Viren Scanner (auch in Kombination) nur einen Bruchteil aller Schädlinge finden!
.
Update auch regelmäßig die Hardwaretreiber (Grafikkarte, Soundkarte).
.
Das Windows Update sollte automatisch erfolgen -> Der Frischmacher.
.
Das aktuelle ServicePack sollte installiert sein:
- XP_ ServicePack3
- Vista_ ServicePack2
.
Eine vernünftige Ordneransicht erschwert es Malware sich vor dir zu verstecken -> Einstellungen.
.
Bei Windows Vista können einige Dienste deaktiviert werden: TechNET
.
Windows-Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
- XP_ Firewall
- Vista_ Firewall
  Vista_Firewall punktgenau konfigurieren
.
Der Windows Autorun sollte unbedingt deaktiviert werden!
.
Es ist nicht sinnvoll eine personal/Desktop Firewall wie Zone-Alarm, Commodo o.ä. zu installieren. Diese erhöhen keines Falls die Systemsicherheit! Weitere Infos
.
Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen
- Sicherheit: -> höchste Stufe
  Wähle danach: Stufe anpassen. Ändere die Einstellung: Anwendungen und uns. Dateien starten -> "Bestätigen"
  und Installation von Desktopobj. -> "Bestätigen".
- Datenschutz: -> alle Cookies blockieren
Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
.
Räume den Rechner regelmäßig mit dem cCleaner auf; Punkte 1&2.
.
Als letztes der wichtigste Punkt: Downloade dir keine illegalen oder nicht vertrauenswürdigen Daten aus dem Internet! Cracks, Keygens und gecrackte Software sind fast immer verseucht! Besonders Filesharing Tauschbörsen wie eMule, Kazaa, Bittorrent und andere Peer-to-Peer (P2P) Netzwerke sind extrem gefährlich! Sehr häufig sind die Dateien mit Schädlingen infiziert die von keinem Virenscanner entdeckt werden!!
.
Allgemeine Informationen zu dieser Problematik

Häufig gestellte Fragen: XP | Vista

http://www.trojaner-board.de/71631-p...samer-tun.html

Zusätzlich kannst du natürlich immer gerne hier posten wenn du absolut nicht weiterkommst.. ;)

Vielen Dank für die vielen Infos und vor allem schnellen Antworten!

Du hast geschrieben ich sollte am besten gar keine Daten sichern und wenn dann über ne LiveCD. Bin dem Link gefolgt, kapiere aber nicht wirklich was ich damit tun muss oder wofür die LiveCD gut ist...
Und GAR keine Daten zu sichern und alles löschen kann ich auch nicht. Zumindest mein Studium-Ordner mit Dateien der letzten 2 Jahre MUSS ich retten...Auch meine Fotos wären mir wichtig. Da müssen wir irgendwie die bestmögliche Lösung finden damit mir nicht komplett alle Daten flöten gehn und ich trotzdem die Viren etc. loswerde.
Was schlägst du vor?
Ich würde die wichtigsten Ordner und Dateien auf ner externen Platte speichern und bevor ich sie wieder drauf spiele mit dem von dir empfohlenen Programm checken. Passt das dann?
Werde mich dann morgen an die Neuaufsetzung wagen, hab heute leider keine Zeit mehr. Drück mir die Daumen :aplaus:

Du brennst dir die LiveCd auf eine Cd. Danach steckst du sie in dein Laufwerk und startest den Rechner neu. Er sollte dann von der LiveCd booten. Tut er das nicht musst du im BIOS den FirstBootDevice umstellen. (Google sagt dir wie)

Auf der LiveCD ist ein Mini Betriebssystem drauf mit welchem du wie gewohnt deinen Rechner bedienen kannst.

Damit kannst du dann auf deine Festplatte zugreifen und die entsprechenden Daten auf einen USB Stick ziehen.
Das verhinder, dass evtl. Schädlinge auf die kluge Idee kommen sich bei der ganzen Aktion einfach anzuhängen sodass sie beim Wiederaufspeilen der Dateien gleich wieder deinen Rechner fressen können...

OK, ich wage mich nun an das Abenteuer :party:

Aber gleich die ersten Schwierigkeiten:
Welche Datei(en) für die LiveCD muss ich alles runterladen? Wenn ich deinem Link folge und auf den Mirror von z.B. RWTH Aachen gehe sind da ja ziemlich viele Dateien...Welche sind für mich relevant? Die .iso, .asc., .sha1? Und auch die Adriane-Dateien?
Welche Dateien muss ich dann letztlich brennen?
Habe alternativ dazu auch nen Download bei chip.de gefunden, würde der auch gehen? Hier der Link:
h**p://www.chip.de/downloads/Knoppix_13013232.html
Sorry, aber ich kenn mich halt nicht so gut aus...
Ich freue mich über fixe Antworten :-)

Arthur

OK die letzte Frage wegen der LiveCD hat sich geklärt. Hab die .iso-Datei von chip.de runtergeladen und mit Nero gebrannt. Hat soweit geklappt.
Hab das System jetzt mit Knoppix gebootet und bin grad an der Datensicherung auf die externe Festplatte, was bisher auch funktioniert...
Hoffe ich krieg den Rest auch noch hin, wenn nicht frag ich halt und hoffe auf eure Hilfe!
Danke!

Das hört sich doch super an. :)

Jetzt brauch ich doch noch mal Hilfe:

Bisher habe ich die LiveCD gebrannt, Daten gesichert, Knoppix beendet und erst mal wieder neu gestartet.
Dann meine Product Recovery CD eingelegt und den Schritten befolgt.
Es kam dann gleich zum Punkt "Festplatte dekomprimieren" was ich mal gemacht habe. Das ging eine Weile, und nachdem die 100% erreicht wurden stand da: "Entnehmen Sie die Recovery Disc" was ich auch gemacht habe. Dann kam ein schwarzer Bildschirm wo irgendwas stand "No Disk...blablabla" und der PC ging aus. Habe dann neu gestartet, und die Recovery Disc wurde wieder gebootet. Leider kam ich dann wieder zum gleichen Schritt wie vorher und es ging nur mit Festplatte dekomprimieren weiter. Und jetzt läuft das ganze Prozedere schon wieder!!!
Was muss ich danach machen damit ich Windows installieren kann und vor allem den von dir beschriebenen Punkt "Master Boot Record reparieren" vornehmen kann?
Irgendwie komisch :headbang:

Grüße, Arthur

Lieber undoreal,

ich komme nicht weiter! Ich habe (siehe oben) die Festplatte dekomprimiert. Das heißt ja jetzt ist alles weg von der Festplatte. Danach sollte ich wieder die RecoveryCD rausnehmen (PS:Ich habe die Windows-XP-CD nicht, XP war vorinstalliert! RecoveryCD ist das einzige was ich von Seiten Toshibas habe)
Gesagt getan. Laptop schaltet sich aus.
Wenn ich es dann wieder anmache komme ich nach kurzem laden direkt zur Einrichtung von XP (vgl. Bild: xp_install_10.png - Computerleben.net)
Wie kann ich aber die von dir empfohlene Reparatur vom Master Boot Record durchführen? Du hast mir geschrieben: "Wenn der textbasierte Teil von Setup startet, wähle die Option zum Reparieren oder Wiederherstellen, indem du die Taste [R] drückst."
Aber dieser textbasierte Teil des Setups kommt bei mir (soweit ich das beurteilen kann) nicht.
Auch im wenn ich direkt auf das Bootmenu zugreife sehe ich nirgends was von Master Boot Record.

Ich denke ich belass es mal an dieser Stelle und warte auf weitere Anweisungen (von dir).
Glaube nicht dass es was bringt wenn ich da dran rumdoktere ohne zu wissen was ich tue...Und ohne des MBR zu reparieren wäre diese Radikalkur ja nicht so gründlich.:pfui:

Würde mich sehr freuen wenn du mir so bald als möglich helfen könntest damit ich bald wieder mit meinem Laptop arbeiten kann.

Gute Nacht :-)

Arthur Spooner

Ja das ist manchmal etwas unpraktisch mit den Recovery Disks.

Du kannst jetzt eigentlich nur darauf vertrauen das die ordentlich programmiert ist und der MBR neugeschrieben wird.

Die Wiederherstellungskonsole sollte sich aber eigentlich irgendwo auf der Disk befinden.

Gibt es da einen Punkt: Windows reparieren oder so? Wenn du ihn nicht findest ist das nicht so wild. Mache dann einfach weiter wie es dir angeboten wird...

So, 2. Anlauf: Hab jetzt nochmal von der RecoveryCD gebootet und nach "Windows reparieren" geschaut, aber leider nix gefunden.
Es lädt ne Weile, ich bekomme einen "Recovery Utility"-Hintergrund und kann da aber nur folgende Schritte befolgen:
1. Sprache auswählen
2. Wählen Sie die gewünschte Installation und klicken Sie auf weiter.
Da kann ich dann "Deutsch (Windows XP) wählen, sonst nix. Wenn ich das wähle kommt die Warnung "Ihre Festplatte wird vollständig gelöscht. Trotzdem fortfahren?". Und dann würde wieder die Dekomprimierung kommen, was ich aber schon 2x gemacht habe.
Wenn ich nicht von der CD sondern "normal" boote kommt dann der oben beschriebene "Windows einrichten" Bildschirm.
Soll ich das dann mal machen und hoffen dass das MBR repariert wurde? Oder gibts ne andere, für einen Laien wie mich machbare Möglichkeit den MBR zu fixen?
Grüße

Mach mal einfach. Das der MBR infiziert ist sowieso unwahrscheinlich und ich denke die Recovery CD sollte den eigentlich rund erneuern also wird das schon passen...

Sodele,
Windows ist neu installiert und hoffentlich im Zustand wie vor 2 Jahren als ich das Laptop erhalten habe :)

Kann ich nun mit meinem neu aufgesetzten Laptop gleich ins Internet um AntiVir, Service Pack 3, Firefox etc. runterzuladen? Oder wäre das grob fahrlässig? Wenn NEIN, was soll ich von dem anderen PC aus (an dem ich grade sitze) denn zu aller erst erledigen? Sprich in welcher Reihenfolge?
Und was wenn ich von diesem PC aus Programme (z.B. AntiVir) auf meinen Stick ziehe und diese sind dann irgendwie verseucht? Dann geht das ganze ja schon wieder los :eek:

Du benutzt hoffentlich einen Router mit Firewall?

Dann ist das nicht soooo schlimm wenn du off to date ans Netz gehst aber trotzdem solltest du drei Dinge von deinem sauberen PC aus runterladen.

1. Service Pack 3
2. Avira
3. Firefox oder Opera

Die packst du auf einen USB Stick, nachdem die drauf sind scannst du den Stick mit a-squared und MWAV um halbwegs sicher zu sein das er sauber ist.

Außerdem deaktivierst du bitte bevor dieser Stick dann an deinen neuen Rechner kommt den Autorun. Wie das geht steht weiter unten.

Nachdem der deaktiviert ist kannst du den Stick an den frischen Rechner bringen, die drei Progs installieren und konfigurieren. Danach geht es ans WWW. Dort solltest du erstmal alle erforderlichen WIndows Updates machen. Das kann ein paar Neustarts bedeuten. der neue Internet Explorer, Media Player und weitere Updates sollten gemacht werden.

Außerdem halte dich bitte an folgenden Leitfaden:

Installiere keine Anti-Spyware/Anti-Malware oder sonstige "Sicherheits"-Programme sondern nur ein normales AntiViren Programm wie zum Beispiel: AntiVir free, Panda AV, a-squared oder avast free. Tipp: Häufig gibt es die Programme billiger als auf der Hersteller-Homepage. Zum Beispiel bei Amazon.de.
Internet Security Suiten oder gar TotalCare Produkte haben keinerlei Mehrwert!
Sehr empfehlen kann ich PrevX!
Mit einem kostenlosen Anti-Malware-Scanner ohne Wächter wie SuperAntiSpyware oder Anti-Malware kann der PC bei Verdacht überprüft werden.
.
Halte immer alle Anwendungen aktuell (Secunia PSI kann hier wertvolle Hilfe leisten).
.
Update die Viren-Signaturen deines Anti-Viren Programmes reglemäßig.
.
Beachte bitte, dass jegliche Anti-Viren Scanner (auch in Kombination) nur einen Bruchteil aller Schädlinge finden!
.
Update auch regelmäßig die Hardwaretreiber (Grafikkarte, Soundkarte).
.
Das Windows Update sollte automatisch erfolgen -> Der Frischmacher.
.
Das aktuelle ServicePack sollte installiert sein:
- XP_ ServicePack3
- Vista_ ServicePack2
.
Eine vernünftige Ordneransicht erschwert es Malware sich vor dir zu verstecken -> Einstellungen.
.
Bei Windows Vista können einige Dienste deaktiviert werden: TechNET
.
Windows-Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
- XP_ Firewall
- Vista_ Firewall
  Vista_Firewall punktgenau konfigurieren
.
Der Windows Autorun sollte unbedingt deaktiviert werden!
.
Es ist nicht sinnvoll eine personal/Desktop Firewall wie Zone-Alarm, Commodo o.ä. zu installieren. Diese erhöhen keines Falls die Systemsicherheit! Weitere Infos
.
Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen
- Sicherheit: -> höchste Stufe
  Wähle danach: Stufe anpassen. Ändere die Einstellung: Anwendungen und uns. Dateien starten -> "Bestätigen"
  und Installation von Desktopobj. -> "Bestätigen".
- Datenschutz: -> alle Cookies blockieren
Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
.
Räume den Rechner regelmäßig mit dem cCleaner auf; Punkte 1&2.
.
Als letztes der wichtigste Punkt: Downloade dir keine illegalen oder nicht vertrauenswürdigen Daten aus dem Internet! Cracks, Keygens und gecrackte Software sind fast immer verseucht! Besonders Filesharing Tauschbörsen wie eMule, Kazaa, Bittorrent und andere Peer-to-Peer (P2P) Netzwerke sind extrem gefährlich! Sehr häufig sind die Dateien mit Schädlingen infiziert die von keinem Virenscanner entdeckt werden!!
.
Allgemeine Informationen zu dieser Problematik

Häufig gestellte Fragen: XP | Vista

http://www.trojaner-board.de/71631-p...samer-tun.html

Zusätzlich kannst du natürlich immer gerne hier posten wenn du absolut nicht weiterkommst.. ;)

Also, aktueller Stand bei mir ist folgender:

- Windows ist neu installiert, allerdings konnte ich MBR nicht reparieren (siehe Posting oben)
- SP3, Firefox, AntiVir vom IT-Mann bei der Arbeit runterladen und brennen lassen. Die PC's da sind sauber (wie er sagte)
- Nach einander alles installiert und nach mehrmaligem Neustart dann der erste Schritt in WWW
- Zuerst mal alle Windows- und sonstigen Updates (AntiVir) getätigt
- Heute werde ich dann noch die Passwörter ändern und Malwarebytes runterladen

Meine auf der externen Festplatte gesicherten Daten werde ich, bevor ich sie wieder rüberziehe, checken lassen. Reicht das wenn ich die Daten mit AntiVir checke oder sollte ich diesen MWAV nutzen? Damit kenn ich mich bisher nicht aus...

Noch eine Frage wegen den Treibern: Habe mal auf der Toshiba-Site nach Treibern für mein Notebook geschaut, da wurden dann 37 gefunden.
Hier der Link:
h**p://de.computers.toshiba-europe.com/innovation/download_drivers_bios.jsp?service=DE
Sollte ich da alle runterladen und installieren oder sind einige auch schlicht unnötig? Bin froh über jeden Hinweis!

Ist mein Notebook jetzt wieder sauber und unbelastet? Was muss ich noch konkret tun? Habe versucht mich an alle Vorgaben zu halten...Danke für die Unterstützung, finde das Forum echt super :daumenhoc

Das hört sich nach einem sauberen Notebook an... :)

Guckst du hier: http://www.trojaner-board.de/63543-a...ibersuche.html

Da steht eigentlich alles.

Ich würde die Sachen mit AntiVir und mit MWAV scannen. Malwarebytes kannst du auch mal drüber gucken lassen.

Malwarebytes möchtest du aber nur als Scanner nicht als Wächter nutzen oder?

Hey!
Wollte eben das AutoRun ausschalten und bin deinem Link gefolgt und habe dienAnweisungen durchgeführt. Allerding stand bei mir in der Registry dieser "NoDriveTypeAutoRun" nicht. Hab dann mal gegoogelt und folgendes gefunden:

"Ist "NoDriveTypeAutoRun" nicht vorhanden, kann man den Wert selbst durch Rechtsklick -> Neu -> DWORD Wert -> Umbenennung in "NoDriveTypeAutoRun" erstellen. Auf diesen klicken wir nun doppelt und weisen den Wert ff zu. Achten darauf, dass die Basis auf hexadezimal gestellt ist. Wichtig ist, dass der Wert unter "HonorAutoRunSetting" auf 1 steht, ansonst werden die Änderungen nicht übernommen."
Hab das mal gemacht. Ist das OK? Oder mach ich da was anderes futsch? Ich frag lieber mal nach bevor ich den PC neu starte... Mit den Treibern setz ich mich auch bald auseinander, denk das krieg ich hin.

Wegen deiner Frage bezüglich Malwarebytes: Ich dachte schon dass ich es als Scanner nutze, da ja beschrieben wird dass sich die Scanner gegenseitig behindern. Muss ich da in den Einstellungen was ändern damit es nur Scanner und nicht Wächter ist?

Gruß

Den Autorun hast du genau richtig deaktiviert!

Jetzt sollte kein Windows PopUp mehr kommen wenn du eine CD oder einen USB an den Rechner anschließt..

Malwarebytes ist ohne das du dafür bezahlst nur der Scanner ohne Wächter. Das ist auch gut so. Wollte nur nochmal sicher gehen... ;)

hey undoreal,

das wird wohl meine letzte frage sein, denn jetzt geht es nur noch drum, die gesicherten daten wieder auf meine festplatte zu spielen.
habe mir mal die anleitung für den eScan durchgelesen, was irgendwie ziemlich komplex ist.
ich muss ja im endeffekt nur die daten, die auf der externen festplatte sind, scannen. reicht es da auch aus einfach das programm runterzuladen, zu installieren und dann den inhalt der externen (also nur "lokale festplatten" auswählen) zu checken? oder muss ich wie im tutorial beschrieben auch im abgesicherten modus starten und die ganzen schritte dann nach und nach durchführen?
viele grüße und vielmals dankeschön :Boogie:

Jo, das sollte reiche.