|
Datenschutzeinstellungen werden bei jedem IE8 oder Firefox start herabgesetzt Hallo, folgendes Problem: Ein Windows XP SP3 Rechner hatte diverse Viren/Malware, dadrunter Security Protection und Bundespolizei-Trojaner. Da noch wichtige Daten auf dem Rechner sind und dieser auch sehr viele weitere Hardware, wie Kartenleser etc. nutzen muss, habe ich statt einer Neuinstallation doch den Weg gesucht alle Viren zu entfernen. Das hat auch soweit geklappt, nur der IE8, bzw. die Datenschutzeinstellungen machen noch Probleme. Bei jedem Start vom IE8 oder auch von Firefox 6.01 (ganz neu heute installiert), oder auch schon beim öffnen einer neuen Registerkarte, werden die Internet Sichheitseinstellungen geändert und die Datenschutz Einstellungen auf "Alle Cookies annehmen" bzw. alle 3. Anbieter Cookie annehmen gesetzt. Damit ist ja Tür und Tor geöffnet. Wenn ich dann ganz schnell die Einstellungen wieder auf einen sicheren Level setze passiert nichts. Bin ich zu langsam, kommt der AntiVir und findet die ersten bösen Temp. Internet Files. Startseite ist dort übrigens T-Online.de. Nun habe ich schon überall gesucht, aber leider noch nicht gefunden, wo die Startveränderungen unterdrückt werden können. Ich denke irgendein Trojaner hat diese in den Windowseinstellungen hinterlegt, da ja auch Firefox betroffen ist. Aktiv habe ich mit Antivir, Spybot, hijackthis und Malwarebytes das System so gut es geht gereinigt. Ich bin nun soweit eine Datensicherung machen zu können, habe aber noch Hoffung den Fehler in einer Richtlienie oder ähnlichen finden zu können und dann zu beheben. Über etwas Hilfe wäre ich sehr dankbar. |
Zitat:
|
Hallo Arne, sitze schon den ganzen Abend und bastel an den Log-Files, da der Rechner immer mal wieder schlapp macht und langsam wird, so das ich rebooten muss. Kleine Info: Da der Rechner nicht bei mir zu Hause steht, muss ich leider remote die Scans machen (Sieht man auch in den Logs). Wenn es ganz wichtig ist, das die Internetverbindung tot ist, dann sage es bitte, dann werde ich zum Rechner schnellst möglich fahren und vor Ort arbeiten. Und noch was ist mir heute aufgefallen: Die Datenträgerverwaltung geht nicht unter Windows. Ich glaube im GMER.log dazu auch was gesehen zu haben. Hier nun die gesammelten Werke... |
Führe auch bitte ESET aus, danach sehen wir weiter. ESET Online Scanner
n. |
Hallo Arne, ich habe es befürchtet... online Scan mit autoatischer Sicherheitsdeaktivierung bei jedem Fensteröffnen :heulen: Link anklicken, Datenschutz und Sicherheit wieder herstellen, Browserverlauf löschen... nächster Klick... und wieder von vorne, aber GESCHAFFT :stirn: Hier das File gepostet, wie gewünscht. ESETSmartInstaller@High as CAB hook log: OnlineScanner.ocx - registred OK # version=7 # iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339) # OnlineScanner.ocx=1.0.0.6528 # api_version=3.0.2 # EOSSerial=67bdea2f5a624b4d8e1f573a0e0dd113 # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2011-09-01 05:24:26 # local_time=2011-09-01 07:24:26 (+0100, Westeuropäische Normalzeit) # country="Germany" # lang=1033 # osver=5.1.2600 NT Service Pack 3, v.3264 # compatibility_mode=512 16777215 100 0 253234 253234 0 0 # compatibility_mode=1797 16775141 100 100 266306 89788401 0 0 # compatibility_mode=8192 67108863 100 0 477 477 0 0 # scanned=153210 # found=2 # cleaned=0 # scan_time=6047 C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\40\411ee228-5182df8a Java/Agent.DJ trojan (unable to clean) 00000000000000000000000000000000 I C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\42\6ac5daea-42d3bfd9 Java/Agent.DJ trojan (unable to clean) 00000000000000000000000000000000 I |
Zitat:
Warum ist da nur eine Vorabversion vom SP3 drauf? => v.3264 |
Hi Arne, ja ist ein Büro Computer, daher ja der Versuch der Rettung. An dem Ding hängt einiges dran. Und Vorabversion ist gut. Habe ich noch gar nicht gesehen. Da ich aber die Updateseiten gar nicht laden kann, lebt der Rechner von dem automatischem Update. Warum das so gelaufen ist kann ich Dir nicht sagen, das lag vor meiner Zeit seit ich den Rechner anschaue. Der Rechner ist leider nicht von mir aufgesetzt. Ich hätte SP3 eh noch einmal neu installiert, weil IE8 Neuinstallation nichts geholfen hatte, wollte Dir aber jetzt nicht in die Arbeit pfuschen. Zur Zeit bin ich aber wieder daheim und remote auf dem Rechner, er läuft widererwartend sehr stabil heute, daher könnte ich jetzt noch was unternehmen, falls Du die nächsten Tips hast. P.S. Datensicherung hatte vorgestern geklappt. |
Zitat:
Zitat:
Wer kommt auf solche Ideen? Wenn ich _wichtige_ Rechner von Abteilungsleitern etc. aktualisieren, warten oder sonstwas muss, ist das erste was ich mach ein Image. Dann kann man ruhig danach was kaputtmachen oder es kann was durch die Aktualisierung kaputtgehen, notfalls spielt man das Image zurück. Zieh ein Image von dieser Kiste und versuch die Vorabversion des SP3 zu deinstallieren. Wenn alles glatt geht, neues Image. Dann das finale SP3 installieren. Geht wieder alles glatt, neues Image. Wohlgemerkt die alten erstellten Images alle behalten falls du ein oder zwei Schritte warum auch immer zurück willst/musst. Beobachte wie sich die Kiste dann verhält. Echte Funde sind hier noch nicht zu verzeichnen. |
OK, mit Datensicherung meinte ich eigentlich Image. habe ich seit vorgestern. SP3 runter und neu drauf. Mal sehen, ob ich es runtergeladen bekomme. Was ist mit den 2 Funden von ESET? Die anderen Funde vor meinem ersten Post hier hatte ich ja schon direkt mit der Regedit gekillt. Versuche nun SP3 ohne neue Trojaner downzuloaden... |
Naja, die Dinger sehen mir nach Trash im Java-Cache aus. Im Moment glaube eher die Kiste hat nen Schuss wegen Konfigchaos oder Vorabversion vom SP3 - auch wenn kein Virenscanner mehr etwas findet oder alles auch in Logs ok zu sein scheint, heißt das nicht, dass die Kiste komplett jemals so wieder einwandfrei laufen wird. Ich bin da rel. kompromisslos, wenn da jmd einer meiner Kollegen einen Fehler meldet, den ich, mein Kollege oder unser Azubi nicht lösen können, setzten wir schnell einen neuen Rechner aus unserem Ersatzbestand (neu-Rechner) auf, stellen den auf und sacken den Problemrechner ein. Den können wir dann in Ruhe analysieren. Meistens sind es wirklich nur Probleme durch Konfigchaos, zig Programme installiert - ich weiß es ist unglücklich, aber manchen Kollegen muss man lokale Adminrechte geben und eigentlich nur bei denen tauchen solche Probleme auf, es sei denn die Hardware ist schuld. :( |
Das macht unsere IT (zu der ich bis vor einigen Jahren auch gehörte) auch so in meiner Firma. Bei Laptops brauchen die User nur leider heute alle höhere Rechte, um ihre Anlalysetools etc. zu installieren. Dort gibt es zum Glück ja auch immer Images. Dieser Rechner steht nur in einer kleineren Firma, die nicht über Images etc. verfügt. Aber mal was lustiges... Der Rechner hat eine 2. Festplatte. Welche in Windows aber gar nicht gezeigt wird. bzw. Laufwerksbuchtaben hat. Da die Datenträgerverwaltung ja auch nicht geht... habe ich diese auch nie gesehen. Beim images vorgestern hatte ich mich nur gewundert, das ich plötzlich 3 Platte zu Auswahl hatte... Naja beim Booten erkennt das Bios diese zumindest auch. Die scheint wohl früher als Images gedient zu haben, weil die Partionen dort total identisch sind. So Download läuft. Danach entferne ich dann SP3... Ein image bekomme ich aber remote leider nicht hin. Muss ich dann morgen machen. Ich halte Dich aber erst einmal auf dem laufenden, ob das Deinstallieren geklappt hat. |
Hi Arne, habe keine Möglichkeit gefunden das SP3 zu deinstaliern. In Software ist der Button zum entfernen nicht da und im WindowsVerzeichnis habe ich keine uninstall Version für den Patch gefunden (WindowsXP-KB936929-SP3-x86-DEU.exe) Diese Datei habe ich gefunden "WindowsXP-KB936929-SP3-Express-x86-DEU.exe" im Ordner C:\WINDOWS\SoftwareDistribution\Download\a746b2abbbec3e139e29152ba22decd1 Frage: Wo kan ich das deinstallieren, oder soll ich das neue SP3 überinstallieren..? Der Rechner bringt mich noch um :killpc: PS: Sorry war im falschen Windowsunterordner, habs gefunden... deinstalliere nun. |
Hallo Arne, kleiner Zwischenstand: SP3 Vorversion deinstalliert --> keine Probleme Windows gestartet: Antivir Dienst musste neu gestartet werden Netzwerk musste neu verbunden werden (WLAN) Warum Platte 1 nicht angezeigt wird habe ich auch gefunden. Sie ist im Gerätemanager deaktiviert. Aktiviere ich diese, ist sie auch in der datenträgerverwaltung vorhanden! Platte 0 (C:\ etc.) ist weder im Gerätemanager noch in der Datenträgerverwaltung zu finden. Trotzdem sind die Laufwerksbuchstaben im Explorer vorhanden und man kann ja auch auf alle zugreifen. Der Internet Explorer reagiert wie vorher. Sämtliche Sicherheitseinstellungen werden beim Aufrufen herab gesetzt. Beim Öffnen einer neuen Registerkarte das gleiche Problem. Keine weiteren Viren/Trojaner aufgetaucht. Rechner ist grad beim Erstellen eines neuen Images (Stand SP2). Restzeit > 1Std. Ach ja, das SP2 wird als "final" ohne Versionsnummer angezeigt. |
So, SP3 ist drauf und.... TATA. Die Sicherheitseinstellungen im IE bleiben aktiv... Jetzt läd Windows die Updates.... fertig. RUMS: Das bösartige Softwareerkenungs Tool schlägt zu. Summary Trojan:DOS/Alureon.A is the detection for a variant of the Alureon malware family that infects the Master Boot Record (MBR). Der IE ist auch wieder zurückgesetzt........ :wtf: Hmm, zumindest kann ich den wieder richtig setzen und er bleibt dann auch auf der Sicherheitsstufe. Also irgendwas ist noch drauf.... Arne bitte Hilfe, was soll ich weiter machen? Virenscanner rennen lassen? Oder MBR reparieren ? |
AntiVir ist fertig: Code: Avira AntiVir PersonalStarte Malware Full Scann |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:31 Uhr. |
Copyright ©2000-2025, Trojaner-Board
