|
zwei Probleme: Avira AntiVir ist verschwunden + werde aus google auf fremde Seiten geleitet Hallo allerseits, ich habe mich dank google Suche durch mehrere Beiträge hier im Forum gearbeitet und festgestellt, dass aktuell viele das gleiche Problem haben: Wenn ich einen google-Treffer auswähle, werde ich auf irgendeine fremde Seite weitergeleitet, kann dann über "Zurück" auch die richtige Seite zugreifen. Darüber hinaus ist die Suche bei google langsam geworden. Weiter ist mir aufgefallen, dass Avira AntiVir mit samt Verzeichnis verschwunden ist. Das Problem habe ich etwa seit mitte letzter Woche, als ich gefragt wurde, ob ich internet explorer erlaube etwas auszuführen. Danach fing die Spinnerei an, der Bildschirme "blinkte" immer mal wieder schwarz auf. Wenn ich im msn messenger auf den Briefkasten klicke, über dessen Inhalt ich informiert werde, springt der Browser nicht auf und ich werde auch nicht auf die Seite von Hotmail in meinen Briefkasten geleitet. Meine Startseite ist google, normalerweise ist der blinkende Cursor immer im Eingabefeld für die Suche, wenn ich auf mein Haus klicke. Macht er auch nicht mehr. Ich arbeite täglich mit den Anzeigen auf mobile.de, die Ergebnisse werden auch nicht mehr wie gewohnt angezeigt. Ich glaube, dass die Flash-Inhalte ausgebremst werden. Folgende Programme habe ich laufen lassen und teilweise wieder deinstalliert: - Spybot search and destroy - Malwarebytes Beide wurden fündig, ich habe sie sofort alles entfernen lassen. - CCleaner Auch habe ich einen Versuch mit Combofix gestartet. HiJackthis habe ich laufen lassen und das Protokoll auswerten lassen, ohne dass ich da etwas gefunden hätte. Ich bitte euch um Hilfe. Es handelt sich um meinen Rechner am Arbeitsplatz, den ich auch zum privaten Surfen nutzen darf und davon regen Gebrauch mache. Bin nur von Montag bis Freitag im Büro. Daher wäre es schön, wenn mein Helfer übers Wochenende Geduld mit mir hätte, da ich erst Montag wieder ON sein kann. Danke |
und wo sind die ganzen logfiles, malwarebytes, combofix etc? |
Entschuldige, was die LogFiles betrifft. Da ich in einem anderen Beitrag gelesen habe, dass Ihr speziell zum Scan auffordert, habe ich nichts hochgeladen. Das mache ich nun hiermit ... Soll ich die Inhalte auch noch in einem Fred veröffentlichen ? Ich stell hier mal den OTL logfile rein.OTL Logfile: Code: OTL logfile created on: 02/12/2011 14:20:44 - Run 2 |
hi, alle logs in diesen thread bitte. Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde! Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.
|
Combofix Logfile: Code: ComboFix 11-12-02.01 - Donnadieu Automobile 02/12/2011 16:45:37.2.4 - x64 |
download tdss killer: http://www.trojaner-board.de/82358-t...entfernen.html Klicke auf Change parameters • Setze die Haken bei Verify driver digital signatures und Detect TDLFS file system • Klick auf OK und anschließend auf Start scan lösche niths, nur log posten |
Ich habe das Programm hier "hxxp://support.kaspersky.com/de/faq/?qid=207620123" heruntergeladen, wie beschrieben entpackt und mit "als Admin ausführen" gestartet. Da passiert nichts. |
downloade: http://ad13.geekstogo.com/MBRCheck.exe doppelklicke mbrcheck.exe dann sollte am schluss ein log geöffnet werden, dessen inhalt posten |
MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows 7 Home Premium Edition Windows Information: Service Pack 1 (build 7601), 64-bit Base Board Manufacturer: Packard Bell BIOS Manufacturer: American Megatrends Inc. System Manufacturer: Packard Bell System Product Name: imedia S3810 Logical Drives Mask: 0x000001fc Kernel Drivers (total 139): 0x03004000 \SystemRoot\system32\ntoskrnl.exe 0x035ED000 \SystemRoot\system32\hal.dll 0x00BC0000 \SystemRoot\system32\kdcom.dll 0x00C3A000 \SystemRoot\system32\mcupdate_GenuineIntel.dll 0x00C89000 \SystemRoot\system32\PSHED.dll 0x00C9D000 \SystemRoot\system32\CLFS.SYS 0x00CFB000 \SystemRoot\system32\CI.dll 0x00EFF000 \SystemRoot\system32\drivers\Wdf01000.sys 0x00FA3000 \SystemRoot\system32\drivers\WDFLDR.SYS 0x00E00000 \SystemRoot\system32\drivers\ACPI.sys 0x00E57000 \SystemRoot\system32\drivers\WMILIB.SYS 0x00E60000 \SystemRoot\system32\drivers\msisadrv.sys 0x00E6A000 \SystemRoot\system32\drivers\pci.sys 0x00E9D000 \SystemRoot\system32\drivers\vdrvroot.sys 0x00EAA000 \SystemRoot\System32\drivers\partmgr.sys 0x00EBF000 \SystemRoot\system32\drivers\volmgr.sys 0x01002000 \SystemRoot\System32\drivers\volmgrx.sys 0x0105E000 \SystemRoot\System32\drivers\mountmgr.sys 0x01078000 \SystemRoot\system32\DRIVERS\iaStor.sys 0x01194000 \SystemRoot\system32\drivers\atapi.sys 0x0119D000 \SystemRoot\system32\drivers\ataport.SYS 0x011C7000 \SystemRoot\system32\drivers\amdxata.sys 0x00FB2000 \SystemRoot\system32\drivers\fltmgr.sys 0x011D2000 \SystemRoot\system32\drivers\fileinfo.sys 0x011E6000 \SystemRoot\System32\Drivers\PxHlpa64.sys 0x0122B000 \SystemRoot\System32\Drivers\Ntfs.sys 0x01427000 \SystemRoot\System32\Drivers\msrpc.sys 0x01485000 \SystemRoot\System32\Drivers\ksecdd.sys 0x014A0000 \SystemRoot\System32\Drivers\cng.sys 0x01512000 \SystemRoot\System32\drivers\pcw.sys 0x01523000 \SystemRoot\System32\Drivers\Fs_Rec.sys 0x0166F000 \SystemRoot\system32\drivers\ndis.sys 0x01762000 \SystemRoot\system32\drivers\NETIO.SYS 0x017C2000 \SystemRoot\System32\Drivers\ksecpkg.sys 0x01837000 \SystemRoot\System32\drivers\tcpip.sys 0x01A3B000 \SystemRoot\System32\drivers\fwpkclnt.sys 0x01A85000 \SystemRoot\system32\drivers\volsnap.sys 0x01AD1000 \SystemRoot\System32\Drivers\spldr.sys 0x01AD9000 \SystemRoot\System32\drivers\rdyboost.sys 0x01B13000 \SystemRoot\System32\Drivers\mup.sys 0x01B25000 \SystemRoot\System32\drivers\hwpolicy.sys 0x01B2E000 \SystemRoot\System32\DRIVERS\fvevol.sys 0x01B68000 \SystemRoot\system32\DRIVERS\disk.sys 0x01B7E000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS 0x02F6B000 \SystemRoot\system32\drivers\cdrom.sys 0x02F95000 \SystemRoot\System32\Drivers\Null.SYS 0x02F9E000 \SystemRoot\System32\Drivers\Beep.SYS 0x02FA5000 \SystemRoot\System32\drivers\vga.sys 0x02FB3000 \SystemRoot\System32\drivers\VIDEOPRT.SYS 0x02FD8000 \SystemRoot\System32\drivers\watchdog.sys 0x02FE8000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0x02FF1000 \SystemRoot\system32\drivers\rdpencdd.sys 0x02E00000 \SystemRoot\system32\drivers\rdprefmp.sys 0x02E09000 \SystemRoot\System32\Drivers\Msfs.SYS 0x02E14000 \SystemRoot\System32\Drivers\Npfs.SYS 0x01BBC000 \SystemRoot\system32\DRIVERS\tdx.sys 0x02E25000 \SystemRoot\system32\DRIVERS\TDI.SYS 0x0152D000 \SystemRoot\system32\drivers\afd.sys 0x01600000 \SystemRoot\System32\DRIVERS\netbt.sys 0x02E32000 \SystemRoot\system32\DRIVERS\wfplwf.sys 0x01800000 \SystemRoot\system32\DRIVERS\pacer.sys 0x01826000 \SystemRoot\system32\DRIVERS\netbios.sys 0x01BDE000 \SystemRoot\system32\DRIVERS\wanarp.sys 0x01645000 \SystemRoot\system32\drivers\termdd.sys 0x044A8000 \SystemRoot\system32\DRIVERS\rdbss.sys 0x044F9000 \SystemRoot\system32\drivers\nsiproxy.sys 0x04505000 \SystemRoot\system32\drivers\mssmbios.sys 0x04510000 \SystemRoot\System32\drivers\discache.sys 0x0451F000 \SystemRoot\System32\Drivers\dfsc.sys 0x0453D000 \SystemRoot\system32\DRIVERS\blbdrive.sys 0x0454E000 \SystemRoot\system32\DRIVERS\tunnel.sys 0x04574000 \SystemRoot\system32\DRIVERS\intelppm.sys 0x0F28C000 \SystemRoot\system32\DRIVERS\nvlddmkm.sys 0x0FFA3000 \SystemRoot\system32\DRIVERS\nvBridge.kmd 0x042A9000 \SystemRoot\System32\drivers\dxgkrnl.sys 0x0439D000 \SystemRoot\System32\drivers\dxgmms1.sys 0x04200000 \SystemRoot\system32\drivers\HDAudBus.sys 0x04224000 \SystemRoot\system32\drivers\usbehci.sys 0x04235000 \SystemRoot\system32\drivers\USBPORT.SYS 0x0FFA5000 \SystemRoot\system32\DRIVERS\Rt64win7.sys 0x0428B000 \SystemRoot\system32\drivers\i8042prt.sys 0x043E3000 \SystemRoot\system32\drivers\kbdclass.sys 0x0F200000 \SystemRoot\system32\drivers\mouclass.sys 0x043F2000 \SystemRoot\system32\drivers\wmiacpi.sys 0x0F20F000 \SystemRoot\system32\drivers\CompositeBus.sys 0x0F21F000 \SystemRoot\system32\DRIVERS\serscan.sys 0x0F227000 \SystemRoot\system32\drivers\ksthunk.sys 0x0F22D000 \SystemRoot\system32\drivers\ks.sys 0x0F270000 \SystemRoot\system32\DRIVERS\AgileVpn.sys 0x0458A000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0x045AE000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0x045BA000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0x04400000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0x0441B000 \SystemRoot\system32\DRIVERS\raspptp.sys 0x0443C000 \SystemRoot\system32\DRIVERS\rassstp.sys 0x043FB000 \SystemRoot\system32\drivers\swenum.sys 0x04456000 \SystemRoot\system32\DRIVERS\umbus.sys 0x04AB4000 \SystemRoot\system32\DRIVERS\usbhub.sys 0x04B0E000 \SystemRoot\System32\Drivers\NDProxy.SYS 0x04B23000 \SystemRoot\system32\drivers\nvhda64v.sys 0x04B3C000 \SystemRoot\system32\drivers\portcls.sys 0x04B79000 \SystemRoot\system32\drivers\drmk.sys 0x05288000 \SystemRoot\system32\drivers\RTKVHD64.sys 0x00070000 \SystemRoot\System32\win32k.sys 0x054B1000 \SystemRoot\System32\drivers\Dxapi.sys 0x054BD000 \SystemRoot\system32\DRIVERS\cdfs.sys 0x054DA000 \SystemRoot\system32\drivers\USBSTOR.SYS 0x054F5000 \SystemRoot\system32\drivers\USBD.SYS 0x054F7000 \SystemRoot\System32\Drivers\crashdmp.sys 0x02E3B000 \SystemRoot\System32\Drivers\dump_iaStor.sys 0x05505000 \SystemRoot\System32\Drivers\dump_dumpfve.sys 0x05518000 \SystemRoot\system32\DRIVERS\monitor.sys 0x004F0000 \SystemRoot\System32\TSDDD.dll 0x00750000 \SystemRoot\System32\cdd.dll 0x05526000 \SystemRoot\system32\drivers\luafv.sys 0x05549000 \SystemRoot\system32\drivers\WudfPf.sys 0x0556A000 \SystemRoot\system32\DRIVERS\lltdio.sys 0x0557F000 \SystemRoot\system32\DRIVERS\rspndr.sys 0x03C34000 \SystemRoot\system32\drivers\HTTP.sys 0x03CFD000 \SystemRoot\system32\DRIVERS\bowser.sys 0x03D1B000 \SystemRoot\System32\drivers\mpsdrv.sys 0x03D33000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0x03D60000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys 0x03DAE000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys 0x04A00000 \SystemRoot\system32\drivers\peauth.sys 0x03DD2000 \SystemRoot\System32\Drivers\secdrv.SYS 0x03C00000 \SystemRoot\System32\DRIVERS\srvnet.sys 0x03DDD000 \SystemRoot\System32\drivers\tcpipreg.sys 0x05597000 \SystemRoot\System32\DRIVERS\srv2.sys 0x05E6C000 \SystemRoot\System32\DRIVERS\srv.sys 0x05F04000 \SystemRoot\system32\DRIVERS\WUDFRd.sys 0x05FB1000 \SystemRoot\system32\DRIVERS\WSDPrint.sys 0x77B70000 \Windows\System32\ntdll.dll 0x483C0000 \Windows\System32\smss.exe 0xFFE90000 \Windows\System32\apisetschema.dll 0xFF6B0000 \Windows\System32\autochk.exe 0xFFE30000 \Windows\System32\ws2_32.dll 0x77A20000 \Windows\System32\urlmon.dll 0x77810000 \Windows\System32\iertutil.dll Processes (total 46): 0 System Idle Process 4 System 324 C:\Windows\System32\smss.exe 468 csrss.exe 532 C:\Windows\System32\wininit.exe 556 csrss.exe 592 C:\Windows\System32\services.exe 608 C:\Windows\System32\lsass.exe 620 C:\Windows\System32\lsm.exe 724 C:\Windows\System32\svchost.exe 788 C:\Windows\System32\nvvsvc.exe 832 C:\Windows\System32\svchost.exe 896 C:\Windows\System32\svchost.exe 928 C:\Windows\System32\svchost.exe 976 C:\Windows\System32\svchost.exe 124 C:\Windows\System32\winlogon.exe 1028 C:\Windows\System32\svchost.exe 1112 C:\Windows\System32\svchost.exe 1332 C:\Windows\System32\nvvsvc.exe 1356 C:\Windows\System32\spoolsv.exe 1412 C:\Windows\System32\svchost.exe 1532 C:\Windows\System32\svchost.exe 1576 C:\Program Files (x86)\Packard Bell\Registration\GregHSRW.exe 1732 C:\Windows\System32\svchost.exe 1804 C:\Program Files\Packard Bell\Packard Bell Updater\UpdaterService.exe 1848 C:\OEM\USBDECTION\USBS3S4Detection.exe 1872 C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE 1936 C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAANTmon.exe 1976 C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVCM.EXE 2268 WUDFHost.exe 2316 C:\Windows\System32\svchost.exe 2428 C:\Windows\System32\taskhost.exe 2484 C:\Windows\System32\dwm.exe 2508 C:\Windows\explorer.exe 1316 C:\Windows\System32\SearchIndexer.exe 3052 C:\Program Files\Windows Media Player\wmpnetwk.exe 3700 C:\OEM\USBDECTION\FixIt.exe 2304 C:\Program Files\Modzilla\thunderbird.exe 3388 C:\Program Files (x86)\Internet Explorer\iexplore.exe 764 C:\Windows\System32\audiodg.exe 3580 C:\Windows\System32\SearchProtocolHost.exe 2728 C:\Windows\System32\SearchFilterHost.exe 3752 dllhost.exe 3484 dllhost.exe 4008 C:\Users\Donnadieu Automobile\Desktop\MBRCheck.exe 2836 C:\Windows\System32\conhost.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000004`06500000 (NTFS) \\.\D: --> \\.\PhysicalDrive0 at offset 0x0000004c`83300000 (NTFS) PhysicalDrive0 Model Number: WDCWD6400AAKS-22A7B2, Rev: 01.03B01 Size Device Name MBR Status -------------------------------------------- 596 GB \\.\PhysicalDrive0 Unknown MBR code SHA1: F5D099C50DD49E872969D8CC65E6767CCF11B8B8 Found non-standard or infected MBR. Enter 'Y' and hit ENTER for more options, or 'N' to exit: Options: [1] Dump the MBR of a physical disk to file. [2] Restore the MBR of a physical disk with a standard boot code. [3] Exit. Enter your choice: Done! |
Danke für die Hilfe bis hier, ich breche jetzt ab und auf ins Wochenende. Bis Montag dann. |
hi führe das programm noch mal aus [1] Dump the MBR of a physical disk to file. drücke 1 dann schreibe einen namen rein, zb mbr enter der wird dann im selben ordner wie mbrcheck gespeichert, ich benötige ihn, lade ihn also nach anleitung hoch. http://www.trojaner-board.de/54791-a...ner-board.html |
Okay, habe ich erledigt. |
lade hitman: http://dl.surfright.nl/HitmanPro36beta_x64.exe doppelklicken, settings, license, dann testlicense wählen. dann scannen log am ende speichern und anhängen bitte die funde nicht löschen sondern in die quarantäne |
Ich habe ihn runtergeladen, die Lizenz aktiviert, den Scan laufen lassen, er hat einen rootkit gefunden. Zum Thema log speichern habe ich keine Schalfläche gesehen, habe dann auf weiter geklickt und jetzt sagt er mir, dass er ihn entfernt hätte und ich rebooten soll. Das habe ich bis jetzt nicht gemacht, vielleicht kann ich im Bezug auf die log-Datei noch was retten? Hier das log, ich habe es gefunden: <?xml version="1.0"?> -<Log filesProcessed="25634" timeSpentInSecs="147" reboot="yes" date="2011-12-05T16:07:20" version="3.6.0.133" scan="Normal" computer="DONNADIEUAUTOMO">-<Item status="PendingDelete" score="100.0" malwareName="Bootkit" type="Malware">-<Scanners><Scanner name="Win64/Bootkit" id="Other"/></Scanners><File hash="EC99D3F9DC3536CCD6D17EE52798902A4DA140F841F27B8DFEB9ABDF71CF8311" path="C:$MBR"/></Item>-<Item status="Deleted" score="0.0" type="Repair"><File path="C:\Users\Donnadieu Automobile\AppData\Roaming\Microsoft\Windows\Cookies\09FAIDMM.txt"/></Item>-<Item status="Deleted" score="0.0" type="Repair"><File path="C:\Users\Donnadieu Automobile\AppData\Roaming\Microsoft\Windows\Cookies\2GAPDZEE.txt"/></Item>-<Item status="Deleted" score="0.0" type="Repair"><File path="C:\Users\Donnadieu Automobile\AppData\Roaming\Microsoft\Windows\Cookies\2TDHOF42.txt"/></Item>-<Item status="Deleted" score="0.0" type="Repair"><File path="C:\Users\Donnadieu Automobile\AppData\Roaming\Microsoft\Windows\Cookies\35RA71NT.txt"/></Item>-<Item status="Deleted" score="0.0" type="Repair"><File path="C:\Users\Donnadieu Automobile\AppData\Roaming\Microsoft\Windows\Cookies\3KVH2Z5I.txt"/></Item>-<Item status="Deleted" score="0.0" type="Repair"><File path="C:\Users\Donnadieu Automobile\AppData\Roaming\Microsoft\Windows\Cookies\3Z0KHH26.txt"/></Item>-<Item status="Deleted" score="0.0" type="Repair"><File path="C:\Users\Donnadieu Automobile\AppData\Roaming\Microsoft\Windows\Cookies\41LL856P.txt"/></Item>-<Item status="Deleted" score="0.0" type="Repair"><File path="C:\Users\Donnadieu Automobile\AppData\Roaming\Microsoft\Windows\Cookies\4LF41M1Q.txt"/></Item>-<Item status="Deleted" score="0.0" type="Repair"><File path="C:\Users\Donnadieu Automobile\AppData\Roaming\Microsoft\Windows\Cookies\53JGSACN.txt"/></Item>-<Item status="Deleted" score="0.0" type="Repair"><File path="C:\Users\Donnadieu Automobile\AppData\Roaming\Microsoft\Windows\Cookies\7FC6QBGM.txt"/></Item>-<Item status="Deleted" score="0.0" type="Repair"><File path="C:\Users\Donnadieu Automobile\AppData\Roaming\Microsoft\Windows\Cookies\8F8NKK1S.txt"/></Item>-<Item status="Deleted" score="0.0" type="Repair"><File path="C:\Users\Donnadieu Automobile\AppData\Roaming\Microsoft\Windows\Cookies\9DUYVVSW.txt"/></Item>-<Item status="Deleted" score="0.0" type="Repair"><File path="C:\Users\Donnadieu Automobile\AppData\Roaming\Microsoft\Windows\Cookies\9J2DXNS4.txt"/></Item>-<Item status="Deleted" score="0.0" type="Repair"><File path="C:\Users\Donnadieu Automobile\AppData\Roaming\Microsoft\Windows\Cookies\9OFSPPJX.txt"/></Item>-<Item status="Deleted" score="0.0" type="Repair"><File path="C:\Users\Donnadieu Automobile\AppData\Roaming\Microsoft\Windows\Cookies\A8WVZ9UZ.txt"/></Item>-<Item status="Deleted" score="0.0" type="Repair"><File path="C:\Users\Donnadieu Automobile\AppData\Roaming\Microsoft\Windows\Cookies\BRV95KWV.txt"/></Item>-<Item status="Deleted" score="0.0" type="Repair"><File path="C:\Users\Donnadieu Automobile\AppData\Roaming\Microsoft\Windows\Cookies\BUXVMU7A.txt"/></Item>-<Item status="Deleted" score="0.0" type="Repair"><File path="C:\Users\Donnadieu Automobile\AppData\Roaming\Microsoft\Windows\Cookies\F35T55JY.txt"/></Item>-<Item status="Deleted" score="0.0" type="Repair"><File path="C:\Users\Donnadieu Automobile\AppData\Roaming\Microsoft\Windows\Cookies\G97JODGG.txt"/></Item>-<Item status="Deleted" score="0.0" type="Repair"><File path="C:\Users\Donnadieu Automobile\AppData\Roaming\Microsoft\Windows\Cookies\L2V5PKON.txt"/></Item>-<Item status="Deleted" score="0.0" type="Repair"><File path="C:\Users\Donnadieu Automobile\AppData\Roaming\Microsoft\Windows\Cookies\LCP9V75R.txt"/></Item>-<Item status="Deleted" score="0.0" type="Repair"><File path="C:\Users\Donnadieu Automobile\AppData\Roaming\Microsoft\Windows\Cookies\N90YYGXD.txt"/></Item>-<Item status="Deleted" score="0.0" type="Repair"><File path="C:\Users\Donnadieu Automobile\AppData\Roaming\Microsoft\Windows\Cookies\O4PBNR5Q.txt"/></Item>-<Item status="Deleted" score="0.0" type="Repair"><File path="C:\Users\Donnadieu Automobile\AppData\Roaming\Microsoft\Windows\Cookies\O7YEW8XP.txt"/></Item>-<Item status="Deleted" score="0.0" type="Repair"><File path="C:\Users\Donnadieu Automobile\AppData\Roaming\Microsoft\Windows\Cookies\P5P6HIEI.txt"/></Item>-<Item status="Deleted" score="0.0" type="Repair"><File path="C:\Users\Donnadieu Automobile\AppData\Roaming\Microsoft\Windows\Cookies\Q5FOJUH0.txt"/></Item>-<Item status="Deleted" score="0.0" type="Repair"><File path="C:\Users\Donnadieu Automobile\AppData\Roaming\Microsoft\Windows\Cookies\QH986DB4.txt"/></Item>-<Item status="Deleted" score="0.0" type="Repair"><File path="C:\Users\Donnadieu Automobile\AppData\Roaming\Microsoft\Windows\Cookies\QJDH1D10.txt"/></Item>-<Item status="Deleted" score="0.0" type="Repair"><File path="C:\Users\Donnadieu Automobile\AppData\Roaming\Microsoft\Windows\Cookies\R25Y9YTH.txt"/></Item>-<Item status="Deleted" score="0.0" type="Repair"><File path="C:\Users\Donnadieu Automobile\AppData\Roaming\Microsoft\Windows\Cookies\RM80Q132.txt"/></Item>-<Item status="Deleted" score="0.0" type="Repair"><File path="C:\Users\Donnadieu Automobile\AppData\Roaming\Microsoft\Windows\Cookies\RXLSMWW1.txt"/></Item>-<Item status="Deleted" score="0.0" type="Repair"><File path="C:\Users\Donnadieu Automobile\AppData\Roaming\Microsoft\Windows\Cookies\TX19FLDC.txt"/></Item>-<Item status="Deleted" score="0.0" type="Repair"><File path="C:\Users\Donnadieu Automobile\AppData\Roaming\Microsoft\Windows\Cookies\UA1RTRPO.txt"/></Item>-<Item status="Deleted" score="0.0" type="Repair"><File path="C:\Users\Donnadieu Automobile\AppData\Roaming\Microsoft\Windows\Cookies\UMG0TD1C.txt"/></Item>-<Item status="Deleted" score="0.0" type="Repair"><File path="C:\Users\Donnadieu Automobile\AppData\Roaming\Microsoft\Windows\Cookies\VDI2YAZ4.txt"/></Item>-<Item status="Deleted" score="0.0" type="Repair"><File path="C:\Users\Donnadieu Automobile\AppData\Roaming\Microsoft\Windows\Cookies\WU3V90GB.txt"/></Item>-<Item status="Deleted" score="0.0" type="Repair"><File path="C:\Users\Donnadieu Automobile\AppData\Roaming\Microsoft\Windows\Cookies\YC2N1Z61.txt"/></Item>-<Item status="Deleted" score="0.0" type="Repair"><File path="C:\Users\Donnadieu Automobile\AppData\Roaming\Microsoft\Windows\Cookies\YE99M7YH.txt"/></Item></Log> |
ok neustarten bitte. dann: machst du mit diesem pc onlinebanking einkäufe sonstige zahlungsabwicklungen oder sonst was wichtiges wie zb berufliches? |
Ja, ich kaufe gelegentlich ein und schaue meinen Kontostand nach. |
hi, du hast ein sogenanntes bootkit auf dem system, dieses kann den pc komplett kontrolieren. da solch ein system nicht mehr vertrauenswürdig ist, da der angreifer quasi alles damit anstellen kann, musst du diesen pc formatieren. 1. autorun deaktivieren: Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de danach sichere bilder, dokumente filme musik (persönliches) auf nem externen datenträger. diesen prüfen wir dann auf dem neuen konfiguriertem system. 2. pc formatieren windows neu instalieren, anleitungen bekommst du falls nötig. 3. zeige ich dir, wie du den pc absicherst. 4. alle passwörter endern! |
Also, ich habe am Programm-Ende auf Reboot gedrückt. Beim wiederhochfahren hat er mich gefragt, ob er die Systemwiederherstellung laufen lassen kann und ich habe zugestimmt. Seit dem ist er tot. Es blitzt der BSOD auf und dann sagt er mir, dass es ein Problem gibt, ob ich Windows normal starten möchte oder im abgesicherten Modus. Auch im abgesicherten blitzt der BSOD auf, dann fragt er mich, ob ich einen Fehlerbericht senden will. Wenn ich danach auf weiter drücke ist er wieder aus. Bitte, was soll ich jetzt machen? Ich konnte von deinen Sicherungsmaßnahmen keine durchführen, weil ich schon auf reboot geklickt hatte. jetzt schein es ja für alles zu spät zu sein. Gut, ich hatte nichts besonderes auf meinem Recher, nur ein Dokumente, dich ich mir passend geschrieben habe. Dokumentenvorlagen und so weiter. |
hast du ne original windows cd zur hand? |
Ich habe es schon fast geschafft, er hat die Software auf der Platte gefunden, mir angeboten die alten Dateien ein eine BackUpFile zu speichern, ich hoffe, dass ich das auslesen dieses BackUps hinbekomme. So wie es aussieht ist er fast fertig. |
welche dateien meinst du, deine persönlichen? wir hätten sie auch über ein linux system retten können falls es nicht klappt. |
Genau, ich meinte die eigenen Dateien. Wunderbar, das hat schon mal geklappt, Windows ist wieder da und funktioniert. Jetzt haben wir auch den rootkit entfernt? Wie soll es jetzt weitergehen? Ich soll alle Passwörter erneuern, okay. Als Virenschutz habe ich jetzt das System von Microsoft drauf. |
hast du formatiert oder systemwiederherstellung genutzt? |
Formatiert habe ich nichts, ich habe dann wohl die Systemwiederherstellung genutzt. Wobei der Rechner danach "jungfräulich" war, meine Programme, wie zum Beispiel den Thunderbird musste ich erst wieder installieren. |
also doch formatiert. dann sichern wir jetzt mal das system ab: ok, erst mal anmerkungen: die folgende anleitung ist umfangreich, dass ist mir klar, sie sollte aber umgesetzt werden, da nur dann dein pc sicher ist. stelle so viele fragen wie nötig, ich arbeite gern alles mit dir durch! - als antimalware empfehle ich emsisoft. dieses ist zwar eine bezahl software, aber sie bietet meiner meinung nach den besten schutz. du kannst es 30 tage lang testen, und ich kenne shops wo man es für 9 € bekommt was eig sehr günstig ist. bei den kostenlosen würde ich zu avast greifen, zwar nicht ganz so gut, aber ok. - wenn du onlinebanking machst, lasse dich von deiner bank beraten, ein card reader, klasse 3 (komfort reader) + starmoney um onlinebanking zu machen. kostet zwar wieder was, die banken zahlen da aber dazu, sollte sich also in grenzen halten. - als browser rate ich dir zu chrome: https://www.google.com/chrome?hl=de falls du nen andern nutzen willst, sags mir dann muss ich teile der nun folgenden anleitung anpassen. http://www.trojaner-board.de/96344-a...-rechners.html Starte bitte mit der Passage, Windows Vista und Windows 7 Bitte beginne damit, Windows Updates zu instalieren. Am besten geht dies, wenn du über Start, Suchen gehst, und dort Windows Updates eingibst. Prüfe unter "Einstellungen ändern" dass folgendes ausgewählt ist: - Updates automatisch Instalieren, - Täglich - Uhrzeit wählen - Bitte den gesammten rest anhaken, außer: - detailierte benachichtungen anzeigen, wenn neue Microsoft software verfügbar ist. Klicke jetzt die Schaltfläche "OK" Klicke jetzt "nach Updates suchen". Bitte instaliere zunächst wichtige Updates. Es wird nötig sein, den PC zwischendurch neu zu starten. falls dies der Fall ist, musst du erneut über Start, Suchen, Windows Update aufrufen, auf Updates suchen klicken und die nächsten instalieren. Mache das selbe bitte mit den optionalen Updates. Bitte übernimm den rest so, wie es im Abschnitt windows 7 / Vista zu lesen ist. aus dem Abschnitt xp, bitte den punkt "datenausführungsverhinderung, dep" übernehmen. Als nächstes kommen wir zu dem Antimalware Programm. Dieses ist ein wichtiger Bestandteil des Sicherheitskonzeptes, deswegen sollte man sich gut überlegen, welche Wahl man trifft. Bei den kostenlosen Scannern halte ich Persönlich Avast! für die beste Wahl. Als kostenpflichtiges würde ich Emsisoft empfehlen Meine Antivirus-Empfehlung: Emsisoft Anti-Malware Weitere Vertreter . kaspersky: Kaspersky Lab: Antivirus software Symantec (Norton) Symantec - AntiVirus, Anti-Spyware, Endpoint Security, Backup, Storage Solutions Browserwahl: Da wir häufig mit dem Browser arbeiten, ist diese Wahl natürlich ebenfalls wichtig, die wichtigen Vertreter befinden sich in dem Verlinktem Thema. ich würde zu chrome greifen: https://www.google.com/chrome?hl=de Sandboxie Die devinition einer Sandbox ist hier nachzulesen: Sandbox Kurz gesagt, man kann Programme fast 100 %ig isuliert vom System ausführen. Der Vorteil liegt klar auf der Hand, wenn über den Browser Schadcode eingeschläust wird, kann dieser nicht nach außen dringen. Download Link: http://filepony.de/download-sandboxie/ anleitung: http://www.trojaner-board.de/71542-a...sandboxie.html ausführliche anleitung als pdf, auch abarbeiten: http://filepony.de/download-sandboxie/ bitte folgende zusatz konfiguration machen: sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen. dort klicke auf sandbox einstellungen. beschrenkungen, bei programm start und internet zugriff schreibe: chrome.exe dann gehe auf anwendungen, webbrowser, chrome. dort aktiviere alles außer gesammten profil ordner freigeben. Wie du evtl. schon gesehen hast, kannst du einige Funktionen nicht nutzen. Dies ist nur in der Vollversion nötig, zu deren Kauf ich dir rate. Du kannst zb unter "Erzwungene Programmstarts" festlegen, dass alle Browser in der Sandbox starten. Ansonsten musst du immer auf "Sandboxed webbrowser" klicken bzw Rechtsklick, in Sandboxie starten. Eine lebenslange Lizenz kostet 30 €, und ist auf allen deinen PC's nutzbar. Weiter mit: Maßnahmen für ALLE Windows-Versionen alles komplett durcharbeiten Backup Programm: in meiner Anleitung ist bereits ein Backup Programm verlinkt, als Alternative bietet sich auch das Windows eigene Backup Programm an: Anleitung: Backup mit Windows 7-Bordmitteln - NETZWELT Dies ist aber leider nur für Windows 7 Nutzer vernünftig nutzbar. Alle Anderen sollten sich aber auf jeden fall auch ein Backup Programm instalieren, denn dies kann unter Umständen sehr wichtig sein, zum Beispiel, wenn die Festplatte einmal kaputt ist. Zum Schluss, die allgemeinen sicherheitstipps beachten, wenn es dich betrifft, den Tipp zum Onlinebanking beachten und alle Passwörter ändern bitte auch lesen, wie mache ich programme für alle sichtbar: Programme für alle Konten nutzbar machen - PCtipp.ch - Praxis & Hilfe surfe jetzt also nur noch im standard nutzer konto und dort in der sandbox. wenn du die kostenlose version nutzt, dann mit klick auf sandboxed web browser, wenn du die bezahlversion hast, kannst du erzwungene programm starts festlegen, dann wird sandboxie immer gestartet wenn du nen browser aufrufst. wenn du mit der maus über den browser fährst sollte der eingerahmt sein, dann bist du im sandboxed web browser |
Die updates habe ich durchgeführt, bevor ich mit dem IE nach Thunderbird suchte. Danke trotzdem für die Anleitung. Meine Passwörter ändere ich sowieso regelmäßig, die sind auch ausreichend schwierig. Warum empfiehlst du Chrome als Browser? Ich war immer der Meinung, dass dieser Browser dich am besten ausspioniert, damit google möglichst viel Werbung platzieren kann. Was ist deiner Meinung nach der Vorteil an Chrome? Den Avast! habe ich installiert. Wozu soll das Back-Up dienen, soll ich das System auf einen externen Datenträger speichern? Danke |
hi, dass google spioniert ist schon seit langem nur ein gerücht. google hat mit einen der sichersten browser, auf jeden fall sicherer als firefox. auch in sachen geschwindigkeit ist er sehr gut. naja das backup hat mehrere praktische vorteile. - was machst du wenn deine festplatte kaputt geht, dann kostet ne reperatur einige hundert € wenn du ne komplette sicherung hast, dann kannst die platte weg schmeißen. - was machst du, wenn zb ein programm instaliert wird, und irgendwas geht schief und es gibt beim neustarten einen bluescreen, ewig nach der lösung suchen, nein nicht mit ner backup software. kafee kochen, backup zurück spielen, 15 minuten warten, system sieht aus wie zur erstellung des backups, also, regelmäßig ein backup ausführen. - dein antimalware programm meldet nen trojaner, backup software nehmen, pc ist sauber. avast anleitung: http://forum.avadas.de/download/inst...on_avast_6.pdf bitte die heuristiken auf höchste stufe, updates alle 2 oder 3 stunden. du sagst du hast windows updates, dass ist schön, aber nicht ausreichend, drittanbieter software muss ebenfalls ein update erhalten, dafür sind secunia und filehippo da. und die restlichen maßnamen sind natürlich auch wichtig, denn nicht jede malware nutzt sicherheitslücken, und es gibt bisher nicht geschlossene lücken oder neue lücken die auftauchen werden, da muss man sich auch schützen. |
Ich habe mir jetzt den Chrome auf meinen Rechner gezogen. Siehe da, es funktioniert, allerdings finde ich die Oberfläche weniger komfortabel als die des IE. Wie kann ich eine Druckvorschau erzeugen? Wo ist mein Häuschen, damit ich auf meine Startseite zurückkomme? |
hast du schon was gedruckt? da sollte die vorschau so weit ich weis automatisch aufgehen. hast du dir die schaltflächen im chrome angesehen eig sollte eine davon auf die startseite zeigen |
So, in den Einstellungen habe ich das Home gefunden. Die Druckvorschau geht tatsächlich auf, sobald man den Wunsch äußert zu drucken, allerdings gibt es nur wenige Einstellungen, daher kann ich den Browser aus beruflicher Sicht nicht gebrauchen. Ich werde ihn aber für das private surfen nutzen, in der Hoffnung, dass er mich davor bewahrt wieder so ein Schadprogramm auf meinen Computer zu laden. Ich danke dir vielmals, dass du mir geholfen hast dieses lästige Rootkit zu entfernen.:applaus::dankeschoen: Möchte ja nur zu gerne wissen, mit welchem Unsinn ich mir das eingefangen habe. |
hi, sicherheitslücken warscheinlich. sag mir mal welchen browser du beruflich nutzt, dann muss ich die sandboxie anleitung anpassen siehst du, berufliche nutzung ist übrigens noch ein grund für: -backups - emsisoft, da du dir keinen zeitlichen ausfall leisten kannst (evtl.) und evtl. da wichtige daten zu schützen sind - und die gesammte umsetzung der anleitung, da sie einen neuerlichen befall verhindert. na und du kannst ja den chrome immer nutzen und dann halt nur nen andern browser wenns ans drucken geht. da die druckvorschau noch neu in chrome ist kommt da sicher noch bald was dazu, immer mal reingucken :-) |
Ja, ich nutze den IE für meine Seitenausdrucke. Kann ich Sandbox nicht aus avast nutzen? Da gibt es doch auch eine Sandboxoption. Und was ist in Sachen msn messenger? Kann ich den benutzen oder soll ich etwas anderes nehmen? |
nein die avast sandbox ist was anderes, sie bearbeitet nur programme die avast verdächtig vor kommen. da diese funktion aber noch nicht wirklich ausgereift ist ist sandboxie dringend nötig. damit hättest du nämlich schon deine infektion verhindert da die malware in der sandbox stecken geblieben währe. ich nutze miranda für messenger. du kannst miranda fusion versuchen. damit kannst du alle gängigen protokolle nutzen Miranda Fusion wenn du den ie nutzen willst musst du in der sandbox zusätzlich zum chrome folgendes freigeben: sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen. dort klicke auf sandbox einstellungen. beschrenkungen, bei programm start und internet zugriff schreibe: iexplore.exe |
Danke. Ich habe Sandbox installiert. Leider funktioniert das mit der Konfiguration nicht zur vollsten Zufriedenheit, ich kann es nicht so einstellen, dass der ie automatisch in der Sandkiste öffnet, ich muss ihn per Rechtsklick beim Öffnen dazu zwingen. Dann habe ich mir auch noch von der Seite, die du mir empfohlen hast, den 7zip gezogen und installiert. Leider hat der es nicht geschafft sein Schnellzugriffsmenu zu installieren. Kannst du mir bei einer "zu Fuß-Methode" dabei helfen 7zip funktional einzurichten. Ich verstehe das nicht, früher hat das doch auch geklappt. |
hi, ja das ist leider ein problem mit der sandbox. du kannst immer nur den standard browser über das sandboxed web browser symbol öffnen, um alle browser in der sandbox zu öffnen benötigst du die vollversion, die einige zusatz funktionen hatt. zb ewerzwungende programm starts. dies heißt du kannst einstellen das alle webbrowser in der sandbox starten, auch wenn du zb auf das symbol klickst. die vollversion ist lebenslang gültig und kostet 30 €. versuch mal 7zip zu deinstalieren und neu zu instalieren. |
So, ich habe 7zip deinstalliert und mit WinRAR geholt, der funktioniert jetzt auch wie benötigt. Die Sandbox werde ich in der günstigen Version lassen, mein Chef ist so knickert, der will kein Geld für Sicherheit ausgeben.:pfui: Aber ich. Sagst du mir bitte, wie ich mich erkenntlich zeigen kann? |
hi, 30 € für ne lebenslange lizenz... und firmen müssen sowieso drauf achten ob sie free versionen überhaupt nutzen dürfen, wegen der lizenzverträge und ich persönlich denke auch das firmen pcs eh häufig bezahlsoftware nutzen sollten da: - sensible daten geschützt werden müssen, kundenbezogenes, patente, geschäftsideeen usw. man glaubt gar nicht wie häufig auch in kleinen und mittelständigen betrieben wirtschaftskriminalität statt findet, da die leute so denken wie dein cheff :-( die tipps kannst du übrigens auch privat umsetzen nur mal so als tipp. wenn du dich erkenntlich zeigen willst, kannst du den link in meiner signatur anklicken und etwas für das forum spenden, damit wir den server finanzieren können da freuen wir uns über jede hilfe :-) |
Gerne, sagst du mir bitte welche Größenordnung da die Regel ist? |
hi, dass ist freiwillig, da gibts keine regel, jeder wie er kann oder mag. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:11 Uhr. |
Copyright ©2000-2025, Trojaner-Board