GEMA-UKASH Trojaner blockiert Laptop mit XP pro 32bit vollständig
 

Hallo erst mal,
ich bin neu angemeldet, habe aber hier schon öfter mal gelesen, wenn ich meinte Probleme zu haben. Von der strukturierten Art der Problemlösung war ich sehr beeindruckt.
Jetzt habe ich allerdings in der Tat ein Problem.
Wie der Titel sagt: GEMA-UKASH Trojaner blockiert Laptop mit XP pro 32bit vollständig.

Ich habe mir das Pferdchen Sonnabend beim Surfen mit Opera aufgeladen. Da ich eigentlich immer recht vorsichtig bin und aktuelle Updates und Avira benutze, war ich echt überrascht. Auch wenn es mir fast peinlich ist: Der Rechner enthält nur legale Software. Daher war sofort klar das dieser GEMA Screen nur Fake ist.
Ich habe den Rechner erst mal ausgeschaltet und am anderen Rechner etwas nachgelesen. Die "Großen" wie Norton etc. haben ja zu diesem Trojaner nichts zu sagen, vielleicht weil das Ding echt hartnäckig ist und sie es bisher verpennt haben? Oder weil sie noch keine fertige Einklick-Lösung haben die ihre zahlenden Kunden natürlich zurecht erwarten. Oder verhindern die so etwas tatsächlich zu 100%? Egal.

Ich habe dann den Rechner gestartet und versucht an dem Blockade-Schirm vorbei zu kommen. Fehlanzeige.
Während andere per abgesicherten Start wieder an den Desktop kommen, ging da nichts. Was sich eventuell daraus ergibt, das der Laptop nur per Anklicken eines Profils mit dem W-Lan verbindet und jetzt ohne Hilfe nicht mehr rein kommt.
Weshalb das Ding auch nicht den Gema-Mist, sondern die Systemmeldung "Das Programm konnte keine Verbindung mit dem Internet herstellen" erzeugt, die man aber auch nicht mehr umgehen kann. Weder mit F5, F11 oder ähnlichem. Egal wie, er startet immer zu Windows durch, verlangt einen der beiden angemeldeten Benutzer und erzeugt dann wieder diese Systemmeldung.

Da vermutlich die normale Lan Verbindung im Set Up von mir deaktiviert wurde, kommt er jetzt auch nicht per Kabel-Router ins Netz. Über das Netzwerk kann ich allerdings einige freigegebene Ordner sehen, leider nichts hilfreiches.

Daher kommen auch die ganzen Windows Tools erst mal nicht in Frage, da ich sie nicht unter Windows gestartet bekomme. Oder mache ich etwas falsch?
Allerdings ist ein Zugriff per Knopix kein Problem. Mit einer simplen CD bekomme ich dann sofort alle Partitionen zu sehen.

Das einzige was ich bisher gemacht habe, ist ein Tool namens Norton Bootable Recovery Tool vom USB Stick drüber laufen zu lassen. Es hat nur lapidar einen „Downloader“ gefunden, der sich in Mozilla Firefox befand und ihn (Ohne mein Zutun) deaktiviert. Ob er nun schon alt oder noch aktiv war kann ich nicht sagen.

Die Frage ist nun, wie werde ich den Mist los?

Unterscheidet sich meine Version von den anderen oder gibt es noch eine andere Möglichkeit unter Windows an dem Ding vorbei zu kommen um Ihn händisch zu deaktivieren?

Natürlich könnte ich unter Knopix / Linux alles Wichtige auf eine sicherere Partition kopieren, auf Viren-Schmutz testen und C:\ dann neu formatiert aufsetzen. Wäre nervig, aber keine völlige Katastrophe. Ärgerlich weil meine Frau die ganzen Treiber etc. beim Umzug verlegt hat und die Kisten zum Teil eingelagert sind. Gut wäre daher ein Auslesen der Seriennummern der gekauften Programme die drauf sind. Normalerweise ist das ja nur ein Klick.

Außerdem würde ich mich natürlich gerne schlau machen, wie man so etwas zukünftig verhindert. Avira täglich automatisch zu aktualisieren und diverse Service Packs und Up Dates haben ja nichts gebracht. Auch der OPERA Browser war ganz aktuell.

Ich würde mich sehr freuen wenn mich hier jemand unterstützen könnte. Ich hoffe ich bin nicht zu ausführlich, aber ich finde es unhöflich zu erwarten das andere einem ihre Zeit schenken wenn man selber nur kurz was in die Tasten blubbert und meint, die andere können ja fragen, wenn sie unbedingt helfen wollen. Ich kann aber auch kürzer.



Was ich noch, neben der rein technischen Problematik anmerken möchte, aber vielleicht gehört das auch wo anders hin:
Der Text des Erpresser Bildschirms ist in erstaunlich kultiviertem Deutsch abgefasst, entgegen den anderen Sachen die ich so gesehen habe.
Die Gründlichkeit mit der das Ding sich einnistet scheint mir ebenso echt deutsch zu sein. Diese Perfektion ist doch eigentlich völlig überflüssig, denn wer sich so weit mit der Infektion beschäftigt, das er sie entfernt bekommen könnte, hat ja das Ding eh lange durchschaut und wird nicht im Traum 50 Euro zahlen, für die er KEINE Lösung bekommt. Also irgendwie schon komisch, wozu die ganze Mühe? Je fieser der Trojaner ist, um so schneller wird er bekannt und um so schneller zahlt gar keiner mehr. Damit schadet er sich doch selber. Sind Kriminelle immer irgendwo bekloppt? Oder geht es so einem Kranken gar nicht um das Geld, sondern nur darum Schaden zu verursachen?

Was einen aber echt richtig sauer macht, ist nicht so sehr das Schwein dass programmiert hat, was jetzt Tausende von Stunden Freizeit bei Privatleuten vernichtet. Dazu unbezahlbar teure Arbeitszeit bei auf die Rechner angewiesene Firmen, was bis zum Ruin kleiner Gewerbetreibender führt. Wer eh wenig verdient hat auch am wenigsten Geld für Sicherheit.

Nein, voll sauer macht mich die unglaubliche Ignoranz unseres Staates, der nichts gegen solche Typen unternimmt, sondern sich selber vergleichbare Software schreiben lässt mit Funktionen, die in anderen Ländern die Beamten ohne Wenn und Aber ins Gefängnis bringen würde und jeden so gefundenen „Beweis“ sofort ungültig macht. Bei ernst gemeinter Anwendung der Gesetze hier eigentlich auch. Aber was soll man halten von Beamten, die im Ausland von Datendieben CDs mit ihnen gesetzlich nicht zustehenden Angaben für Millionenbeträge kaufen? Die damit andere ermutigen auch in Zukunft kriminell zu werden?
Auch wenn Steuerhinterziehung in tolerabel ist, sind solche Methoden von erheblich höherer krimineller und verfassungsfeindlicher Energie gesteuert als das verfolgte, dagegen harmlose Delikt.

Aber dort, wo es dem kleinen Steuerzahler wirklich einmal nutzen würde, hat der Staat keinerlei Interesse an echten Verbrechern.
Wenn das Ergreifen solcher Erpressungs-Software-Täter wirklich irgendwo gewollt wäre, säßen die nach einer Woche in U-Haft.
Ein paar von Anfang an verfolgte Überweisungen reichen da völlig. Aber zuständig ist ja keiner... Ermittelt wird erst wenn der Schaden da ist, aber wenn der Täter nicht aus dem gleichen Bundesland kommt wie der Geschädigte, ist sowieso Schluss.
Wir geben das weiter... und Ende.
Kein öffentliches Interesse. Was bedeutet das eigentlich?
Die Bundespolizei hat angeblich auch andere Sorgen und alle lachen eine aus, wenn man bei Interpol seine Anzeige loswerden will. Klasse. Warum legalisiert man Erpressung und Zerstörung fremder Daten nicht gleich?

Auch wenn der Typ nur von Vollpannen mit schlechtem Gewissen Geld bekommt, scheint sich das ja zu lohnen. Ein paar Dutzend 50 Euro Scheine sind ja auch schon ein fetter Malle Urlaub.

Dank Deutscher Polizei und Politik offenbar völlig risikolos. Vermutlich bildet sich da ein neuer Krimineller Sumpf, der mit Internet Schmuddel Content Anbietern zusammen hängt, da ich die großen Internet Namen kaum als Verbreiter dieser Trojaner vermute. Auch wenn ich neulich in einem Druckertreiber von der Herstellerhomepage einen Virus (erkannt) hatte. Das Zahlungssysteme wie UKASH sich bewusst so aufstellen, das Zahlungen nicht verfolgbar sind, hat Methode. Würde ein normaler Gewerbetreibender so vorgehen, wäre ihm eine Vorstrafe sicher. Es stinkt irgendwie überall im Land.

Ich vermute ich habe mir den Trojaner durch das versehentliche Anklicken einer Pornoseite geholt. Bei der Suche nach „Einspritzung“ (fürs Auto) bin ich bei ganz anderen Sachen gelandet als ich dachte, was man aber beim Aufrufen in der Suchmaschine nicht sofort erkannte. Anders kann ich mir die Infektion nicht erklären. Runter geladen habe ich seit Wochen nichts mit dem Rechner, außer Aktualisierungen, eMails übrigens auch nicht!
Es sei denn das Ding nistet sich ein und hat eine Wartezeit, nach der es sich aktiviert. Dann könnten auch YouTube und Facebook oder andere Kinderanwendungen daran schuld sein.


Viele Grüße und schon mal Danke, der Wolf

hi, die infektionen kommen meist eher aus ost europa es ist auf jeden fall sehr schwer nachzuvollziehen woher bzw wer daran beteiligt ist.
zahlen werden schon genug leute, sonst würde diese kampagne nicht mehr laufen.
naja, und firmen zb sollten sowieso in sicherheitssoftware investieren.
du hast gesagt du hast nen aktuelles windows etc, aber was ist mit java, adobe produkten etc, dass muss auch alles aktuell sein, aber werden wir ja gleich sehen :-)
Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.


Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.

• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD


Bebilderte Anleitung: OTLpe-Scan

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.

Hallo Markus,
vielen Dank erst mal für die schnelle Antwort. Ich bin leider erst sehr spät nach Hause gekommen, werde also erst Dienstag dazu kommen das alles wie beschrieben zu machen. Ich habe leider gelegentlich ungewöhnliche Arbeitszeiten.

Ja, ich habe natürlich noch andere PC´s auch mit Brenner und Internet. Ich werde schon eine bootbare CD hin bekommen.
Mal sehen was da alles raus kommt. Der Laptop fehlt glücklicherweise nicht wirklich, weil alles Wichtige dass darauf bearbeitet wird, immer per USB Stick gesichert wird. Ich benutze ihn nur selten, Kinder und Frau toben sich daran aus. Trotzdem ist es wegen der Lizenzen echt ärgerlich wenn er hin wäre.

Also, noch mal Danke, bis bald,

Wolf

Irgendwie lief nicht alles wie geplant, ich habe nur den Text von OTLPEN bekommen.
Benutzter sind Anja und Lastexit.
Das allen unbekannte Admin. Passwort (Dell Installation) habe ich zurückgesetzt, komme aber wie schon gesagt auch über F8 nicht rein, weil selbst im abgesicherten Modus mit Eingabeaufforderung der Bockierer kommt, nachdem ich den DOS- Prompt kurz gesehen habe.OTL Logfile:
--- --- ---

Hallo,
dieses OTLPEN ISO ist Klasse. Da ist ja ein ganzes Linux (?) drunter versteckt. Damit bin ich ja wieder an mein Dateisystem gekommen und konnte OTL starten, an alle Dateien rankommen und einiges durchsehen.

Ich habe mir erst mal alles angesehen was OTL gefunden hat und auch sonst so ein wenig gesucht.
Erst dachte ich rpcnet.exe wäre böse, war aber irgendwie unlogisch.
Dabei ist mir aber die versteckte Datei "inetaccelerator.exe" aufgefallen, die ich nicht kannte und mit sicherheit nicht brauche.

Die habe ich suchen lassen und überall gelöscht, so bei

C:\Windows\system32\

C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Inetaccelerator\

und das gleiche bei allen Anwendern.

Danach war der Gema Schirm erst mal weg und der Computer wieder mit allen Funktionen da.
Dann habe ich unter Windows weiter gesucht, wobei man aber im Gegensatz zu OTL alle Systemdateien und Versteckte etc. sichtbar machen muss.

Ich habe dann aus der Registry mit Regedit alle Schlüssel mit "Intaccelerator" gelöscht.

Antivir hat dann noch ein paar Downloader und andere Viren gefunden, die es aber blöderweise nicht besonders verständlich bezeichnet.

Ich lasse jetzt erst mal ein paar Antivirenprogramme die hier empfohlen werden laufen und warte auf neue Anweisungen. So ganz traue ich dem Frieden jedenfalls nicht und befürchte das der Mist irgendwie nachgeladen wird. Jedenfalls bin ich erst mal ganz froh überhaupt wieder im XP drin zu sein.
Komischerweise hat das was ich gefunden habe aber nichts mit den anderen Beschreibungen im Netz für den Gema-UKASH also Version 2.01 zu tun, oder? Ist das nun noch ein anderer Virus?

Danke, Wolf

auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:
dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.

• Öffne dein Systemlaufwerk ( meistens C: )
• Suche nun
  folgenden Ordner: _OTL und öffne diesen.
• Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
• 
  Dies wird eine Movedfiles.zip Datei in _OTL erstellen
• Lade diese bitte in unseren Uploadchannel
  hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)

bitte nicht das log hochladen sondern, so wies da steht, moved files packen und hochladen

Hallo,
tut mir leid das ich mich eine Weile rar gemacht habe, hatte ich ja schon angekündigt, das ich nicht immer gleich antworten kann, da ich den vervirten Rechner nicht mit mir rum schleppe.

Ich habe mich an die Anleitung gehalten, soweit der PC/OTL das zuließ.
Was jetzt passiert: Nach dem Eingeben des Benutzerkennwortes (egal welcher Benutzer) fängt er an den Desktop zu laden, aber nach 2 Sekunden wird er wieder abgemeldet und man ist wieder bei der Benutzerwahl.
Lustig, gell?

Wat nu?
Ist das von mir hochgeladene File OK oder muß ich das (ich kann nur per CD starten! Kein Windows, egal was ich auch an Startoptionen nehme) noch mal anders machen? Dieses hat OTL nach dem Einlesen des von Dir im letzten Post eingestellten Textes per USB Stick gemacht.
Ich bin mir eben nicht sicher wie ich das OTL wann womit füttern soll und welches Log dann interessant ist. Im Ordner _OTL war nur der eine File das ich verschickt habe.

Vielen Dank!

erstelle noch mal ein neues otl log

So, einmal neu, mit dem Custom Set

Danke!

lad doch deine logs hier hoch, ich hatte gesagt das dort nur der trojaner bzw moved files hochgeladen werden sollen

Sorry, das habe ich falsch verstanden, also hier der OTL- Log:OTL Logfile:
--- --- ---

auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:
dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

Hi,
er scheint wieder ganz normal zu laufen. Super. Ich werde jetzt mal alles updaten und meine Sicherheitsmaßnahmen überdenken. Dieser Rechner wird von Frau und Kindern genutzt, weshalb ich völlig entspannt war, obwohl das Ding hing. An anderen Rechnern wäre es aber extrem ärgerlich gewesen.

Kannst Du in zwei Sätzen verraten was nun zur Reparatur nötig war?

Auf jeden Fall vielen, vielen Dank. Ihr seit hiere echt Klasse!

Hier das letzte, unter Windows erstellte OTL-Log:OTL Logfile:
--- --- ---

hi, wir sind noch nicht ganz fertig.
kannst du mal testen ob unter dem konto anja, bzw usernamen, alle programme vernünftig funktionieren?

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

• Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
  Tool
  
  Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  
• Hinweis:
  Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  
• Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

Hallo,
der Laptop funktioniert unter beiden Benutzern wieder normal, jedenfalls hat sich im Laufe der Woche keiner beschwert.

Hier das Log von ComboFix:


Combofix Logfile:
--- --- ---

malwarebytes öffnen berichte logs alle posten.

Die älteste zuerst.



Malwarebytes Anti-Malware (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.03.03.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Last_Exit :: LAPTOP_ANJA [Administrator]

Schutz: Deaktiviert

03.03.2012 23:01:03
mbam-log-2012-03-03 (23-01-03).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 317849
Laufzeit: 3 Stunde(n), 13 Minute(n), 45 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\System Volume Information\_restore{DBEF6E60-C5C5-47E2-8E78-49320D8CFCDD}\RP5\A0000187.rbf (PUP.Dealio.TB) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)




Malwarebytes Anti-Malware (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.03.04.01

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Last_Exit :: LAPTOP_ANJA [Administrator]

Schutz: Deaktiviert

04.03.2012 03:17:51
mbam-log-2012-03-04 (03-17-51).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 316979
Laufzeit: 2 Stunde(n), 49 Minute(n), 47 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Hi,
noch mal so am Rande: Ich habe einen Bekannten, der in einer großen Media Agentur arbeitet, so ein "Ich weis eh schon alles und den Rest besser als Du" Typ. Der mir angesprochen auf diesen speziellen Schädling (mehr auf die wirtschaftliche als technische Bedeutung) von oben herab erklärte, daß das eben davon käme, wenn man schmutzige Seiten besuchen würde.
Dessen Kollege hatte nun letzte Woche genau das Ding auch auf dem Rechner. Was natürlich schwer peinlich ist, da Arbeitszeit etc. und man da nicht auf böse Seiten surfen soll...
Deren Systemverwalter hat das ganze (offenbar protokollieren die alles irgendwo genau) dann zurückverfolgt und war sehr erstaunt, das die Infektion von einer eigentlich seriösen Seite erfolgt war. Welche sagte er aus verständlichen Gründen nicht, denn das sind deren Kunden. Irgendwo schon bedenklich, aber sicher nicht neu. Habe ich anno dazumal doch auch mal einen Virus auf einer gekauften Markensoftware Diskette gehabt.

Gruß, Wolf

sicher, es ist natürlich möglich sich auf legitimen seiten zu infizieren, häufig sinds aber die, die zb kinofilme etc illegal streamen keygen sites usw.
lade den CCleaner standard:
CCleaner Download - CCleaner 3.16.1666
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Hi,
ich habe nichts gefunden was ich nicht kenne. Das meiste ist von Dell direkt drauf, dann natürlich die MS-Office Anwendungen, der Apple Nervkram von Frau und Kindern und einige Treiber und Serviceprogramme von mir.

Danke, Wolf



ABBYY FineReader 6.0 Sprint ABBYY Software House 19.10.2009 116,2MB 6.00.1990.41618
Adobe Flash Player 11 ActiveX Adobe Systems Incorporated 04.03.2012 11.1.102.55
Adobe Flash Player 11 Plugin Adobe Systems Incorporated 04.03.2012 11.1.102.62
Adobe Reader 9.1.3 - Deutsch Adobe Systems Incorporated 02.10.2009 236MB 9.1.3
Advanced Audio FX Engine 04.03.2012
Advanced Video FX Engine 04.03.2012
Apple Application Support Apple Inc. 01.02.2012 62,9MB 2.1.6
Apple Mobile Device Support Apple Inc. 01.02.2012 24,1MB 4.0.0.97
Apple Software Update Apple Inc. 02.07.2011 2,25MB 2.1.3.127
Avira AntiVir Personal - Free Antivirus Avira GmbH 04.03.2012 10.2.0.707
Bonjour Apple Inc. 01.02.2012 1,03MB 3.0.0.10
Canon Inkjet Printer/Scanner/Fax Extended Survey Program 04.03.2012
Canon MP Navigator EX 4.0 04.03.2012
Canon Solution Menu EX 04.03.2012
CanoScan LiDE 110 Scanner Driver 04.03.2012
CCleaner Piriform 04.03.2012 3.16
DD-Personalplaner II 04.03.2012
Dell Touchpad ALPS ELECTRIC CO., LTD. 04.03.2012 7.4.102.102
Dell Video Chat SightSpeed Inc. 04.03.2012 6.0 (6567)
Dell Webcam Center 04.03.2012
Dell Webcam Manager 04.03.2012
EASEUS Partition Master 4.0 Home Edition EASEUS 02.10.2009
ElsterFormular für Privatanwender und Unternehmer Landesfinanzdirektion Thüringen 04.03.2012 12.1.1.6214k
FiatECUScan Yanislav Karagyozov 26.02.2012 32,6MB 3.4.2
Google Earth Google 02.10.2009 69,2MB 5.1.3509.4636
Intel(R) PROSet/Wireless WiFi-Software Intel(R) Corporation 16.09.2009 81,5MB 12.00.4000
InterActual Player 04.03.2012
IsoBuster 2.8.5 Smart Projects 20.09.2011 2.8.5
iTunes Apple Inc. 01.02.2012 169,7MB 10.5.3.3
Japanese Fonts Support For Adobe Reader 9 Adobe Systems Incorporated 19.11.2010 16,5MB 9.0.0
Java(TM) 6 Update 16 Sun Microsystems, Inc. 02.10.2009 97,7MB 6.0.160
Laptop Integrated Webcam Driver (1.01.01.0529) 04.03.2012
Lexmark 6500 Series Lexmark International, Inc. 04.03.2012
Live! Cam Avatar Creative Technology Ltd. 16.09.2009 1.0
Live! Cam Avatar Creator Creative Technology Ltd. 16.09.2009 4.6.0817.1
Malwarebytes Anti-Malware Version 1.60.1.1000 Malwarebytes Corporation 24.02.2012 1.60.1.1000
Microsoft .NET Framework 1.1 26.01.2012
Microsoft .NET Framework 2.0 Language Pack - DEU Microsoft Corporation 25.04.2008
Microsoft .NET Framework 2.0 Service Pack 2 Microsoft Corporation 24.02.2012 183,4MB 2.2.30729
Microsoft .NET Framework 3.0 German Language Pack Microsoft Corporation 25.04.2008
Microsoft .NET Framework 3.0 Service Pack 2 Microsoft Corporation 24.06.2010 209MB 3.2.30729
Microsoft .NET Framework 3.5 SP1 Microsoft Corporation 26.01.2012
Microsoft Office Home and Business 2010 Microsoft Corporation 04.03.2012 14.0.6029.1000
Microsoft Office Professional Plus 2010 Microsoft Corporation 24.02.2012 14.0.6029.1000
Microsoft Silverlight Microsoft Corporation 24.02.2012 189,5MB 4.1.10111.0
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053 Microsoft Corporation 02.10.2009 0,11MB 8.0.50727.4053
Microsoft Visual C++ 2005 Redistributable Microsoft Corporation 02.07.2011 5,28MB 8.0.61001
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148 Microsoft Corporation 02.10.2009 0,15MB 9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729 Microsoft Corporation 28.03.2011 9,65MB 9.0.30729
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Microsoft Corporation 02.10.2009 10,3MB 9.0.30729
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 Microsoft Corporation 16.10.2010 10,2MB 9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 Microsoft Corporation 02.07.2011 10,2MB 9.0.30729.6161
Microsoft – Speichern als PDF oder XPS – Add-In für 2007 Microsoft Office-Programme Microsoft Corporation 02.10.2009 0,13MB 12.0.4518.1014
MobileMe Control Panel Apple Inc. 04.03.2012 12,2MB 3.1.8.0
MSN 04.03.2012
MSXML 4.0 SP2 (KB954430) Microsoft Corporation 01.02.2010 1,42MB 4.20.9870.0
MSXML 4.0 SP2 (KB973688) Microsoft Corporation 01.02.2010 2,77MB 4.20.9876.0
MSXML 6.0 Parser (KB927977) Microsoft Corporation 25.04.2008 1,46MB 6.00.3890.0
NVIDIA Drivers 04.03.2012
Opera 11.61 Opera Software ASA 04.03.2012 11.61.1250
Picasa 3 Google, Inc. 04.03.2012 3.8
PL-2303 USB-to-Serial Prolific Technology INC 26.02.2012 1.5.0
PowerDVD DX Dell Corp. 16.09.2009 8.2.5024
QuickTime Apple Inc. 01.02.2012 73,3MB 7.71.80.42
Revo Uninstaller 1.93 VS Revo Group 04.03.2012 1.93
Roxio Activation Module Roxio 16.09.2009 1.0
Roxio Creator Audio Roxio 16.09.2009 3.5.0
Roxio Creator BDAV Plugin Roxio 16.09.2009 3.5.0
Roxio Creator Copy Roxio 16.09.2009 3.5.0
Roxio Creator Data Roxio 16.09.2009 3.5.0
Roxio Creator DE Roxio 16.09.2009 3.5.0
Roxio Creator Tools Roxio 16.09.2009 3.5.0
Roxio Drag-to-Disc Roxio 16.09.2009 9.1
Roxio Express Labeler 3 Roxio 16.09.2009 3.2.1
Safari Apple Inc. 01.02.2012 43,3MB 5.34.52.7
Security Update for Windows Search 4 - KB963093 Microsoft Corporation 01.10.2009
Skype Click to Call Skype Technologies S.A. 26.01.2012 12,5MB 5.8.8855
Skype™ 5.5 Skype Technologies S.A. 26.01.2012 17,0MB 5.5.124
Sonic CinePlayer Decoder Pack Sonic Solutions 16.09.2009 4.2.0
Spybot - Search & Destroy Safer Networking Limited 02.10.2009 1.6.2
StarMoney Business 4.0 Star Finanz GmbH 28.01.2010 4.0
WIDCOMM Bluetooth Software Dell 16.09.2009 17,2MB 5.1.0.3400
Windows Feature Pack for Storage (32-bit) - IMAPI update for Blu-Ray Microsoft Corporation 14.05.2010 1.0
Windows Internet Explorer 8 Microsoft Corporation 02.10.2009 20090308.140743
WinRAR 4.10 (32-Bit) win.rar GmbH 04.03.2012 4.10.0

es geht darum was nötig, unnötig oder unbekannt ist, beschrifte es bitte dementsprechend

Hi,
sind alle bekannt und werden ab und an genutzt (Frau, Kinder, ich)

Danke!


ABBYY FineReader 6.0 Sprint ABBYY Software House 19.10.2009 116,2MB 6.00.1990.41618
Adobe Flash Player 11 ActiveX Adobe Systems Incorporated 04.03.2012 11.1.102.55
Adobe Flash Player 11 Plugin Adobe Systems Incorporated 04.03.2012 11.1.102.62
Adobe Reader 9.1.3 - Deutsch Adobe Systems Incorporated 02.10.2009 236MB 9.1.3
Advanced Audio FX Engine 04.03.2012
Advanced Video FX Engine 04.03.2012
Apple Application Support Apple Inc. 01.02.2012 62,9MB 2.1.6
Apple Mobile Device Support Apple Inc. 01.02.2012 24,1MB 4.0.0.97
Apple Software Update Apple Inc. 02.07.2011 2,25MB 2.1.3.127
Avira AntiVir Personal - Free Antivirus Avira GmbH 04.03.2012 10.2.0.707
Bonjour Apple Inc. 01.02.2012 1,03MB 3.0.0.10
Canon Inkjet Printer/Scanner/Fax Extended Survey Program 04.03.2012
Canon MP Navigator EX 4.0 04.03.2012
Canon Solution Menu EX 04.03.2012
CanoScan LiDE 110 Scanner Driver 04.03.2012
CCleaner Piriform 04.03.2012 3.16
DD-Personalplaner II 04.03.2012
Dell Touchpad ALPS ELECTRIC CO., LTD. 04.03.2012 7.4.102.102
Dell Video Chat SightSpeed Inc. 04.03.2012 6.0 (6567)
Dell Webcam Center 04.03.2012
Dell Webcam Manager 04.03.2012
EASEUS Partition Master 4.0 Home Edition EASEUS 02.10.2009
ElsterFormular für Privatanwender und Unternehmer Landesfinanzdirektion Thüringen 04.03.2012 12.1.1.6214k
FiatECUScan Yanislav Karagyozov 26.02.2012 32,6MB 3.4.2
Google Earth Google 02.10.2009 69,2MB 5.1.3509.4636
Intel(R) PROSet/Wireless WiFi-Software Intel(R) Corporation 16.09.2009 81,5MB 12.00.4000
InterActual Player 04.03.2012
IsoBuster 2.8.5 Smart Projects 20.09.2011 2.8.5
iTunes Apple Inc. 01.02.2012 169,7MB 10.5.3.3
Japanese Fonts Support For Adobe Reader 9 Adobe Systems Incorporated 19.11.2010 16,5MB 9.0.0
Java(TM) 6 Update 16 Sun Microsystems, Inc. 02.10.2009 97,7MB 6.0.160
Laptop Integrated Webcam Driver (1.01.01.0529) 04.03.2012
Lexmark 6500 Series Lexmark International, Inc. 04.03.2012
Live! Cam Avatar Creative Technology Ltd. 16.09.2009 1.0
Live! Cam Avatar Creator Creative Technology Ltd. 16.09.2009 4.6.0817.1
Malwarebytes Anti-Malware Version 1.60.1.1000 Malwarebytes Corporation 24.02.2012 1.60.1.1000
Microsoft .NET Framework 1.1 26.01.2012
Microsoft .NET Framework 2.0 Language Pack - DEU Microsoft Corporation 25.04.2008
Microsoft .NET Framework 2.0 Service Pack 2 Microsoft Corporation 24.02.2012 183,4MB 2.2.30729
Microsoft .NET Framework 3.0 German Language Pack Microsoft Corporation 25.04.2008
Microsoft .NET Framework 3.0 Service Pack 2 Microsoft Corporation 24.06.2010 209MB 3.2.30729
Microsoft .NET Framework 3.5 SP1 Microsoft Corporation 26.01.2012
Microsoft Office Home and Business 2010 Microsoft Corporation 04.03.2012 14.0.6029.1000
Microsoft Office Professional Plus 2010 Microsoft Corporation 24.02.2012 14.0.6029.1000
Microsoft Silverlight Microsoft Corporation 24.02.2012 189,5MB 4.1.10111.0
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053 Microsoft Corporation 02.10.2009 0,11MB 8.0.50727.4053
Microsoft Visual C++ 2005 Redistributable Microsoft Corporation 02.07.2011 5,28MB 8.0.61001
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148 Microsoft Corporation 02.10.2009 0,15MB 9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729 Microsoft Corporation 28.03.2011 9,65MB 9.0.30729
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Microsoft Corporation 02.10.2009 10,3MB 9.0.30729
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 Microsoft Corporation 16.10.2010 10,2MB 9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 Microsoft Corporation 02.07.2011 10,2MB 9.0.30729.6161
Microsoft – Speichern als PDF oder XPS – Add-In für 2007 Microsoft Office-Programme Microsoft Corporation 02.10.2009 0,13MB 12.0.4518.1014
MobileMe Control Panel Apple Inc. 04.03.2012 12,2MB 3.1.8.0
MSN 04.03.2012
MSXML 4.0 SP2 (KB954430) Microsoft Corporation 01.02.2010 1,42MB 4.20.9870.0
MSXML 4.0 SP2 (KB973688) Microsoft Corporation 01.02.2010 2,77MB 4.20.9876.0
MSXML 6.0 Parser (KB927977) Microsoft Corporation 25.04.2008 1,46MB 6.00.3890.0
NVIDIA Drivers 04.03.2012
Opera 11.61 Opera Software ASA 04.03.2012 11.61.1250
Picasa 3 Google, Inc. 04.03.2012 3.8
PL-2303 USB-to-Serial Prolific Technology INC 26.02.2012 1.5.0
PowerDVD DX Dell Corp. 16.09.2009 8.2.5024
QuickTime Apple Inc. 01.02.2012 73,3MB 7.71.80.42
Revo Uninstaller 1.93 VS Revo Group 04.03.2012 1.93
Roxio Activation Module Roxio 16.09.2009 1.0
Roxio Creator Audio Roxio 16.09.2009 3.5.0
Roxio Creator BDAV Plugin Roxio 16.09.2009 3.5.0
Roxio Creator Copy Roxio 16.09.2009 3.5.0
Roxio Creator Data Roxio 16.09.2009 3.5.0
Roxio Creator DE Roxio 16.09.2009 3.5.0
Roxio Creator Tools Roxio 16.09.2009 3.5.0
Roxio Drag-to-Disc Roxio 16.09.2009 9.1
Roxio Express Labeler 3 Roxio 16.09.2009 3.2.1
Safari Apple Inc. 01.02.2012 43,3MB 5.34.52.7
Security Update for Windows Search 4 - KB963093 Microsoft Corporation 01.10.2009
Skype Click to Call Skype Technologies S.A. 26.01.2012 12,5MB 5.8.8855
Skype™ 5.5 Skype Technologies S.A. 26.01.2012 17,0MB 5.5.124
Sonic CinePlayer Decoder Pack Sonic Solutions 16.09.2009 4.2.0
Spybot - Search & Destroy Safer Networking Limited 02.10.2009 1.6.2
StarMoney Business 4.0 Star Finanz GmbH 28.01.2010 4.0
WIDCOMM Bluetooth Software Dell 16.09.2009 17,2MB 5.1.0.3400
Windows Feature Pack for Storage (32-bit) - IMAPI update for Blu-Ray Microsoft Corporation 14.05.2010 1.0
Windows Internet Explorer 8 Microsoft Corporation 02.10.2009 20090308.140743
WinRAR 4.10 (32-Bit) win.rar GmbH 04.03.2012 4.10.0

deinstaliere:
Adobe Flash Player alle
Adobe - Adobe Flash Player installieren
neueste version laden
adobe reader:
Adobe - Adobe Reader herunterladen - Alle Versionen
haken bei mcafee security scan raus nehmen

bitte auch mal den adobe reader wie folgt konfigurieren:
adobe reader öffnen, bearbeiten, voreinstellungen.
allgemein:
nur zertifizierte zusatz module verwenden, anhaken.
internet:
hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc.
es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht.
bei javascript den haken bei java script verwenden raus nehmen
bei updater, automatisch instalieren wählen.
übernehmen /ok



deinstaliere:
Java
Download der kostenlosen Java-Software
downloade java jre, instalieren

deinstaliere:
Spybot
nutze lieber malwarebytes von zeit zu zeit
starmoney: könnte nen upgrade vertragen
starmoney.de: StarMoney Business 5.0: Vollversion der Finanzsoftware
öffne otl, bereinigen neustart.
testen wie der pc läuft

Hi,
nicht das wir uns missverstehen: Ich habe schon lange alle durchgesehen (einige auch ausprobiert, weil ich nicht genau wußte was es ist) und alles rausgeworfen was irgendwie überflüssig war.

Ist wirklich nichts dabei was ich einfach wegwerfen könnte, ohne das irgend einem eine Anwendung kastriert wird.
Wie WebCam für Skype, oder Fine Reader für den Scanner.
Natürlich kann ich Opera oder den Revo Uninstaller rausnehmen, aber ich habe sie ja installiert um sie zu nutzen.
Der ganze Apple Kram ist natürlich auch verzichtbar, dann muß ich es nur für I-Phone und Pod wo anders installieren, weil alle außer mir das haben wollen.

Oder wie meinst DU das jetzt? Ich versteh nicht ganz was Du meinst?

Auf dem Ding sind gerade mal 67GB von 320GB belegt.

Wenn meine Frau nicht bei ihrer Geschäftsaufgabe alle Originalprogramme verlegt hätte, könnte ich natürlich das ganze Laufwerk platt machen. Alle wirklich wichtigen Daten habe ich schon auf einem (!) USB Stick gesichert.

Wolf

jo, aber du sollst ja, wie gesagt, nur die updates machen, der rest kann ja bleiben wie er ist :-)

Hi,
so, alles wie Du es angewiesen hast, ausgeführt. Nur Starmoney werde ich nicht teuer aktualisieren, einfach weil es nicht mehr benutzt wird und nur noch zum nachsehen älterer Vorgänge vieleicht ein, zwei, mal gestartet wird.

Nicht ohne jetzt kräftig auf Holz zu klopfen, aber das was Du hier mit mir durchgezogen hast ist schon echt Weltklasse. Bisher läuft der Kasten wieder perfekt.

Was ich noch erwähnen möchte ist, das bei den diversen Durchläufen der Virenscanner noch ein oder zwei Objekte entfernt wurden, was ich aber nicht mehr in den Logs wiedergefunden habe. Vieleicht habe ich irgendwie die falsche Option gewählt. Im Zweifel war es immer immer "entfernen". Was das nun genau war, darüber geben diese Programme ja in ihrer Kürze auch keine Auskunft.
Jedenfalls bisher alles super. Vielen Dank.

Ich werde, wenn das nicht unverschämt ist, wenn ich selber nicht weiter komme, in einem anderen Thread noch einen anderen Laptop präsentieren, der vor einiger Zeit stumpf abstarb und nach einer Neuinstallation genau wie dieser immer nur wieder in die Anmeldung springt.

Aber bis hier erst mal vielen, vielen Dank! Du hast mir echt eine Menge Ärger erspart.
Ich hoffe die zwischenzeitlichen Pausen haben nicht zu sehr generft, ich habe aber leider manchmal eine ganze Woche lang zu tun und komme dann nicht an diesen Laptop, der von der ganzen Familie als Sofa Rechner benutzt wird, ran.

Grüße, Wolf

hi,
ok, weis ja halt nie, wofür die programme genutzt werden und kann daher nur hinweise geben.
wurden die trojaner beim scan oder vom hintergrund wächter gefunden, da müsste man dann in den ereignissen bzw logmeldungen gucken.