|
Carberp - Befall...vollständig weg nach Neuinstallation? Hallo zusammen, ich habe gestern gestern mit einem Bekannten (der sich mit PC´s gut auskennt) meinen Laptop komplett neu aufgesetzt, da mir meine Bank mitgeteilt hat, dass ich den Trojaner Carberp drauf hatte. Ich möchte nur wissen, ob ich nun sicher sein kann, dass der Trojaner weg ist!? Mein Bekannter hat die Formartierung der Festplatte zunächst mit einer Linux Live CD (2 mal) durchgeführt und anschliessend wurde als neues Betriebssystem Windows 7 vollständig neu installiert. Meine Daten (Fotos und Musik) habe ich vorher auf einer externen Platte gesichert und nach der Neuinstallation wieder auf meinen Laptop überspielt. Ich habe inzwischen bei allen Accounts (GMX, Ebay, Amazon, usw) meine Zugangsdaten geändert. Bevor ich mich nun wieder im Onlinebanking anmelde, möchte ich sicher sein, dass der Trojaner durch unser Vorgehen weg ist. Kann mir einer von den Experten hier sagen, wie die Chancen stehen? Viele Grüße Jörg |
hi, die chancen stehen gut :-) ne anleitung zum pc absichern: als antimalware programm würde ich emsisoft empfehlen. diese haben für mich den besten schutz kostet aber etwas. http://www.trojaner-board.de/103809-...i-malware.html testversion: Meine Antivirus-Empfehlung: Emsisoft Anti-Malware insbesondere wenn du onlinebanking, einkäufe, sonstige zahlungsabwicklungen oder ähnlich wichtiges, wie zb berufliches machst, also sensible daten zu schützen sind, solltest du in sicherheitssoftware investieren. vor dem aktivieren der lizenz die 30 tage testzeitraum ausnutzen. kostenlos, aber eben nicht ganz so gut wäre avast zu empfehlen. http://www.trojaner-board.de/110895-...antivirus.html sag mir welches du nutzt, dann gebe ich konfigurationshinweise. bitte dein bisheriges av deinstalieren die folgende anleitung ist umfangreich, dass ist mir klar, sie sollte aber umgesetzt werden, da nur dann dein pc sicher ist. stelle so viele fragen wie nötig, ich arbeite gern alles mit dir durch! http://www.trojaner-board.de/96344-a...-rechners.html Starte bitte mit der Passage, Windows Vista und Windows 7 Bitte beginne damit, Windows Updates zu instalieren. Am besten geht dies, wenn du über Start, Suchen gehst, und dort Windows Updates eingibst. Prüfe unter "Einstellungen ändern" dass folgendes ausgewählt ist: - Updates automatisch Instalieren, - Täglich - Uhrzeit wählen - Bitte den gesammten rest anhaken, außer: - detailierte benachichtungen anzeigen, wenn neue Microsoft software verfügbar ist. Klicke jetzt die Schaltfläche "OK" Klicke jetzt "nach Updates suchen". Bitte instaliere zunächst wichtige Updates. Es wird nötig sein, den PC zwischendurch neu zu starten. falls dies der Fall ist, musst du erneut über Start, Suchen, Windows Update aufrufen, auf Updates suchen klicken und die nächsten instalieren. Mache das selbe bitte mit den optionalen Updates. Bitte übernimm den rest so, wie es im Abschnitt windows 7 / Vista zu lesen ist. aus dem Abschnitt xp, bitte den punkt "datenausführungsverhinderung, dep" übernehmen. als browser rate ich dir zu chrome: https://www.google.com/chrome?hl=de falls du nen andern nutzen willst, sags mir dann muss ich teile der nun folgenden anleitung Sandboxie Die devinition einer Sandbox ist hier nachzulesen: Sandbox Kurz gesagt, man kann Programme fast 100 %ig isuliert vom System ausführen. Der Vorteil liegt klar auf der Hand, wenn über den Browser Schadcode eingeschläust wird, kann dieser nicht nach außen dringen. Download Link: http://filepony.de/download-sandboxie/ anleitung: http://www.trojaner-board.de/71542-a...sandboxie.html ausführliche anleitung als pdf, auch abarbeiten: Sandbox Einstellungen | bitte folgende zusatz konfiguration machen: sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen. dort klicke auf sandbox einstellungen. beschrenkungen, bei programm start und internet zugriff schreibe: chrome.exe dann gehe auf anwendungen, webbrowser, chrome. dort aktiviere alles außer gesammten profil ordner freigeben. Wie du evtl. schon gesehen hast, kannst du einige Funktionen nicht nutzen. Dies ist nur in der Vollversion nötig, zu deren Kauf ich dir rate. Du kannst zb unter "Erzwungene Programmstarts" festlegen, dass alle Browser in der Sandbox starten. Ansonsten musst du immer auf "Sandboxed webbrowser" klicken bzw Rechtsklick, in Sandboxie starten. Eine lebenslange Lizenz kostet 30 €, und ist auf allen deinen PC's nutzbar. Weiter mit: Maßnahmen für ALLE Windows-Versionen alles komplett durcharbeiten anmerkung zu file hippo. in den settings zusätzlich auswählen: Run updateChecker when Windows starts Backup Programm: in meiner Anleitung ist bereits ein Backup Programm verlinkt, als Alternative bietet sich auch das Windows eigene Backup Programm an: Windows 7 Systemabbild erstellen (Backup) Dies ist aber leider nur für Windows 7 Nutzer vernünftig nutzbar. Alle Anderen sollten sich aber auf jeden fall auch ein Backup Programm instalieren, denn dies kann unter Umständen sehr wichtig sein, zum Beispiel, wenn die Festplatte einmal kaputt ist. Zum Schluss, die allgemeinen sicherheitstipps beachten, wenn es dich betrifft, den Tipp zum Onlinebanking beachten und alle Passwörter ändern bitte auch lesen, wie mache ich programme für alle sichtbar: Programme für alle Konten nutzbar machen - PCtipp.ch - Praxis & Hilfe surfe jetzt also nur noch im standard nutzer konto und dort in der sandbox. wenn du die kostenlose version nutzt, dann mit klick auf sandboxed web browser, wenn du die bezahlversion hast, kannst du erzwungene programm starts festlegen, dann wird sandboxie immer gestartet wenn du nen browser aufrufst. wenn du mit der maus über den browser fährst sollte der eingerahmt sein, dann bist du im sandboxed web browser |
Hey, wow danke für die ausführliche Antwort. Aber ich muss gestehen, dass war etwas viel Input für mich. ;-) Als AV nutze ich Avira Antivirus Premium 2012, zusätzlich habe Spybot Search & Destroy drauf. Sämtliche Windows Uptdates sind von mir durchgeführt worden. Alle Passwörter sind geändert worden. Also Browser nutze ich das aktuellste Firefox. Welchen Zweck hat es, wenn ich nicht als Admin in Windows 7 angemeldet bin, sondern nur als Standardnutzer? Hm...muss ich jetzt noch irgendwas tun??? Bitte ganz langsam und Idiotensicher erklären. ;-) |
naja, du sollst halt die komplette anleitung nach und nach durcharbeiten, die verschwindet ja nicht :-) ich würde auf chrome wechseln, sicherer und meistens auch schneller als ff. als standard nutzer hat man nicht so viele rechte wie als admin, somit ist es auch schwieriger für malware fuß zu fassen. auf spybot kann man eigendlich auch verzichten, ist nicht sonderlich hilfreich. |
Habe jetzt in das Anti Malware Programm von Emisoft investiert. Dann kann ich doch mein Antivir deinstallieren oder? Habe Testergebnisse gesehen und da schneidet das Emisoft Produkt ja viel besser ab als mein Antivir. |
hi, das musst du dann sogar deinstalieren :-) emsisoft öffnen, einstellungen klicken. geplanter scan. wähle starten um, ich persönlich hab monatlich, kannst aber auch wöchendlich einstellen. uhrzeit, und bei monatlich ebenfalls datum wählen. unsichtbar, falls du das scan fenster nicht sehen möchtest. und verpasste scans nachholen. auto update: intervall, täglich, stündlich von 00.00 bis 23.59 heißt jede stunde updates. einstellung: update am antimalware network teilnemen. die andern beiden haken, beta updates und zusätzliche sprachen, nicht setzen. rest bleibt. klicke jetzt auf wächter: dort auf wächter. verhaltensanalyse aktivieren, alles selektieren. jetzt auf alarme: aktiviere dort comunety basierte alarm reduktion. unter anderem dafür gibt es das antimalware network. die comunety basierte alarm reduktion betrifft die verhaltensanalyse. emsisoft gibt, bei einigen programmen, meldungen raus, weil das verhalten des programmes dies notwendig macht. da manche user sich damit nicht auskennen, was keine schande ist, :-) wird hier geprüft, wie viele nutzer haben programm x erlaubt oder blockiert. hier haben wir im moment 90 % eingestellt, also wenn 90 % sagen, das programm ist io, wird ne erlauben regel angelegt, wenn sie sagen, programm x ist bösartig, automatisch blockiert. wenn du dir das allein zutraust, musst du den haken nicht setzen. wenn zb nur 70 % aller user sagen programm x ist gut oder bösartig, wird dir dies in einer grafik angezeigt jetzt auf datei wächter. standard atkion für erkannte objekte, alarmieren. surf schutz: hier alles auf blockieren mit info. wenn es eine seite gibt, die versehens blockiert wird, kanns du die direkt über das popup erlauben was es bei der blockierung gibt, oder über host regeln. wenn dir diese info popups nicht gefallen musst du alles auf unsichtbar blockieren stellen, aber drann denken, zu prüfen wenn du ne seite hast, die nicht geladen wird, ob emsi sie geblockt hatt. das wäre es, hoffe es war verständlich. |
Okay...werd ich so machen. Danke. Nun noch einmal zum Thema Browser. Wieso findest Du den Chrome besser, bzw sicherer? Hat Firefox zu große Sicherheitslücken? Und kann ich meine Favoriten von Firefox zu Chrome exportieren? Welche Einstellungen sollte ich bei Chrome vornehmen? |
hi, ja, er sollte weniger sicherheitslücken haben, einige zusätzliche sicherheitsfunktionen, und schneller sein. 1. lesezeichen importieen: Importieren und Exportieren von Lesezeichen - Google Chrome-Hilfe adblock für chrome: http://filepony.de/download-adblock_chrome/ damit sollte das leben werbefreier von statten gehen. ghostery um tracking zu verhindern: http://filepony.de/download-ghostery_chrome/ sicher surfen mit chrome: Sicher surfen mit Google Chrome | Verbraucher sicher online |
Ich danke Dir. Bin jetzt glaube ich...ganz gut aufgestellt. :-) Schönen Sonntag noch. |
ich möchte erst mal anhand einer checkliste prüfen ob du alles hast. - instalieren von optionalen und wichtigen updates. - konfigurieren von windows updates. - dep für alle prozesse aktivieren. - sehop aktivieren. - emsisoft konfigurieren - chrome instalieren. - sandboxie instalieren. - autorun deaktivieren. - panda vaccine instalieren. - secunia instalieren. - file hippo instalieren. beachte: secunia und file hippo bieten englische updates, überall wo du auf die nutzeroberfläche zugreifst, wie zb reader, browser, etc benötigst du deutsche updates, also hier die hersteller seiten in den favoriten deines browsers speichern und wenn ein update gezeigt wird, von dort hohlen, bei java, flash quicktime, ist es egal ob deutsch oder englisch. - backup software instalieren, backup und rettungsdvd erstellen. hier ne kurze anleitung: Anleitung: Systemabbild mit Paragon Drive Backup - NETZWELT - wenn du onlinebanking machst, kann ich noch kurz was über die vorteile von card reader und banking software sagen. |
Ja, ich habe (fast) alles davon gemacht. Zum Thema Onlinebanking brauchst Du mir nichts zu erklären, ich arbeite selbst bei einer Bank. ;-) |
hi, was hast du nicht gemacht. ok, kann ja nicht wissen das du für ne bank arbeitest :-) ich biete das nur immer mit an da ich denke das sicheres banking (mit card reader und banking software) wichtig ist, wenn man das schon am pc macht, sollte man die best möglichen standards nutzen :-) |
Tja und heute kam der Anruf von der Bank...ich war wieder dabei. Der Trojaner ist wohl immer noch oder schon wieder auf meinem Rechner. :-( Dabei habe ich eine komplette Bezinstallation gemacht. Hat das wohl nicht ausgereicht oder irrt sich das Rechenzentrum der Bank. Ich habe keine Lust schon wieder alles neu zu machen. Wie Kriege ich raus, ob ich den carberp tatsächlich auf dem Rechner habe? Und dann schauen wir mal weiter. Brauche eine Schritt für Schritt Anleitung, was zu tun ist. Danke schonmal. |
was hattest du denn von meiner liste nicht abgearbeitet? backup zur hand, dann ist das zurück setzen des geräts doch überhaupt kein problem mehr. hast du dir weitere infos geben lassen, wie zeitpunkt wo das aufgefallen ist etc. |
Ich vermute eher das er nicht komplett weg war. Deshalb will ich das Teil erstmal finden. Das muss man dich irgendwie suchen können!? Der Zeitpunkt war gestern Abend. Ich habe eine Datensicherung auf ner externen Platte...kann der sich evtl auch da eingenistet haben? |
hattest du, noch mal die frage, ne komplette systemsicherung mit paragon erstellt? und damals meine gesammten tipps abgearbeitet oder was hattest du da weg gelassen? weil du oben geschrieben hast, fasst alles. |
Nein das mit Paragon hab ich nicht, weil ich die Software nicht besitze. Ich habe alles gemacht, außer: - dep für alle Programme (???) - sehop aktivieren (???) - Sandboxie - Autorin deaktivieren - Panda vaccine (???) Das sind alles bömische Dörfer für mich!?!?!? Ich hab hier irgendwo ein Thread gelesen, wo ein Admin erklärt hat, wie man prüft, ob das Teil überhaupt auf dem Rechner ist!? |
toll, und selbst wenn wir das raus finden, ist neu aufsetzen angesagt, du hast die wichtigsten dinge weg gelassen und dir damit dann selbst nen bein gestellt. anstatt den mund aufzumachen und zu fragen wie man programm x und option y nutzt.... guck mir jetzt mal ein log an, aber neu machen musst du sowieso. Home - SurfRight hitmanpro laden, doppelklicken, settings, lizense, activate testlicense. dann scan, funde in quarantäne, log am ende als xml exportieren und anhängen. |
Hey...nun sei nicht so grob zu mir...es kotzt mich selbst am meisten an. Den Log kannst Du erst später haben. Bin auf der Arbeit. Bin gegen 18:30 Uhr zu Hause und nach das dann. Bist heute Abend auch da? Und Neuaufsetzen wieder die Geschichte mit Linux oder was sagst Du als Fachmann...reicht auch ne Windows Formatierung? |
sorry, wollte nicht grob sein, du hast halt nur einige mögliche infektionswege offen gelassen und dir selbst die möglichkeit mit dem backup genommen, das problem in ner viertel stunde zu lösen. du greifst ja ausschließlich von dem pc aufs banking zu, richtig? ich möchte auch einen mbrcheck von allen externen und internen platten sehen: http://ad13.geekstogo.com/MBRCheck.exe einfach die externen platten anschließen dann prüft das programm sie mit. formatierung kannst du über linux machen. über die windows cd machst du dann fixmbr und fixboot wie hier beschrieben: Tipparchiv - MBR unter Vista oder Windows 7 reparieren - WinTotal.de dann über benutzerdefiniert, bis zur partitionsauswahl gehen, die c partition löschen, und falls du weitere hast, diese auch, und neu im ntfs format erstellen und windows instaliern. |
Okay....die beiden Sachen bekommst Du heute Abend. Das mit dem Formatieren und dem fixmbr und fixboot versteh ich noch nicht. Muss ich denn zwingend mit Linux formatieren? Dafür bräuchte ich erst wieder meinen Kumpel, da geh ich allein nicht bei. Windows 7 hab ich auf CD da komm ich allein mit klar. |
ne, fixmbr und fixboot gehen auch mit windows 7. dann formatieren wir halt nur über die windows cd wie du den mbr neu schreibst bzw den bootsektor (fixboot) steht in dem artikel, bitte noch mal lesen :-) |
Okay...und jetzt nochmal für Doofe...erst Die beiden Sachen machen und dann formatieren oder umgekehrt? |
erst die beiden scans :-) |
Die beiden Scans mache ich gleich. Bin jetzt zu Hause. Aber jetzt mal ganz ehrlich...reicht eine einfache Windows Formatierung aus. Weil mein Kollege aus der Onlinebanking Abteilung meinte, man sollte es unbedingt mit einer Windows Live CD formatieren, um Sicher zu gehen, dass carberp verschwindet. Wie siehst Du das? |
Okay, hier der mbrcheck: MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows 7 Ultimate Edition Windows Information: Service Pack 1 (build 7601), 32-bit Logical Drives Mask: 0x000001fc \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`06500000 (NTFS) \\.\D: --> \\.\PhysicalDrive0 at offset 0x0000000c`82b00000 (NTFS) \\.\E: --> \\.\PhysicalDrive0 at offset 0x00000016`c3a00000 (NTFS) \\.\F: --> \\.\PhysicalDrive0 at offset 0x0000002a`c8b00000 (NTFS) \\.\H: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (NTFS) \\.\I: --> \\.\PhysicalDrive1 at offset 0x000000db`ba0d5c00 (NTFS) Size Device Name MBR Status -------------------------------------------- 298 GB \\.\PhysicalDrive0 RE: Windows 7 MBR code detected SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79 1397 GB \\.\PhysicalDrive1 RE: Windows XP MBR code detected SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A Done! Press ENTER to exit... Und hier der Log aus dem anderen Scan: <?xml version="1.0"?> -<Log filesProcessed="37942" timeSpentInSecs="205" date="2012-03-06T19:10:20" version="3.6.0.146" scan="Normal" computer="JÖRG-PC">-<Item status="None" score="41.0" type="Suspicious"><File hash="136C267B1AA30832A41687E97B23A5609E97CBB28CD5C37384809ADA909892D7" path="C:\Users\Jörg\AppData\Local\Temp\WLZ4175.tmp\CddbLangDE.dll"/></Item>-<Item status="None" score="41.0" type="Suspicious"><File hash="136C267B1AA30832A41687E97B23A5609E97CBB28CD5C37384809ADA909892D7" path="C:\Users\Jörg\AppData\Local\Temp\WLZCA63.tmp\CddbLangDE.dll"/></Item>-<Item status="DeleteFailed" score="0.0" type="Repair"><File path="C:\Users\Jörg\AppData\Roaming\Microsoft\Windows\Cookies\2EC81IPJ.txt"/></Item>-<Item status="DeleteFailed" score="0.0" type="Repair"><File path="C:\Users\Jörg\AppData\Roaming\Microsoft\Windows\Cookies\D317LU29.txt"/></Item>-<Item status="DeleteFailed" score="0.0" type="Repair"><File path="C:\Users\Jörg\AppData\Roaming\Microsoft\Windows\Cookies\EVTO4EIS.txt"/></Item>-<Item status="DeleteFailed" score="0.0" type="Repair"><File path="C:\Users\Jörg\AppData\Roaming\Microsoft\Windows\Cookies\I4353FU3.txt"/></Item>-<Item status="DeleteFailed" score="0.0" type="Repair"><File path="C:\Users\Jörg\AppData\Roaming\Microsoft\Windows\Cookies\NFAZ4R38.txt"/></Item>-<Item status="DeleteFailed" score="0.0" type="Repair"><File path="C:\Users\Jörg\AppData\Roaming\Microsoft\Windows\Cookies\SRKBQUAS.txt"/></Item>-<Item status="DeleteFailed" score="0.0" type="Repair"><File path="C:\Users\Jörg\AppData\Roaming\Microsoft\Windows\Cookies\YSR43GO8.txt"/></Item></Log> |
Ups...hab grad gesehen, dass ja vom mbrcheck noch eine Textdatei auf dem Desktop war: MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows 7 Ultimate Edition Windows Information: Service Pack 1 (build 7601), 32-bit Logical Drives Mask: 0x000001fc Kernel Drivers (total 171): 0x82C3A000 \SystemRoot\system32\ntoskrnl.exe 0x82C03000 \SystemRoot\system32\halmacpi.dll 0x80BD5000 \SystemRoot\system32\kdcom.dll 0x83829000 \SystemRoot\system32\mcupdate_GenuineIntel.dll 0x838AE000 \SystemRoot\system32\PSHED.dll 0x838BF000 \SystemRoot\system32\BOOTVID.dll 0x838C7000 \SystemRoot\system32\CLFS.SYS 0x83909000 \SystemRoot\system32\CI.dll 0x839B4000 \SystemRoot\system32\drivers\Wdf01000.sys 0x83A25000 \SystemRoot\system32\drivers\WDFLDR.SYS 0x83A33000 \SystemRoot\system32\drivers\ACPI.sys 0x83A7B000 \SystemRoot\system32\drivers\WMILIB.SYS 0x83A84000 \SystemRoot\system32\drivers\msisadrv.sys 0x83A8C000 \SystemRoot\system32\drivers\pci.sys 0x83AB6000 \SystemRoot\system32\drivers\vdrvroot.sys 0x83AC1000 \SystemRoot\System32\drivers\partmgr.sys 0x83AD2000 \SystemRoot\system32\DRIVERS\compbatt.sys 0x83ADA000 \SystemRoot\system32\DRIVERS\BATTC.SYS 0x83AE5000 \SystemRoot\system32\drivers\volmgr.sys 0x83AF5000 \SystemRoot\System32\drivers\volmgrx.sys 0x83B40000 \SystemRoot\system32\drivers\intelide.sys 0x83B47000 \SystemRoot\system32\drivers\PCIIDEX.SYS 0x83B55000 \SystemRoot\system32\DRIVERS\pcmcia.sys 0x83B83000 \SystemRoot\System32\drivers\mountmgr.sys 0x83B99000 \SystemRoot\system32\drivers\vmbus.sys 0x83BC3000 \SystemRoot\system32\drivers\winhv.sys 0x83BD5000 \SystemRoot\system32\drivers\atapi.sys 0x83800000 \SystemRoot\system32\drivers\ataport.SYS 0x8C42B000 \SystemRoot\system32\DRIVERS\KR10N.sys 0x8C45F000 \SystemRoot\system32\DRIVERS\SCSIPORT.SYS 0x8C485000 \SystemRoot\system32\drivers\amdxata.sys 0x8C48E000 \SystemRoot\system32\drivers\fltmgr.sys 0x8C4C2000 \SystemRoot\system32\drivers\fileinfo.sys 0x8C4D3000 \SystemRoot\System32\Drivers\PxHelp20.sys 0x8C4DD000 \SystemRoot\System32\Drivers\Ntfs.sys 0x8C60C000 \SystemRoot\System32\Drivers\msrpc.sys 0x8C637000 \SystemRoot\System32\Drivers\ksecdd.sys 0x8C64A000 \SystemRoot\System32\Drivers\cng.sys 0x8C6A7000 \SystemRoot\System32\drivers\pcw.sys 0x8C6B5000 \SystemRoot\System32\Drivers\Fs_Rec.sys 0x8C6BE000 \SystemRoot\system32\drivers\ndis.sys 0x8C775000 \SystemRoot\system32\drivers\NETIO.SYS 0x8C7B3000 \SystemRoot\System32\Drivers\ksecpkg.sys 0x8C812000 \SystemRoot\System32\drivers\tcpip.sys 0x8C95C000 \SystemRoot\System32\drivers\fwpkclnt.sys 0x8C98D000 \SystemRoot\system32\drivers\vmstorfl.sys 0x8C996000 \SystemRoot\system32\drivers\volsnap.sys 0x8C9D5000 \SystemRoot\System32\Drivers\spldr.sys 0x8C9DD000 \SystemRoot\System32\drivers\rdyboost.sys 0x8CA0A000 \SystemRoot\System32\Drivers\mup.sys 0x8CA1A000 \SystemRoot\System32\drivers\hwpolicy.sys 0x8CA22000 \SystemRoot\System32\DRIVERS\fvevol.sys 0x8CA54000 \SystemRoot\system32\DRIVERS\disk.sys 0x8CA65000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS 0x8CAE6000 \SystemRoot\system32\drivers\cdrom.sys 0x8CB05000 \??\C:\Program Files\Emsisoft Anti-Malware\a2dix86.sys 0x8CB0C000 \SystemRoot\System32\Drivers\Null.SYS 0x8CB13000 \SystemRoot\System32\Drivers\Beep.SYS 0x8CB1A000 \SystemRoot\System32\drivers\FNETURPX.SYS 0x8CB1C000 \SystemRoot\System32\drivers\vga.sys 0x8CB28000 \SystemRoot\System32\drivers\VIDEOPRT.SYS 0x8CB49000 \SystemRoot\System32\drivers\watchdog.sys 0x8CB56000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0x8CB5E000 \SystemRoot\system32\drivers\rdpencdd.sys 0x8CB66000 \SystemRoot\system32\drivers\rdprefmp.sys 0x8CB6E000 \SystemRoot\System32\Drivers\Msfs.SYS 0x8CB79000 \SystemRoot\System32\Drivers\Npfs.SYS 0x8CB87000 \SystemRoot\system32\DRIVERS\tdx.sys 0x8CB9E000 \SystemRoot\system32\DRIVERS\TDI.SYS 0x8CBAA000 \??\C:\Windows\system32\drivers\OAmon.sys 0x92839000 \SystemRoot\system32\drivers\afd.sys 0x92893000 \SystemRoot\System32\DRIVERS\netbt.sys 0x928C5000 \SystemRoot\system32\DRIVERS\wfplwf.sys 0x928CC000 \SystemRoot\system32\DRIVERS\pacer.sys 0x928EB000 \SystemRoot\system32\DRIVERS\netbios.sys 0x928F9000 \SystemRoot\system32\DRIVERS\wanarp.sys 0x9290C000 \SystemRoot\system32\drivers\termdd.sys 0x9291D000 \SystemRoot\system32\DRIVERS\rdbss.sys 0x9295E000 \??\C:\Windows\system32\drivers\oahlp32.sys 0x92967000 \??\C:\Windows\system32\drivers\OADriver.sys 0x92998000 \SystemRoot\system32\drivers\nsiproxy.sys 0x929A2000 \SystemRoot\system32\drivers\mssmbios.sys 0x929AC000 \SystemRoot\System32\drivers\discache.sys 0x929B8000 \SystemRoot\system32\drivers\csc.sys 0x92A1C000 \SystemRoot\System32\Drivers\dfsc.sys 0x92A34000 \SystemRoot\system32\DRIVERS\blbdrive.sys 0x92A42000 \??\C:\Program Files\Emsisoft Anti-Malware\a2util32.sys 0x92A44000 \??\C:\Program Files\Emsisoft Anti-Malware\a2ddax86.sys 0x92A47000 \SystemRoot\system32\DRIVERS\tunnel.sys 0x9402E000 \SystemRoot\system32\DRIVERS\nvlddmkm.sys 0x92A68000 \SystemRoot\System32\drivers\dxgkrnl.sys 0x94761000 \SystemRoot\System32\drivers\dxgmms1.sys 0x9479A000 \SystemRoot\system32\drivers\HDAudBus.sys 0x947B9000 \SystemRoot\system32\DRIVERS\e1e6232.sys 0x93406000 \SystemRoot\system32\DRIVERS\netw5v32.sys 0x93819000 \SystemRoot\system32\drivers\usbuhci.sys 0x93824000 \SystemRoot\system32\drivers\USBPORT.SYS 0x9386F000 \SystemRoot\system32\drivers\usbehci.sys 0x9387E000 \SystemRoot\system32\drivers\ttv500x.sys 0x938CD000 \SystemRoot\system32\drivers\ks.sys 0x93901000 \SystemRoot\system32\drivers\BdaSup.SYS 0x93904000 \SystemRoot\system32\drivers\1394ohci.sys 0x93931000 \SystemRoot\system32\drivers\tifm21.sys 0x9397D000 \SystemRoot\system32\drivers\sdbus.sys 0x93996000 \SystemRoot\system32\drivers\i8042prt.sys 0x939AE000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0x939BB000 \SystemRoot\system32\DRIVERS\mouclass.sys 0x939C8000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys 0x939CE000 \SystemRoot\system32\DRIVERS\CmBatt.sys 0x939D2000 \SystemRoot\system32\DRIVERS\intelppm.sys 0x939E4000 \SystemRoot\system32\drivers\CompositeBus.sys 0x939F1000 \SystemRoot\system32\DRIVERS\serscan.sys 0x939F9000 \SystemRoot\system32\DRIVERS\AgileVpn.sys 0x93A0B000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0x93A23000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0x93A2E000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0x93A50000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0x93A68000 \SystemRoot\system32\DRIVERS\raspptp.sys 0x93A7F000 \SystemRoot\system32\DRIVERS\rassstp.sys 0x93A96000 \SystemRoot\system32\DRIVERS\oanet.sys 0x93AA0000 \SystemRoot\system32\DRIVERS\rdpbus.sys 0x93AAA000 \SystemRoot\system32\drivers\swenum.sys 0x93AAC000 \SystemRoot\system32\drivers\WmBEnum.sys 0x93AB0000 \SystemRoot\system32\drivers\WmXlCore.sys 0x93ABF000 \SystemRoot\system32\drivers\umbus.sys 0x93ACD000 \SystemRoot\system32\drivers\usbhub.sys 0x93B11000 \SystemRoot\System32\Drivers\NDProxy.SYS 0x93B22000 \SystemRoot\system32\drivers\stwrt.sys 0x93B77000 \SystemRoot\system32\drivers\portcls.sys 0x93BA6000 \SystemRoot\system32\drivers\drmk.sys 0x9903D000 \SystemRoot\system32\DRIVERS\AGRSM.sys 0x99143000 \SystemRoot\system32\DRIVERS\USBD.SYS 0x99145000 \SystemRoot\system32\drivers\modem.sys 0x99152000 \SystemRoot\System32\Drivers\crashdmp.sys 0x9915F000 \SystemRoot\System32\Drivers\dump_diskdump.sys 0x99169000 \SystemRoot\System32\Drivers\dump_KR10N.sys 0x9919D000 \SystemRoot\System32\Drivers\dump_dumpfve.sys 0x9C0E0000 \SystemRoot\System32\win32k.sys 0x991AE000 \SystemRoot\System32\drivers\Dxapi.sys 0x991B8000 \SystemRoot\system32\DRIVERS\monitor.sys 0x9C340000 \SystemRoot\System32\TSDDD.dll 0x9C370000 \SystemRoot\System32\cdd.dll 0x991C3000 \SystemRoot\system32\drivers\luafv.sys 0x991DE000 \SystemRoot\system32\drivers\WudfPf.sys 0x991F8000 \SystemRoot\system32\DRIVERS\lltdio.sys 0x99208000 \SystemRoot\system32\DRIVERS\nwifi.sys 0x9924E000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0x9925E000 \SystemRoot\system32\DRIVERS\rspndr.sys 0x99271000 \??\C:\PROGRAM FILES\EMSISOFT ANTI-MALWARE\a2accx86.sys 0x9927C000 \SystemRoot\system32\drivers\HTTP.sys 0x99301000 \SystemRoot\system32\DRIVERS\bowser.sys 0x9931A000 \SystemRoot\System32\drivers\mpsdrv.sys 0x9932C000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0x9934F000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys 0x9938A000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys 0x92B1F000 \SystemRoot\system32\drivers\peauth.sys 0x993BD000 \SystemRoot\System32\Drivers\secdrv.SYS 0x993C7000 \SystemRoot\System32\DRIVERS\srvnet.sys 0xA409D000 \SystemRoot\System32\drivers\tcpipreg.sys 0xA40AA000 \SystemRoot\System32\DRIVERS\srv2.sys 0xA40FA000 \SystemRoot\System32\DRIVERS\srv.sys 0xA414C000 \SystemRoot\system32\DRIVERS\psi_mf.sys 0xA414F000 \SystemRoot\system32\drivers\WmVirHid.sys 0xA4152000 \SystemRoot\system32\drivers\HIDCLASS.SYS 0xA4165000 \SystemRoot\system32\drivers\HIDPARSE.SYS 0xA416C000 \SystemRoot\system32\DRIVERS\kbdhid.sys 0xA4178000 \SystemRoot\system32\DRIVERS\mouhid.sys 0xA4183000 \SystemRoot\system32\DRIVERS\hidusb.sys 0xA418E000 \SystemRoot\System32\drivers\FNETTBOH.SYS 0xA4194000 \SystemRoot\system32\drivers\USBSTOR.SYS 0x770E0000 \Windows\System32\ntdll.dll Processes (total 73): 0 System Idle Process 4 System 296 C:\Windows\System32\smss.exe 372 csrss.exe 420 C:\Windows\System32\wininit.exe 432 csrss.exe 484 C:\Windows\System32\services.exe 492 C:\Windows\System32\lsass.exe 500 C:\Windows\System32\lsm.exe 576 C:\Windows\System32\winlogon.exe 640 C:\Windows\System32\svchost.exe 700 C:\Program Files\Emsisoft Anti-Malware\a2service.exe 816 C:\Windows\System32\nvvsvc.exe 840 C:\Windows\System32\svchost.exe 916 C:\Windows\System32\svchost.exe 1004 C:\Windows\System32\svchost.exe 1048 C:\Windows\System32\svchost.exe 1184 C:\Windows\System32\svchost.exe 1348 C:\Windows\System32\rundll32.exe 1380 C:\Windows\System32\svchost.exe 1532 C:\Program Files\Online Armor\oacat.exe 1572 C:\Program Files\Online Armor\oasrv.exe 1788 C:\Windows\System32\spoolsv.exe 1864 C:\Windows\System32\svchost.exe 1936 C:\Program Files\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe 1972 C:\Program Files\Adobe\Elements 9 Organizer\PhotoshopElementsFileAgent.exe 2044 C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe 340 C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe 1476 C:\Program Files\Bonjour\mDNSResponder.exe 348 C:\Program Files\Kodak\AiO\Center\EKAiOHostService.exe 1372 C:\Program Files\Secunia\PSI\psia.exe 2232 C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_x86_neutral_034c6cd0f9dd3ca2\stacsv.exe 2340 C:\Windows\System32\svchost.exe 2436 C:\Program Files\Common Files\microsoft shared\Windows Live\WLIDSVC.EXE 2844 C:\Windows\System32\SearchIndexer.exe 3128 C:\Windows\System32\svchost.exe 3456 C:\Program Files\Common Files\microsoft shared\Windows Live\WLIDSVCM.EXE 3908 C:\Program Files\Secunia\PSI\sua.exe 2952 C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe 3164 C:\Windows\System32\svchost.exe 3180 C:\Windows\System32\svchost.exe 3388 C:\Program Files\Windows Media Player\wmpnetwk.exe 3876 C:\Windows\System32\taskhost.exe 2768 C:\Windows\System32\dwm.exe 2220 C:\Windows\explorer.exe 3836 C:\Windows\System32\rundll32.exe 1144 C:\Program Files\iTunes\iTunesHelper.exe 3028 C:\Windows\System32\spool\drivers\w32x86\3\EKAiO2MUI.exe 2780 C:\Program Files\UsbBoost\TurboHddUsb.exe 2832 C:\Program Files\Emsisoft Anti-Malware\a2guard.exe 3216 C:\Program Files\Online Armor\oaui.exe 3424 C:\Windows\Philips\SPC230NC\Monitor.exe 3652 C:\Program Files\Logitech\Gaming Software\LWEMon.exe 3576 C:\Program Files\iPod\bin\iPodService.exe 2540 C:\Program Files\Online Armor\oahlp.exe 4064 C:\Program Files\Secunia\PSI\psi_tray.exe 1520 C:\Program Files\Philips\Philips SPC230NC Webcam\TrayMin230.exe 4268 C:\Windows\System32\svchost.exe 5428 C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE 5628 dllhost.exe 5936 C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE 5768 C:\Windows\System32\wuauclt.exe 4716 C:\Users\Jörg\AppData\Local\Google\Chrome\Application\chrome.exe 2080 C:\Users\Jörg\AppData\Local\Google\Chrome\Application\chrome.exe 6100 C:\Users\Jörg\AppData\Local\Google\Chrome\Application\chrome.exe 5852 C:\Windows\System32\SearchProtocolHost.exe 4560 C:\Users\Jörg\AppData\Local\Google\Chrome\Application\chrome.exe 4852 C:\Windows\System32\SearchFilterHost.exe 2852 C:\Windows\System32\SearchProtocolHost.exe 988 C:\Windows\System32\audiodg.exe 3588 C:\Users\Jörg\Downloads\MBRCheck.exe 3676 C:\Windows\System32\conhost.exe 4176 <unknown> \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`06500000 (NTFS) \\.\D: --> \\.\PhysicalDrive0 at offset 0x0000000c`82b00000 (NTFS) \\.\E: --> \\.\PhysicalDrive0 at offset 0x00000016`c3a00000 (NTFS) \\.\F: --> \\.\PhysicalDrive0 at offset 0x0000002a`c8b00000 (NTFS) \\.\H: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (NTFS) \\.\I: --> \\.\PhysicalDrive1 at offset 0x000000db`ba0d5c00 (NTFS) PhysicalDrive0 Model Number: TOSHIBARAID LD0, Rev: PhysicalDrive1 Model Number: SAMSUNGHD154UI, Rev: Size Device Name MBR Status -------------------------------------------- 298 GB \\.\PhysicalDrive0 RE: Windows 7 MBR code detected SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79 1397 GB \\.\PhysicalDrive1 RE: Windows XP MBR code detected SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A Done! |
die mbrs sehen alle io aus wenn wir die partitionen löschen und neu erstellen, über die erweiterten optionen beim formatieren, und den mbr und bootsektor neu schreiben (fixmbr und fixboot) dann reicht das auf jeden fall |
Also...nochmal für mich zum mitschreiben....: Ich hole mir morgen von meinem Kumpel die Windows 7 CD, dann schmeiß ich die rein und formartiere ganz normal mit Windows...bzw vorher mache ich noch die beiden anderen Sachen bzgl. der MBR Reparatur!? Richtig? Aber woher weiß ich, dass das Teil danach weg ist...habe keine Lust alle 2-3 Wochen das Lappi neu aufzusetzen...hab ja auch noch was anderes zu tun. ;-) |
noch mal ne frage wegen dem bank anruf, können dir denn genau sagen wann ihnen das problem aufgefallen ist und anhand von welchen aktionen? |
Die haben mir nur gesagt, dass es beim Rechenzentrum um ca. 16 Uhr gestern zum Abgriff meines Anmeldenamens beim Onlinebanking kam. Was sagst Du zu meiner Frage?? |
ich hatte deine frage gelesen, wollte nur noch mal die bestätigung haben, das es zu einem erneuten angriff gekommen ist, hätte ja auch sein können, dass sie deine daten gefunden haben und diese aus dem alten angriff stammten. du könntest bei deiner externen festplatte auch mal alles löschen was nicht nötig ist, nur das aller nötigste behalten. es scheint ja so, immer mal angenommen du machst regelmäßig onlinebanking, dass es ne zeit lang gut gegangen ist. und das system sauber war deswegen diesmal alle tipps umsetzen auch das backup, sandboxie etc. das mitt der formatierung sollte auf jeden fall so hinhauen. aber wie gesagt, über die optionen beim formatieren die partition(en) löschen und neu erstellen (ntfs format) |
Nein, es muss definitiv ein neuer Angriff gewesen sein. Da mein neuer Anmeldename ja abgefangen wurde. Tolle Wurst. Okay...ich gehe das ganze jetzt Schritt für Schritt mit Dir durch. Auf der externen Platte sind nur meine ganzen Fotos (bin Hobbyfotograf) ne Menge Musik und Dokumente (Word, Excel) die ich selbst erstellt habe. Ich hole mir morgen die Windows 7 CD und lege morgen nach Feierabend los. Bist Du morgen Abend online, wenn ich die Neuinstallation abgeschlossen habe? Das wird dann alles weitere Schritt für Schritt machen können? Aber nochmal ne andere Frage. Das was ich da alles machen soll, erscheint mir echt wahnsinnig kompliziert...muss das alles sein? Mein Kollege aus der IT Abteilung meinte ich soll zum Surfen künftig einfach Ubuntu nutzen...was hälst Du davon? Ich möchte auf jeden Fall mein Laptop möglichst komfortabel nutzen können...Du weißt wie ich das meine oder? Du hattest ja beim letzten Mal gesagt, dass ich ein Benutzerkonto ohne Adminrechte einrichten soll. Das kann man sich doch sparen, da Carberp ohne Adminrechte auskommt. Hier übrigens ein aktueller Scan meines Malwareprogramms: Emsisoft Anti-Malware - Version 6.0 Letztes Update: 06.03.2012 18:39:27 Scan Einstellungen: Scan Methode: Detail Scan Objekte: Rootkits, Speicher, Traces, C:\, D:\, E:\, F:\, H:\, I:\ Archiv Scan: An ADS Scan: An Scan Beginn: 06.03.2012 19:34:54 Gescannt 565972 Gefunden 0 Scan Ende: 06.03.2012 20:50:27 Scan Zeit: 1:15:33 |
Moin Markus, so heute nach Feierabend ist es soweit. ;-) Ich bin irgendwie immer noch unsicher, ob das was wir Vorhaben reicht, um das fiese Ding vollständig loszuwerden!? Was meinst Du? Mir sagte mal jemand, dass bei einer Windowsformatierung das Ding evtl. drauf bleibt. Soll ich es doch lieber mit Linux Live CD? Dann Brauch ich dafür aber ne Anleitung. Wäre toll wenn Du dazu und zu den Fragen aus meinem letzten Posting noch was sagst. Sorry, wenn ich nerve...aber ich bin echt unsicher und will dieses Ding loswerden und nicht wieder bekommen. |
hi, ich hab ja bereits gesagt, mit windows sollte es reichen. und ja, die absicherungsmaßnamen sind nötig. und ja, auch ein eingeschrenktes nutzerkonto ist nötig, gibt ja noch andere malware typen. ich denke auch in windows kann man malware frei arbeiten, und im umkehrschluss bedeutet ein linux oder anderes system nicht automatisch malware freiheit, denn es gibt auch für alternativ platformen malware. was man überlegen könnte, wäre banking über ein linux system oder eine linux live cd. |
Okay, dann gehen wir es an. Ich werde nach der Arbeit (ca 16:30) anfangen. Bist Du dann heute Abend da, um nach der Neuinstallation die Absicherungen zu machen? |
jo denke schonb . |
Noch ne Frage: Ich hatte ja den Log gepostet, wo auch die externe Platte dran hing. Konntest Du denn da was erkennen...also, dass Carperb nicht da irgendwo noch sitzt??? Oder anders gefragt, was konntest Du an den beiden Logs erkennen? Das sind für mich ja nur böhmische Dörfer. ;-) |
die mbrs sind laut log beide sauber wir lassen den der internen festplatte trotzdem sicherheitshalber neu schreiben. |
Okay...es geht los...ich mache jetzt als erste FixMbr und dann FixBoot und danach formartiere ich die Platte....bin parallel mit dem Laptop meiner Freundin hier online. Nach der Windows Neuinstallation lade ich erst alle Windows Uptdates...richtig? Und dann?? |
Schon das erste Problem: Wenn ich bei der Windows CD auf die Repersturoptionen gehe...dann soll ja die Auwahl kommen wo ich das Betriebssystem auswähle...da steht keins drin. Wenn ich dann Eingabeaufforderung klicke...und dort Boorec.exe /FixMbr eingebe folgt der Hinweis: Der Pfad ist nicht vorhanden!?!?!? Das gleich bei /FixBoot. Und nun???? Ich habe es nochmal versucht. Das Problem ist, dass das er das Betriebssystem nicht findet und ich einen Treiber für die Festplatte installieren soll!?!? Das muss man nicht verstehen oder? |
edit: hast du zu dem pc eine präinstalations cd bekommen? |
Nein....jetzt sitz ich hier und bin kein Stück weiter :-( |
was für cds hast du noch zu dem pc? |
Eine Toshiba Qosmio Player Recovery und eine Product Recovery. Ich hab aber gerade etwas gegoogelt...kann es nicht sein, dass da nur ein Treiber fehlt? Für die Platte?? |
ja, deswegen fragte ich ja nach der cd, ich hatte eine zu meinem gekauften pc. kannst du mir mal den genauen gerätetypen posten? |
Da ist nachträglich mal eine andere Platte reingekommen. Das Laptop is ein Toshiba Qosmio G30-188 Die Platte ist eine Samsung Serial ATA HM320JI Hab da bei Samsung nen Treiber gefunden und ziehe den gerade auf den Stick. |
auch gut, spart mir arbeit :-) der treiber sollte sich beim cd start einbinden lassen, hast du die option gesehen? |
Ja hab ich gesehen, aber das geht vom Stick nicht. Da kommt eine Fehlermeldung: Am angegebenen Speicherort sind keine Informationen zur Hardware vorhanden. Habe bei Samsung eine Setup Datei runtergeladen. Brauch ich ne andere ? |
Oh Mann....ich kriege nen Knall...jetzt sitze ich hier schon 2 Stunden und ich bin keinen Schritt weiter. :-( Wo krieg ich jetzt den Treiber her und wieso will er den Treiber....er erkennt die Festplatte doch im normalen Betrieb!?!?!? |
kannst du mir mal sagen welches mainboard du nutzt? |
Wo krieg ich das denn raus?? |
kaufvertrag zb oder vllt im handbuch zum gerät oder hier im kurzbericht von everest http://filepony.de/download-everest_home/ |
Okay, was genau musst Du wissen? CPU Typ: Mobile DualCore Inte Core Duo T2400, 1833 MHz (11x167) Motherboard Name: Toshiba Qosmio G30 Chipsatz: Mobile Intel Calistoga-PM i945PM |
musst evtl. das gerät noch mal starten und über die homepage die sata und oder Raid driver suchen und abspeichern Computer Systems - Toshiba |
Das wird hier so nichts. Ich finde diese Treiber da nicht. :-( Ich verzweifel hier :-( |
wie habt ihr es denn letztes mal instaliert? wenn die festplatte nicht erkannt wird, oder wird sie erkannt wenn du bis zu dem schritt der instalation bzw formatierung im windows setup gehst? |
Da gibt es mur Updates für Bios, Bluetooth, Wireless LAN Driver usw :-( |
Ich kanns Dir nicht sagen, weil es ja der Bruder meiner Freundin gemacht hat. Der hat sogar kurz die Platte ausgebaut...weiß aber nicht was er dann gemacht hat!? |
dann frag ihn ob er die driver hat muss es ja instaliert haben irgendwie. bzw teste mal ob du denn die festplatten auswählen kannst wenn du die windows instalation machen sollst. |
Aber wenn ich das teste, dann muss ich vorher formatieren und dann kann ich die beiden anderen Sachen vorher nicht machen!? Fragen kann ich nicht, weil er auf der Arbeit ist. |
kann man ja nachträglich noch mal machen, bzw würde es ja reichen, ob die festplatte überhaupt angezeigt wird wenn du das setup startest bzw im instalations bildschirm bist. |
Also bei der letzten Installation hatten wir genau das gleiche Problem, dass er sie nicht angezeigt hat und dann hat er die Platte ausgebaut und etwas damit gemacht...was ich aber nicht weiß |
jo, hättest dir die treiber geben lassen sollen, kann ja immer mal kommen das man win selbst neu instaliren muss :-) aber dann scheint er sie ja zu haben. |
Aber wozu hat er die Platte ausgebaut, das macht doch keinen Sinn !?!?!? |
ich war nicht dabei, also kann ich das nicht beantworten :-) |
Okay...das Problem muss ich jetzt erst lösen. Ich habe mich gerade nochmal mit der Absicherung danach beschäftigt. Ich fasse mal die Schritte zusammen, die ich nach der Neuinstallation machen werde: 1. Virensoftware Emisoft Antimalware wieder installieren 2. Windows updaten 3. Aktivieren von automatischen Updates 4. Einrichtung eines beschränkten Nutzers 5. SEHOP aktivieren 6. Benutzerkontensteuerung 7. Autorun deaktivieren 8. Panda USB Vaccine (Was ist das genau?) 9. Secunia und FileHippo installieren 10. Backup (entweder mit Windows 7 oder Paragon) 11. Browser (Chrome) 12. Dep aktivieren Der Rest der hier steht, ist ja nur für Windows XP. Hab ich das richtig zusammengefasst??? Wenn nicht korriergier mich bitte. Dieses Sandboxie ist mir grad too much....ich denke, da bevorzuge ich die Variante mit Ubuntu zu surfen. Aber ich werd´s mir nochmal durchlesen. |
hi, datenausführungsverhinderung aktivieren. http://filepony.de/download-panda_usb_vaccine/ panda vaccine. dies erstellt auf wechseldatenträgern und auf internen datenträgern eine schreibgeschützte autorun.inf, so ist es für malware, die diese funktion nutzt, schwerer auf dem system aktiev zu werden. du hast dann noch paragon backup, sandboxie und browser vergessen (am besten chrome) |
Okay, hab zur Übersichtlichkeit meine Auflistung aktualisiert. ;-) Dieses Datenausführungsverhinderung...kannst Du mir das genauer erklären? Z.B. Was wählt man hier aus: Hier können Sie jetzt wählen zwischen "Datenausführungsverhinderung nur für erforderliche Windows-Programme und -Dienste einschalten" "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:". Und dann soll ich in die Registry...oh mein Gott...ich hab Angst. ;-) |
hi, das kannst du über die systemsteuerung auch erledigen. "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:". wird aktiviert, und dort aber nichts eingetragen. das soll verhindern, dass programme code einschläusen in speicher, der nicht für sie vorgesehen ist (code injektion) das programm wird dann, wenn es erkannt wird, nicht ausgeführt. |
Sooo....endlich Windows 7 ist neu installiert. Und folgende Punkte habe ich alle gemacht. 1. Virensoftware Emisoft Antimalware wieder installieren X 2. Windows updaten X 3. Aktivieren von automatischen Updates X 4. Einrichtung eines beschränkten Nutzers X 5. SEHOP aktivieren X 6. Benutzerkontensteuerung X 7. Autorun deaktivieren X -> Habe oben das Häkchen rausgenommen bei Autom. Wiedergabe für alle Medien und Geräte verwenden!? 8. Panda USB Vaccine X 9. Secunia und FileHippo installieren X 10. Browser (Chrome) X 11. Dep aktivieren X Es fehlen noch: 1. 10. Backup (entweder mit Windows 7 oder Paragon) 2. Sandboxie (irgendwie trau ich mich da nicht dran) |
Hey Markus, so jetzt bin ich nen ganzen Schritt weiter. Allerdings habe ich jetzt das Problem das ich manche Programme (Word, Excel, usw) nicht in dem Userkonto verfügbar habe, sondern nur in dem Adminkonto. :-( Was muss ich tun, um die Programme dort auch zu haben? |
hi, 1. sandbox schon mal angesehen oder warum traust du dich da nicht rann? 2. melde dich als admin an, dort gehe auf c:\benutzer\adminkonto rechtsklick auf desktop, kopieren. dann auf c:\benutzer\standardkonto\ rechtsklick einfügen, überschreiben bestätigen. das selbe mit AppData dann im standard konto anmelden und gucken obs geht |
Hey, Okay das Versuch ich nachher mal. Sandboxie hab ich mir durchgelesen, aber so richtig versteh ich das alles nicht. Ich guck mir das nOchmal in Ruhe an. Aber erst will ich mich mit dem Thema Backup beschäftigen. Wenn ich alle Partionen wieder eingerichtet habe und Musik, bzw. Fotos wieder drauf habe und dann mit Win 7 das Backup mache auf der externen Platte. Dann kann ich damit das System genau so wieder herstellen und alles ist wie vorher? Wie würde so eine Wiederherstellung denn gehen? Wo Sage ich Windows, dass ich das System mit dem gespeicherten Backup wieder herstellen möchte? |
hi, hier steht, wie du das backup, die rettungs dvd erstellst, und die dann verwendest: Anleitung: Systemabbild mit Paragon Drive Backup - NETZWELT |
Ich habe aber dieses Programm gar nicht. Ich wollte das direkt mit Win7 machen. Das geht doch auch oder? |
sorry, Windows 7 Backup erstellen | Tricks | Windows 7 Tipps hier lesen. musst du mal gucken welches programm für dich besser geeignet ist, auch speicherplatz mäßig, also von der größe der backups her. kann man ja austesten |
Zitat:
Bei den Officeprogrammen geht erst das Installationsfenster auf, dann kann ich auf Abbrechen klicken und dann öffnet sich z.B. Word...aber das ist doch unpraktisch. :-( Und Chrome ist auch da...aber es startet gar nicht. :-( Das ist mir echt zu blöd....da bleib ich doch lieber bei einem Konto. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:26 Uhr. |
Copyright ©2000-2025, Trojaner-Board