Trojaner-Board - Eventuell Informationen zum GEMA Virus

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Eventuell Informationen zum GEMA Virus (https://www.trojaner-board.de/112469-eventuell-informationen-gema-virus.html)

Eventuell Informationen zum GEMA Virus

Wie am Titel zu erkennen ist habe ich mir vor kurzem den GEMA virus eingefangen, auch wenn das nicht mein Grund ist hier zu posten da ich mit dem Virus zurecht komme, gehe ich mal kurz darauf ein.

Ich ging um etwa 1:00 heute ins Bett um für etwa 4 stunden zu schlafen, als ich dann um etwa 5:10 meinen Bildschirm angemacht habe hab ich auch schon den Virus mit der GEMA zu sehen bekommen. Da ich keinen anderen Internetfähigen PC bei mir hatte habe ich erstmal einen reset durchgeführt, und den PC normal wieder gestartet. Anschließend habe ich den Task-Manager gestartet und den gema Prozess (welcher sehr offensichtlich als solcher zu sehen war) abgeschossen bevor er etwas sperren konnte (hat 1 mal versucht sich wieder zu starten, aber dann "aufgegeben"). Nun habe ich mir schnell im Internet alle Informationen zu dem Virus gesucht die ich auf die schnelle finden konnte und hier im forum 2 Verzeichnisse dabei gefunden in denen das Programm war:
C:\ProgramData\gema\gema.exe
C:\Users\X\AppData\Roaming\gema\gema.exe
Also erstmal endgültig gelöscht damit mein einziger verwendbarer PC nicht vor meinen Augen die fliege macht.

Ich habe Avast und konnte bestätigen das es momentan noch nicht in der Lage ist den Virus zu erkennen, entsprechend war der echtzeitschutz relativ unnütz. Allerdings konnte ich den log von Avast mit dem erstellungsdatum der oben genannten Datei nutzen um die Datei ausfindig zu machen von denen der Virus nach ProgramData kopiert wurde:
C:\Users\X\AppData\Local\Temp\cgs8h0.exe

Ich würde wenn möglich gerne dazu beitragen zu verstehen wie man sich den Virus einfängt. 100% sicher bin ich mir nicht aber ich denke ich kann einiges auschließen.
Der Virus wurde um 1:12 installiert.
Die letzte Webseite die ich besucht habe war dict.cc (online-Wörterbuch) um 1:00, und 90 minuten davor war ich auf youtube, lediglich ein einzelner Seitenaufruf. Ich glaube aber das diese Seiten damit nix zu tun haben, dafür gibt es einfach keine Anzeichen. Der letzte (zumindest bewusst getätigte) download liegt auch einige Stunden zurück, und da das nix suspektes oder auch nur unbekanntes war geh ich mal schwer davon aus das es das auch nicht war. Ich bin zwar nicht extrem erfahren was Viren angeht aber ich würde schon sagen das ich ne Menge mehr davon verstehe als der durchschnittliche User. Mein letzter Virus den ich hatte ist schon etwa 4 Jahre her, was dafür spricht das ich weiß mich von allen gefährlichen quellen für Viren fernzuhalten.

Nun zum eigentlichen Teil und hoffentlich interessanten Teil. Ich habe vor kurzem den VLC Media Player aktualisiert habe und siehe an was ich in oben besagter cgs8h0.exe in der Beschreibung finde:

Datei: cgs8h0.exe
Firma: the VideoLAN Team

was sich von der Beschreibung des VLC selbst nur minimal unterscheidet:

Datei: vlc.exe
Firma: VideoLAN

Ich bin mir ja sicher das die Leute von VLC den virus nicht programmiert haben aber dem nach zu schließen wird es vermutlich irgendwas mit dem VLC zu tun gehabt haben. Jener war zu der Zeit zwar geschlossen, aber wenn es eine sicherheitslücke im VLC gibt schätze ich mal hätte man den internen downloader des VLC missbrauchen können.
Nun meine frage: irgendeine Idee wie ich herausfinden kann ob VLC der täter ist und was es mit dieser doch sehr auffälligen "Firma" in der Beschreibung zu tun haben könnte?

hi,
hast du die datei noch?
falls ja, mal hochladen bitte:
Trojaner-Board Upload Channel
und bescheid geben wenn dies erledigt wurde

Es ist nicht die cgs8h0.exe aber ich habe eine der 2 gema.exe'n archiviert und habe sie hochgeladen. Alle drei dateien hatten die selbe größe, das selbe symbol und auch sonst überschneidende Eigenschaften, ich gehe also auch davon aus das alle 3 gleich sind abgesehen vom namen. Finde dort ebenfalls VideoLAN in in der vermeintlichen Firma. Ich musste die Datei allerdings wiederherstellen da obwohl ich sie bereits archivieren wollte sie nach äußerer Ablenkung schön gelöscht habe. Avast ist jetzt allerdings in der lage den Virus zu erkennen und ist auch sofort drauf angesprungen also ist die Datei wohl im Ursprungszustand.

eingefangen hast du es dir evtl. über sicherheitslücken.
mal schauen.

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2

WICHTIG - Speichere Combofix auf deinem Desktop

Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

So hab Combofix wie genannt ausgeführt, Komplikationen gab es keine. Hab selbst mal einen neugierigen blick in den log geworfen aber wie zu erwarten nix ungewöhnliches gefunden, abseits vielleicht von ein paar Programmen und Treibern die ich wiedererkannt habe.

Combofix hat allerdings noch eine gema.exe in system32 gefunden. Im nachhinein wundere ich mich das ich da nicht schon selbst nachgeschaut habe. Die Datei habe ich mir mal in der Qoobox kurz angeschaut, gleicher name, gleiche größe und gleiches Erstelldatum. Also vermutlich nicht mehr als die 4te Kopie.
Zu den anderen gelöschten Dateien kann ich nichts sagen ausser das ich mich schon ein bisschen wundere das er AppLocale gelöscht hat.

Nebenbei erwähnt sei schonmal das ich immer mit dem Haupt Administrator Konto arbeite, eine Entscheidung mit Risiken und Vorteilen die ich für mich selbst abgewägt habe. Ich habe in anderen Themen gelesen das bei ihnen der Task-Manager gesperrt wurde was bei mir nicht der fall war, könnte das daran liegen?

Naja hier der log:

Code:

ComboFix 12-03-29.02 - Administrator 29.03.2012  16:09:30.1.4 - x64

Microsoft Windows 7 Ultimate   6.1.7601.1.1252.49.1031.18.12221.6902 [GMT 2:00]

ausgeführt von:: c:\users\Administrator\Desktop\ComboFix.exe

AV: avast! Antivirus *Disabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}

SP: avast! Antivirus *Disabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}

SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\users\Administrator\AppData\Local\assembly\tmp

c:\users\Administrator\AppData\Roaming\logs.dat

c:\windows\apppatch\AppLoc.exe

c:\windows\AppPatch\Custom\{deb7008b-681e-4a4a-8aae-cc833e8216ce}.sdb

c:\windows\IsUn0407.exe

c:\windows\system32\gema.exe

F:\install.exe

.

.

(((((((((((((((((((((((   Dateien erstellt von 2012-02-28 bis 2012-03-29  ))))))))))))))))))))))))))))))

.

.

2012-03-29 14:14 . 2012-03-29 14:14        --------        d-----w-        c:\users\Default\AppData\Local\temp

2012-03-28 03:39 . 2012-03-14 03:27        8669240        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{2999B6BA-4CBB-4124-B08F-14A82BA23267}\mpengine.dll

2012-03-28 03:27 . 2012-03-06 23:02        53080        ----a-w-        c:\windows\system32\drivers\aswRdr2.sys

2012-03-21 00:15 . 2012-03-21 00:15        --------        d-----w-        c:\program files (x86)\AVIConverter

2012-03-20 07:59 . 2012-03-20 07:59        592824        ----a-w-        c:\program files (x86)\Mozilla Firefox\gkmedias.dll

2012-03-20 07:59 . 2012-03-20 07:59        44472        ----a-w-        c:\program files (x86)\Mozilla Firefox\mozglue.dll

2012-03-17 11:59 . 2011-11-19 15:20        5559152        ----a-w-        c:\windows\system32\ntoskrnl.exe

2012-03-17 11:59 . 2011-11-19 14:50        3968368        ----a-w-        c:\windows\SysWow64\ntkrnlpa.exe

2012-03-17 11:59 . 2011-11-19 14:50        3913584        ----a-w-        c:\windows\SysWow64\ntoskrnl.exe

2012-03-13 20:02 . 2012-02-03 04:34        3145728        ----a-w-        c:\windows\system32\win32k.sys

2012-03-13 20:02 . 2012-02-10 06:36        1544192        ----a-w-        c:\windows\system32\DWrite.dll

2012-03-13 20:02 . 2012-02-10 05:38        1077248        ----a-w-        c:\windows\SysWow64\DWrite.dll

2012-03-13 17:25 . 2012-01-25 06:38        149504        ----a-w-        c:\windows\system32\rdpcorekmts.dll

2012-03-13 17:25 . 2012-01-25 06:33        9216        ----a-w-        c:\windows\system32\rdrmemptylst.exe

2012-03-13 17:25 . 2012-01-25 06:38        77312        ----a-w-        c:\windows\system32\rdpwsx.dll

2012-03-13 17:25 . 2012-02-17 06:38        1112064        ----a-w-        c:\windows\system32\rdpcorets.dll

2012-03-13 17:25 . 2012-02-17 06:38        1031680        ----a-w-        c:\windows\system32\rdpcore.dll

2012-03-13 17:25 . 2012-02-17 05:34        826880        ----a-w-        c:\windows\SysWow64\rdpcore.dll

2012-03-13 17:25 . 2012-02-17 04:58        210944        ----a-w-        c:\windows\system32\drivers\rdpwd.sys

2012-03-13 17:25 . 2012-02-17 04:57        23552        ----a-w-        c:\windows\system32\drivers\tdtcp.sys

2012-03-12 19:56 . 2012-01-04 10:44        509952        ----a-w-        c:\windows\system32\ntshrui.dll

2012-03-12 19:56 . 2012-01-04 08:58        442880        ----a-w-        c:\windows\SysWow64\ntshrui.dll

2012-03-12 19:56 . 2011-12-30 06:26        515584        ----a-w-        c:\windows\system32\timedate.cpl

2012-03-12 19:56 . 2011-12-30 05:27        478720        ----a-w-        c:\windows\SysWow64\timedate.cpl

2012-03-12 19:56 . 2011-12-28 03:59        498688        ----a-w-        c:\windows\system32\drivers\afd.sys

2012-03-12 19:55 . 2011-12-16 08:46        634880        ----a-w-        c:\windows\system32\msvcrt.dll

2012-03-12 19:55 . 2011-12-16 07:52        690688        ----a-w-        c:\windows\SysWow64\msvcrt.dll

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-03-18 15:22 . 2011-08-27 02:18        414368        ----a-w-        c:\windows\SysWow64\FlashPlayerCPLApp.cpl

2012-03-06 23:15 . 2011-08-28 13:00        41184        ----a-w-        c:\windows\avastSS.scr

2012-03-06 23:15 . 2011-08-28 13:00        201352        ----a-w-        c:\windows\SysWow64\aswBoot.exe

2012-03-06 23:15 . 2011-08-28 13:00        258520        ----a-w-        c:\windows\system32\aswBoot.exe

2012-03-06 23:04 . 2011-08-28 13:01        819032        ----a-w-        c:\windows\system32\drivers\aswSnx.sys

2012-03-06 23:04 . 2011-08-28 13:01        337240        ----a-w-        c:\windows\system32\drivers\aswSP.sys

2012-03-06 23:01 . 2011-08-28 13:01        59224        ----a-w-        c:\windows\system32\drivers\aswTdi.sys

2012-03-06 23:01 . 2011-08-28 13:00        69976        ----a-w-        c:\windows\system32\drivers\aswMonFlt.sys

2012-03-06 23:01 . 2011-08-28 13:01        24408        ----a-w-        c:\windows\system32\drivers\aswFsBlk.sys

2012-02-23 08:18 . 2009-10-14 05:13        279656        ------w-        c:\windows\system32\MpSigStub.exe

2012-01-27 14:18 . 2011-08-27 02:49        188128        ----a-w-        c:\programdata\Microsoft\VCSExpress\10.0\1033\ResourceCache.dll

2012-01-19 04:25 . 2012-01-19 04:25        40960        ----a-r-        c:\users\Administrator\AppData\Roaming\Microsoft\Installer\{F5DCB11C-8F09-4C71-B952-B96DBB4E6584}\NewShortcut1_F5DCB11C8F094C71B952B96DBB4E6584_2.exe

2006-05-03 10:06        163328        --sha-r-        c:\windows\SysWOW64\flvDX.dll

2007-02-21 11:47        31232        --sha-r-        c:\windows\SysWOW64\msfDX.dll

2008-03-16 13:30        216064        --sha-r-        c:\windows\SysWOW64\nbDX.dll

2010-01-06 22:00        107520        --sha-r-        c:\windows\SysWOW64\TAKDSDecoder.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Steam"="c:\program files (x86)\Steam\Steam.exe" [2011-08-29 1242448]

"Miranda Fusion"="c:\program files (x86)\MirandaFusion\fusiontools\mfstart.exe" [2011-03-28 967508]

"DAEMON Tools Lite"="c:\program files (x86)\DAEMON Tools Lite\DTLite.exe" [2011-11-10 3514176]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]

"SwitchBoard"="c:\program files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe" [2010-02-19 517096]

"AdobeCS5ServiceManager"="c:\program files (x86)\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" [2010-02-22 406992]

"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2012-03-06 4241512]

"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]

"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]

"adm_tray.exe"="c:\program files (x86)\Acronis\DriveMonitor\adm_tray.exe" [2011-02-24 470120]

"APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]

"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2011-10-24 421888]

"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2011-12-05 343168]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 0 (0x0)

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableLUA"= 0 (0x0)

"EnableUIADesktopToggle"= 0 (0x0)

"PromptOnSecureDesktop"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Security Packages        REG_MULTI_SZ           kerberos msv1_0 schannel wdigest tspkg pku2u livessp

.

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]

R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]

R3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\program files\Microsoft Office\Office14\GROOVE.EXE [2011-06-12 51740536]

R3 ose64;Office 64 Source Engine;c:\program files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2010-01-09 174440]

R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4925184]

R3 pwdrvio;pwdrvio;c:\windows\system32\pwdrvio.sys [x]

R3 pwdspio;pwdspio;c:\windows\system32\pwdspio.sys [x]

R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [x]

R3 SwitchBoard;SwitchBoard;c:\program files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [2010-02-19 517096]

R3 Synth3dVsc;Synth3dVsc;c:\windows\system32\drivers\synth3dvsc.sys [x]

R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]

R3 tsusbhub;tsusbhub;c:\windows\system32\drivers\tsusbhub.sys [x]

R3 VGPU;VGPU;c:\windows\system32\drivers\rdvgkmd.sys [x]

S0 ahcix64s;ahcix64s;c:\windows\system32\DRIVERS\ahcix64s.sys [x]

S0 sptd;sptd;c:\windows\\SystemRoot\System32\Drivers\sptd.sys [x]

S1 aswSnx;aswSnx; [x]

S1 aswSP;aswSP; [x]

S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-01-03 63928]

S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]

S2 AMD FUEL Service;AMD FUEL Service;c:\program files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe [2011-12-05 361984]

S2 AMD_RAIDXpert;AMD RAIDXpert;c:\program files (x86)\AMD\RAIDXpert\bin\RAIDXpertService.exe [2011-02-15 128904]

S2 AODDriver4.01;AODDriver4.01;c:\program files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [2011-06-24 55424]

S2 Apache2.2;Apache2.2;c:\xampp\apache\bin\httpd.exe [2011-09-10 18432]

S2 aswFsBlk;aswFsBlk; [x]

S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [x]

S2 HWSuperPowerTablet;HWSuperPowerTablet;c:\windows\jwpen.exe [2010-02-05 77016]

S3 amdiox64;AMD IO Driver;c:\windows\system32\DRIVERS\amdiox64.sys [x]

S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [x]

S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [x]

S3 AtiHDAudioService;AMD Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdW76.sys [x]

S3 EtronHub3;Etron USB 3.0 Extensible Hub Driver;c:\windows\system32\Drivers\EtronHub3.sys [x]

S3 EtronXHCI;Etron USB 3.0 Extensible Host Controller Driver;c:\windows\system32\Drivers\EtronXHCI.sys [x]

S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [x]

S3 usbfilter;AMD USB Filter Driver;c:\windows\system32\DRIVERS\usbfilter.sys [x]

S3 VHWDrawing;HanWang Drawing Tablet;c:\windows\system32\DRIVERS\HWDrawing.sys [x]

.

.

--- Andere Dienste/Treiber im Speicher ---

.

*NewlyCreated* - WS2IFSL

.

.

--------- x86-64 -----------

.

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]

@="{472083B0-C522-11CF-8763-00608CC02F24}"

[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]

2012-03-06 23:15        135408        ----a-w-        c:\program files\AVAST Software\Avast\ashShA64.dll

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"AdobeAAMUpdater-1.0"="c:\program files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2010-03-06 500208]

"BCSSync"="c:\program files\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 112512]

"Acronis Scheduler2 Service"="c:\program files (x86)\Common Files\Acronis\Schedule2\schedhlp.exe" [2011-02-12 462400]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"LoadAppInit_DLLs"=0x0

.

------- Zusätzlicher Suchlauf -------

.

uLocal Page = c:\windows\system32\blank.htm

mLocal Page = c:\windows\SysWOW64\blank.htm

IE: An OneNote s&enden - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105

IE: Nach Microsoft E&xcel exportieren - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000

IE: Sothink SWF Catcher - c:\program files (x86)\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm

TCP: DhcpNameServer = 192.168.2.1

FF - ProfilePath - c:\users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\bm1wixgw.default\

FF - prefs.js: keyword.URL - hxxp://www.google.com/search?sourceid=navclient&hl=de&q=

FF - prefs.js: network.proxy.http - accessthoseblocked.info

FF - prefs.js: network.proxy.type - 0

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

Wow6432Node-HKCU-Run-Cobian Backup 9 - e:\program files (x86)\Cobian Backup 9\Cobian.exe

Wow6432Node-HKCU-Run-AdobeBridge - (no file)

Wow6432Node-HKCU-Run-gema - c:\users\Administrator\AppData\Roaming\gema\gema.exe

Wow6432Node-HKLM-Run-gema. - c:\programdata\gema\gema.exe

AddRemove-Adobe Shockwave Player - c:\windows\system32\Adobe\Shockwave 11\uninstaller.exe

.

.

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_USERS\S-1-5-21-1884003260-2218531522-139460113-500\Software\Microsoft\Internet Explorer\User Preferences]

@Denied: (2) (Administrator)

"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,

   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,29,df,ed,4f,a3,6a,32,43,85,92,29,\

"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,

   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,29,df,ed,4f,a3,6a,32,43,85,92,29,\

.

[HKEY_USERS\S-1-5-21-1884003260-2218531522-139460113-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.001\UserChoice]

@Denied: (2) (Administrator)

"Progid"="Applications\\7zFM.exe"

.

[HKEY_USERS\S-1-5-21-1884003260-2218531522-139460113-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.bmp\UserChoice]

@Denied: (2) (Administrator)

"Progid"="PhotoViewer.FileAssoc.Bitmap"

.

[HKEY_USERS\S-1-5-21-1884003260-2218531522-139460113-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.bz2\UserChoice]

@Denied: (2) (Administrator)

"Progid"="WinRAR"

.

[HKEY_USERS\S-1-5-21-1884003260-2218531522-139460113-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.det\UserChoice]

@Denied: (2) (Administrator)

"Progid"="Applications\\NOTEPAD.EXE"

.

[HKEY_USERS\S-1-5-21-1884003260-2218531522-139460113-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.dll\UserChoice]

@Denied: (2) (Administrator)

"Progid"="Applications\\VCSExpress.exe"

.

[HKEY_USERS\S-1-5-21-1884003260-2218531522-139460113-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.gif\UserChoice]

@Denied: (2) (Administrator)

@Denied: (2) (Administrator)

"Progid"="Applications\\photoviewer.dll"

.

[HKEY_USERS\S-1-5-21-1884003260-2218531522-139460113-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.gz\UserChoice]

@Denied: (2) (Administrator)

"Progid"="WinRAR"

.

[HKEY_USERS\S-1-5-21-1884003260-2218531522-139460113-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.htm\UserChoice]

@Denied: (2) (Administrator)

@Denied: (2) (Administrator)

"Progid"="FirefoxHTML"

.

[HKEY_USERS\S-1-5-21-1884003260-2218531522-139460113-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html\UserChoice]

@Denied: (2) (Administrator)

@Denied: (2) (Administrator)

"Progid"="FirefoxHTML"

.

[HKEY_USERS\S-1-5-21-1884003260-2218531522-139460113-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jpg\UserChoice]

@Denied: (2) (Administrator)

"Progid"="jpegfile"

.

[HKEY_USERS\S-1-5-21-1884003260-2218531522-139460113-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.mov\UserChoice]

@Denied: (2) (Administrator)

"Progid"="VLC.mov"

.

[HKEY_USERS\S-1-5-21-1884003260-2218531522-139460113-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.mp3\UserChoice]

@Denied: (2) (Administrator)

"Progid"="Winamp.File.MP3"

.

[HKEY_USERS\S-1-5-21-1884003260-2218531522-139460113-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.mp4\UserChoice]

@Denied: (2) (Administrator)

"Progid"="VLC.mp4"

.

[HKEY_USERS\S-1-5-21-1884003260-2218531522-139460113-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.nfo\UserChoice]

@Denied: (2) (Administrator)

"Progid"="Applications\\notepad.exe"

.

[HKEY_USERS\S-1-5-21-1884003260-2218531522-139460113-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ogg\UserChoice]

@Denied: (2) (Administrator)

"Progid"="Winamp.File.OGG"

.

[HKEY_USERS\S-1-5-21-1884003260-2218531522-139460113-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.php\UserChoice]

@Denied: (2) (Administrator)

"Progid"="Applications\\wordpad.exe"

.

[HKEY_USERS\S-1-5-21-1884003260-2218531522-139460113-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.png\UserChoice]

@Denied: (2) (Administrator)

"Progid"="PhotoViewer.FileAssoc.Png"

.

[HKEY_USERS\S-1-5-21-1884003260-2218531522-139460113-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.shtml\UserChoice]

@Denied: (2) (Administrator)

@Denied: (2) (Administrator)

"Progid"="FirefoxHTML"

.

[HKEY_USERS\S-1-5-21-1884003260-2218531522-139460113-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.swf\UserChoice]

@Denied: (2) (Administrator)

"Progid"="swf_auto_file"

.

[HKEY_USERS\S-1-5-21-1884003260-2218531522-139460113-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.wma\UserChoice]

@Denied: (2) (Administrator)

"Progid"="Winamp.File.WMA"

.

[HKEY_USERS\S-1-5-21-1884003260-2218531522-139460113-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xht\UserChoice]

@Denied: (2) (Administrator)

@Denied: (2) (Administrator)

"Progid"="FirefoxHTML"

.

[HKEY_USERS\S-1-5-21-1884003260-2218531522-139460113-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xhtml\UserChoice]

@Denied: (2) (Administrator)

@Denied: (2) (Administrator)

"Progid"="FirefoxHTML"

.

[HKEY_USERS\S-1-5-21-1884003260-2218531522-139460113-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xml\UserChoice]

@Denied: (2) (Administrator)

"Progid"="Applications\\NOTEPAD.EXE"

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\program files\AVAST Software\Avast\AvastSvc.exe

c:\program files (x86)\AMD\RAIDXpert\bin\RAIDXpert.exe

c:\windows\SysWOW64\srvany.exe

c:\windows\KMService.exe

c:\program files (x86)\Common Files\Microsoft Shared\Ink\TabTip32.exe

c:\program files (x86)\MirandaFusion\miranda32.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2012-03-29  16:23:17 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2012-03-29 14:23

.

Vor Suchlauf: 12 Verzeichnis(se), 337.957.146.624 Bytes frei

Nach Suchlauf: 17 Verzeichnis(se), 340.012.404.736 Bytes frei

.

- - End Of File - - 2077B0B8ADFF69D091EDC03952D1C657

Noch ne kleine Frage, falls die beantwortbar ist: was macht denn dieses "FF - prefs.js: network.proxy.http - accessthoseblocked.info" unter der Kategore "Zusätzlicher Suchlauf" da? Klingt für den Laien jetzt gerade etwas suspekt.

malwarebytes:
Downloade Dir bitte Malwarebytes

Installiere
das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Starte Malwarebytes, klicke auf Aktualisierung --> Suche
nach Aktualisierung
Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
Wenn der Scan beendet
ist, klicke auf Ergebnisse anzeigen.
Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste
das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Naja, da ist nun mal nichts neues bei rumgekommen:

Code:

Malwarebytes Anti-Malware 1.60.1.1000

www.malwarebytes.org
 

Datenbank Version: v2012.03.29.07
 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 8.0.7601.17514

Administrator :: DARK_OUTPOST [Administrator]
 

30.03.2012 00:49:33

mbam-log-2012-03-30 (02-09-04).txt
 

Art des Suchlaufs: Vollständiger Suchlauf

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 408409

Laufzeit: 1 Stunde(n), 3 Minute(n), 10 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 1

C:\Qoobox\Quarantine\C\Windows\System32\gema.exe.vir (Backdoor.Agent) -> Keine Aktion durchgeführt.
 

(Ende)

Das einzigste was er also gefunden hat ist die bereits in Quarantäne verschobene letzte Instanz des Virus, nichts anderes. Naja es sieht nicht so aus als ob ich noch rausfinden würde wo genau ich mir den eingefangen hab. Sauberer werde ich den PC wohl auch nicht mehr bekommen.
Übrigens, da steht zwar keine Aktion durchgeführt, aber auch lediglich weil ich den Virus nach erstellen des logs endgültig gelöscht habe.

Gibt es da sonst noch möglichkeiten rauszufinden wo der her kam?

durch sicherheitslücken, die wir jetzt schließen.

lade den CCleaner standard:
CCleaner Download - CCleaner 3.17.1689
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Das sollte ja nicht unnötig kompliziert werden da sich in dieser Liste keine mir unbekannten Programme aufhalten.

Code:

Bekannt - Erwünscht/Benötigt
 

7-PDF Maker Version 1.3.0 (Build 148)        7-PDF, Germany - Thorsten Hodes        27.01.2012        60,1MB        7-PDF Maker - Version 1.3.0 (Build 148)

7-PDF Split & Merge Version 2.0.2 (Build 234)        7-PDF, Germany - Thorsten Hodes        27.01.2012        3,74MB        7-PDF Split & Merge - Version 2.0.2 (Build 234)

7-Zip 9.20 (x64 edition)        Igor Pavlov        27.08.2011        4,53MB        9.20.00.0

Acronis Drive Monitor        Acronis        06.01.2012        23,1MB        1.0.566

Adobe AIR        Adobe Systems Incorporated        02.01.2012                3.0.0.4080

Adobe Community Help        Adobe Systems Incorporated        26.08.2011                3.0.0.400

Adobe Flash Player 11 Plugin 64-bit        Adobe Systems Incorporated        17.03.2012        6,00MB        11.1.102.63

Adobe Media Player        Adobe Systems Incorporated        26.08.2011                1.8

Adobe Photoshop CS5        Adobe Systems Incorporated        26.08.2011        2.595MB        12.0

Adobe Reader X (10.1.2) - Deutsch        Adobe Systems Incorporated        10.01.2012        120,9MB        10.1.2

Adobe Shockwave Player 11.6        Adobe Systems, Inc.        01.09.2011                11.6.1.629

AMD Catalyst Install Manager        Advanced Micro Devices, Inc.        04.02.2012        26,3MB        3.0.859.0

Apple Application Support        Apple Inc.        18.01.2012        61,2MB        2.1.5

Audacity 1.3.13 (Unicode)        Audacity Team        26.09.2011        40,2MB        

avast! Free Antivirus        AVAST Software        27.03.2012                7.0.1426.0

CCleaner        Piriform        29.03.2012                3.17

DAEMON Tools Lite        DT Soft Ltd        01.01.2012                4.45.1.0236

Etron USB3.0 Host Controller        Etron Technology        26.08.2011        5,19MB        0.98

GIF Viewer 3.0        Stefan Wobbe        27.09.2011                3.0

GIMP 2.6.11        The GIMP Team        26.08.2011        107,7MB        2.6.11

HWTablet        HanWang        03.11.2011                3.00.0000

Java(TM) 6 Update 29        Oracle        27.08.2011        95,0MB        6.0.290

JDownloader 0.9        AppWork GmbH        27.08.2011                0.9

Lightened Dream        lucidcode        30.01.2012        21,5MB        3.2.1

Logon Screen        Daniel Rebelo        26.08.2011        2,86MB        

Lucid Scribe        lucidcode        01.02.2012        35,3MB        1.0.8

Malwarebytes Anti-Malware Version 1.60.1.1000        Malwarebytes Corporation        28.03.2012        17,4MB        1.60.1.1000

Microsoft .NET Framework 4 Client Profile        Microsoft Corporation        26.08.2011        38,8MB        4.0.30319

Microsoft .NET Framework 4 Extended        Microsoft Corporation        26.08.2011        52,0MB        4.0.30319

Microsoft .NET Framework 4 Multi-Targeting Pack        Microsoft Corporation        26.08.2011        83,5MB        4.0.30319

Microsoft AppLocale        MS        12.12.2011        3,62MB        1.0.0

Microsoft Help Viewer 1.1        Microsoft Corporation        26.10.2011        3,97MB        1.1.40219

Microsoft Office Professional Plus 2010        Microsoft Corporation        06.09.2011                14.0.6029.1000

Microsoft Silverlight        Microsoft Corporation        16.03.2012        74,6MB        4.1.10111.0

Microsoft SQL Server 2005 Compact Edition [ENU]        Microsoft Corporation        02.09.2011        1,70MB        3.1.0000

Microsoft SQL Server 2008 R2 Management Objects        Microsoft Corporation        26.10.2011        12,5MB        10.50.1750.9

Microsoft SQL Server Compact 3.5 SP2 ENU        Microsoft Corporation        26.08.2011        3,40MB        3.5.8080.0

Microsoft SQL Server Compact 3.5 SP2 x64 ENU        Microsoft Corporation        26.08.2011        4,51MB        3.5.8080.0

Microsoft SQL Server System CLR Types        Microsoft Corporation        26.10.2011        0,91MB        10.50.1750.9

Microsoft Visual C# 2010 Express - ENU        Microsoft Corporation        26.10.2011                10.0.40219

Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053        Microsoft Corporation        23.01.2012        0,24MB        8.0.50727.4053

Microsoft Visual C++ 2005 Redistributable        Microsoft Corporation        02.09.2011        0,29MB        8.0.56336

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17        Microsoft Corporation        31.08.2011        0,23MB        9.0.30729

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148        Microsoft Corporation        27.08.2011        0,22MB        9.0.30729.4148

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4974        Microsoft Corporation        26.08.2011        0,58MB        9.0.30729.4974

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161        Microsoft Corporation        02.09.2011        0,59MB        9.0.30729.6161

Microsoft Visual C++ 2010  x64 Redistributable - 10.0.40219        Microsoft Corporation        01.11.2011        13,8MB        10.0.40219

Microsoft Visual C++ 2010  x64 Runtime - 10.0.40219        Microsoft Corporation        26.10.2011        33,5MB        10.0.40219

Microsoft Visual C++ 2010  x86 Runtime - 10.0.40219        Microsoft Corporation        26.10.2011        26,3MB        10.0.40219

Microsoft Visual Studio 2010 ADO.NET Entity Framework Tools        Microsoft Corporation        26.10.2011        34,2MB        10.0.40219

Microsoft Visual Studio 2010 Express Prerequisites x64 - ENU        Microsoft Corporation        26.10.2011        21,6MB        10.0.40219

Microsoft Visual Studio 2010 Service Pack 1        Microsoft Corporation        26.10.2011        76,0MB        10.0.40219

Microsoft Visual Studio 2010 Tools for Office Runtime (x64)        Microsoft Corporation        17.12.2011                10.0.31119

Microsoft Windows Application Compatibility Database                12.12.2011                

MiniTool Partition Wizard Home Edition 6.0        MiniTool Solution Ltd.        26.08.2011        21,5MB        

Miranda Fusion 3.1.11.0        Miranda Fusion Team        21.03.2012        27,5MB        3.1.11.0

Mouse        lucidcode        05.02.2012        0,42MB        1.0.6

Mozilla Firefox 11.0 (x86 de)        Mozilla        19.03.2012        37,3MB        11.0

MSXML 4.0 SP2 (KB954430)        Microsoft Corporation        01.09.2011        1,28MB        4.20.9870.0

MSXML 4.0 SP2 (KB973688)        Microsoft Corporation        01.09.2011        1,33MB        4.20.9876.0

Nano AVIConverter 1.1.7                20.03.2012                1.1.7

NetBeans IDE 7.0.1        NetBeans.org        23.10.2011                7.0.1

NVIDIA PhysX v8.10.17        NVIDIA Corporation        13.09.2011        119,4MB        8.10.17

OpenAL                30.08.2011                

OpenTK 1.0        The Open Toolkit team        09.04.2011                1.0

PandoraRecovery (Remove Only)                28.11.2011                

Plants vs. Zombies: Game of the Year        PopCap        10.02.2012                        

QuickTime        Apple Inc.        18.01.2012        73,3MB        7.71.80.42

RAIDXpert        AMD        26.08.2011        117,8MB        3.3.1540.7

Realtek Ethernet Controller Driver        Realtek        26.08.2011                7.38.113.2011

Skype™ 5.5        Skype Technologies S.A.        12.12.2011        19,1MB        5.5.124

SpeedFan (remove only)                26.09.2011                

Star Trek Online        Cryptic Studios        13.02.2012                

Steam        Valve Corporation        28.08.2011        35,5MB        1.0.0.0

SUPER © v2011.build.49 (July 1st, 2011) Version v2011.build.49        eRightSoft        10.09.2011        42,7MB        v2011.build.49

Team Fortress 2        Valve        22.12.2011                

Unreal Tournament 2004        Epic Games        03.12.2011                1.00.0000

Visual Studio 2010 Tools for SQL Server Compact 3.5 SP2 ENU        Microsoft Corporation        26.08.2011        10,8MB        4.0.8080.0

VLC media player 2.0.1        VideoLAN        21.03.2012                2.0.1

VueScan                02.09.2011                

Winamp        Nullsoft, Inc        26.08.2011                5.621 

Winamp Detector Plug-in        Nullsoft, Inc        26.08.2011        75,00KB        1.0.0.1

Windows Live Essentials        Microsoft Corporation        03.09.2011                15.4.3538.0513

WinRAR 4.01 (64-Bit)        win.rar GmbH        31.08.2011                4.01.0

X3: Albion Prelude                14.12.2011                

X3: Terran Conflict        Egosoft        28.08.2011                

X3TC Bonuspaket 4.1.01        Egosoft        29.08.2011                4.1.01

XAMPP 1.7.7                23.10.2011                
 

Bekannt - Nicht benötigt:

HD Tune 2.55        EFD Software        26.08.2011                

HD Tune Pro 4.61        EFD Software        26.08.2011        2,68MB        

Wisdom-soft AutoScreenRecorder 3.1 Free                09.04.2011        

VHD Attach 1.00        Josip Medved        26.08.2011        

Apple Software Update        Apple Inc.        18.01.2012        2,38MB        2.1.3.127        

CrystalDiskInfo 4.1.4        Crystal Dew World        14.12.2011        3,26MB        4.1.4

CrystalDiskMark 3.0.1b        Crystal Dew World        26.08.2011        2,55MB        3.0.1b

Habe auf meinem PC hauptsächlich Programmier-tools, einige Spiele, Zeichenprogramme für mein Grafiktablet sowie ein paar andere diverse tools. Lediglich einige der diversen tools brauche ich nicht mehr wirklich, hauptsächlich Festplatten Überwachung weil diese nicht mit RAID zusammen arbeiten können.

da hätten wir ne mögliche infektions quelle, veraltetes java.
deinstaliere:
Java
Download der kostenlosen Java-Software
downloade java jre, instalieren.

und die nicht benötigten weg.
öffne ccleaner, analysieren, ccleaner starten.
öffne otl, bereinigen neustarten.

Java ist veraltet, Tatsache. Normalerweise achte ich darauf sowas aktuell zu halten aber da ist mir wohl irgendwann mal was entgangen.

Ich bedanke mich erstmal für die hilfe, ich hatte zwar ursprünglich eher vor zu versuchen Informationen für andere bereitzustellen aber etwas professionelle Unterstützung kann ja nicht schaden.

Zumindest denke ich mal das mein PC jetzt nicht noch noch sauberer wird, oder gibt es noch was zu tun?

hi, naja, dein pc hat leider keine weiteren nützlichen infos hergegeben, dass sample kannte ich schon (datei beschreibung ist übrigens frei erfunden) hat ja keine digitale signatur, aber das macht ja nichts
du könntest deinen pc noch absichern:
als antimalware programm würde ich emsisoft empfehlen.
diese haben für mich den besten schutz kostet aber etwas.
http://www.trojaner-board.de/103809-...i-malware.html
testversion:
Meine Antivirus-Empfehlung: Emsisoft Anti-Malware
insbesondere wenn du onlinebanking, einkäufe, sonstige zahlungsabwicklungen oder ähnlich wichtiges, wie zb berufliches machst, also sensible daten zu schützen sind, solltest du in sicherheitssoftware investieren.
vor dem aktivieren der lizenz die 30 tage testzeitraum ausnutzen.

kostenlos, aber eben nicht ganz so gut wäre avast zu empfehlen.
http://www.trojaner-board.de/110895-...antivirus.html

sag mir welches du nutzt, dann gebe ich konfigurationshinweise.
bitte dein bisheriges av deinstalieren
die folgende anleitung ist umfangreich, dass ist mir klar, sie sollte aber umgesetzt werden, da nur dann dein pc sicher ist. stelle so viele fragen wie nötig, ich arbeite gern alles mit dir durch!

http://www.trojaner-board.de/96344-a...-rechners.html
Starte bitte mit der Passage, Windows Vista und Windows 7
Bitte beginne damit, Windows Updates zu instalieren.
Am besten geht dies, wenn du über Start, Suchen gehst, und dort Windows Updates eingibst.
Prüfe unter "Einstellungen ändern" dass folgendes ausgewählt ist:
- Updates automatisch Instalieren,
- Täglich
- Uhrzeit wählen
- Bitte den gesammten rest anhaken, außer:
- detailierte benachichtungen anzeigen, wenn neue Microsoft software verfügbar ist.
Klicke jetzt die Schaltfläche "OK"
Klicke jetzt "nach Updates suchen".
Bitte instaliere zunächst wichtige Updates.
Es wird nötig sein, den PC zwischendurch neu zu starten. falls dies der Fall ist, musst du erneut über Start, Suchen, Windows Update aufrufen, auf Updates suchen klicken und die nächsten instalieren.
Mache das selbe bitte mit den optionalen Updates.
Bitte übernimm den rest so, wie es im Abschnitt windows 7 / Vista zu lesen ist.
aus dem Abschnitt xp, bitte den punkt "datenausführungsverhinderung, dep" übernehmen.
als browser rate ich dir zu chrome:
Installation von Google Chrome für mehrere Nutzerkonten - Google Chrome-Hilfe
anleitung lesen bitte
falls du nen andern nutzen willst, sags mir dann muss ich teile der nun folgenden anleitung

Sandboxie
Die devinition einer Sandbox ist hier nachzulesen:
Sandbox
Kurz gesagt, man kann Programme fast 100 %ig isuliert vom System ausführen.

Der Vorteil liegt klar auf der Hand, wenn über den Browser Schadcode eingeschläust wird, kann dieser nicht nach außen dringen.
Download Link:
Sandboxie Download - Sandboxie 3.66

anleitung:
http://www.trojaner-board.de/71542-a...sandboxie.html
ausführliche anleitung als pdf, auch abarbeiten:
Sandbox Einstellungen |

bitte folgende zusatz konfiguration machen:
sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen.
dort klicke auf sandbox einstellungen.
beschrenkungen, bei programm start und internet zugriff schreibe:
chrome.exe
dann gehe auf anwendungen, webbrowser, chrome.
dort aktiviere alles außer gesammten profil ordner freigeben.
Wie du evtl. schon gesehen hast, kannst du einige Funktionen nicht nutzen.
Dies ist nur in der Vollversion nötig, zu deren Kauf ich dir rate.
Du kannst zb unter "Erzwungene Programmstarts" festlegen, dass alle Browser in der Sandbox starten.
Ansonsten musst du immer auf "Sandboxed webbrowser" klicken bzw Rechtsklick, in Sandboxie starten.
Eine lebenslange Lizenz kostet 30 €, und ist auf allen deinen PC's nutzbar.

Weiter mit:
Maßnahmen für ALLE Windows-Versionen
alles komplett durcharbeiten
anmerkung zu file hippo.
in den settings zusätzlich auswählen:
Run updateChecker
when Windows starts

Backup Programm:
in meiner Anleitung ist bereits ein Backup Programm verlinkt, als Alternative bietet sich auch das Windows eigene Backup Programm an:
http://www.trojaner-board.de/82962-w...en-backup.html
Dies ist aber leider nur für Windows 7 Nutzer vernünftig nutzbar.
Alle Anderen sollten sich aber auf jeden fall auch ein Backup Programm instalieren, denn dies kann unter Umständen sehr wichtig sein, zum Beispiel, wenn die Festplatte einmal kaputt ist.

Zum Schluss, die allgemeinen sicherheitstipps beachten, wenn es dich betrifft, den Tipp zum Onlinebanking beachten und alle Passwörter ändern
bitte auch lesen, wie mache ich programme für alle sichtbar:
Programme für alle Konten nutzbar machen - PCtipp.ch - Praxis & Hilfe
surfe jetzt also nur noch im standard nutzer konto und dort in der sandbox.
wenn du die kostenlose version nutzt, dann mit klick auf sandboxed web browser, wenn du die bezahlversion hast, kannst du erzwungene programm starts festlegen, dann wird sandboxie immer gestartet wenn du nen browser aufrufst.
wenn du mit der maus über den browser fährst sollte der eingerahmt sein, dann bist du im sandboxed web browser

Nun das ist ein bisschen sehr viel zum durcharbeiten, zu mal ich mich aktuell um einen Job kümmern muss. Es ist aber offensichtlich Fakt das die Zeiten des sicheren W7 vorbei sind und das etwas mehr Prävention nicht schaden könnte, also bin ich gerne bereit die Zeit zu investieren.
Anstatt alles in einem rutsch zu machen werde ich mich da systematisch in Schritten durcharbeiten. Ich hab den Beitrag schon einmal komplett gelesen und hake schonmal einige Sachen ab, und lass auch die eine oder andere Frage hier.

Kleine nebeninformation zu mir selbst: ich habe vor kurzem mein Abitur mit einer informationstechnischen Ausbildung abgeschlossen und hab viel mit Technik zu tun. Ich vertrage also ein bisschen Fachsprache, es gibt also auch keinen Grund mich mit Details zu verschonen wenn ich was nicht/falsch verstehe :killpc:

Zu meinem System:
Windows 7
Avast Free
Firefox

Zu Windows Updates:
Mein PC ist auf dem neuesten Stand und alle einstellungen sind so eingestellt. Außer das ich Windows Update auf "Updates Herunterladen, aber Installation manuell durchführen" eingestellt habe, das aber auch lediglich weil ich regelmäßig zu verschiedenen Zeiten mit dem PC arbeite und ein eigenwillig neustartender PC mehr schaden als alles andere anrichtet. Ich habe aber von je her darauf geachtet alle Updates noch am selben tag zu installieren, nur eben zu einem moment an dem der Neustart nicht stört, es kommt also aufs selbe raus, wenn die Updates nicht sogar noch schneller drauf sind.

Backups:
Ich nutze bereits die Windows 7 interne Backup Funktion, es wird aber wohl in kürze Zeit für das nächste Backup. Zudem ist meine Systemplatte in einem RAID1 Verbund, also 100% Redundanz, die Festplatten sind der selbe Typ aber aus unterschiedlicher Produktion, es ist also auf so ziemlich alles geachtet.

Browser:
Ich verwende wie oben genannt Firefox und das aus vielen Gründen. Die Idee mit der Sandbox ist aber schon sehr einleuchtend, die Anleitung dazu werde ich mir definitiv noch durchlesen.

Antivirenprogramm:
Wie ebenfalls oben genannt verwende ich Avast und bin an sich sehr zufrieden damit, es steht ja auch in deiner Empfehlung für eine freie alternative. Ich habe zwar mehr als genug Geld um für kostenpflichtige Software aufzukommen allerdings noch kein gesichertes einkommen, bin also etwas vorsichtig bezüglich dem Kauf von Sachen für die ich immer wieder bezahlen muss. Ich ziehe es zwar definitiv in Erwägung aber bin mir noch nicht sicher.
Kleine Frage hierzu, was ist mit der Premium Version von Avast wenn die freie schon akzeptabel ist?

Konto:
Der PC wird ausschließlich von mir verwendet, andere Konten gibt es nicht.
Wie in einem post vorher schon erwähnt habe ich es mir zur Angewohnheit gemacht das Hauptadministrator Konto zu verwenden, was viele Gründe hat. Vor allem das ich in meinen diversen Tätigkeiten ständig in Probleme gelaufen bin wenn ich auch nur ein normales Administrator Konto verwende. Windows 7 geht da schon wesentlich besser mit um als XP oder gar Vista aber da ich mit meinem PC viel und in vielen Bereichen arbeite ist es schon ein sehr großes Problem wenn Windows mir beim Arbeiten ständig Probleme bereitet, ich möchte mir die Erfahrung eines eingeschränkten Kontos nichtmal so wirklich vorstellen.

Dazu noch ne frage: Gehe ich richtig in der annahme das ein Virus mir nicht den Task-Manager über dieses Konto sperren kann wenn ich jenes Konto verwende?

Benutzerkontensteuerung:
Hier habe ich die Einstellungen zeitweise runtergesetzt weil auch diese mich gerne mal hin und wieder am arbeiten und vor allem am programmieren gehindert hat. Ich werde es erstmal ne zeit mit der maximalen Einstellung versuchen und mal sehen wie es läuft, ich hoffe einfach das es nicht wieder Problem damit gibt. Das ist aber eine Weile her also mögen Updates da viel positive Veränderung mit sich gebracht haben, was ich hoffe.

hi,
avast premium würd ich nicht kaufen, da gibts bessere alternativen wie emsisoft.
na als richtiger admin würd ich schon gar nicht arbeiten, du öffnest damit schadsoftware tür und thor.
"Dazu noch ne frage: Gehe ich richtig in der annahme das ein Virus mir nicht den Task-Manager über dieses Konto sperren kann wenn ich jenes Konto verwende?"
auf welches konto ist deine frage bezogen?

Kurz zur Sandbox:
Ich habe das Program mal installiert und ausprobiert und kann sagen ich bin ziemlich begeistert. Alles funktioniert reibungslos und Firefox kommt mir eher schneller als langsamer vor.
Firefox immer in der Sandbox zu starten ist auch kein Problem da ich das Logo in der Startleiste einfach austauschen kann, so das ich die Sandbox im Endeffekt nicht mal bemerke.

Das die Verwendung des Hauptadmin Kontos mir nicht gerade Sicherheit beschert weiß ich ja, ich sollte mich vermutlich mal ausgiebiger mit den pros und cons beschäftigen um abzuwägen ob ich dieses Risiko weiter eingehen will.

So wie ich das verstanden habe missbraucht manche Schadsoftware den Hauptadmin account um anderen accounts den Zugriff auf Sachen wie den Task-Manager zu verwehren sowie systemweitere Veränderungen vorzunehmen als anderen Kontos möglich, was vermutlich besonders dann einfach ist wenn dieser wie unter Normalzuständen kein Passwort verfügt.
Und mal ehrlich, wer von den normalen PC-Nutzern hat auf seinem Hauptadmin account ein Passwort oder hat das Konto auch nur je gesehen? Sollte ein eigenes Passwort für dieses Konto nicht eine der ersten sicherheitsmaßnahmen sein?

Wenn das Hauptadmin Konto kein Passwort hat dürfte die Verwendung eines anderen Kontos wohl kaum einen Unterschied machen wenn der Virus das Hauptadmin Konto eh problemlos verwenden kann. Sehe ich das alles richtig oder ist da irgendwo ein denkfehler?

Und nochmal zu der Frage in deinem Post:
Der Hauptadmin account sollte nicht in der Lage sein sich selbst den Zugriff auf etwas wie den Task-Manager zu verwehren, oder?