Weil Malware mit Adminrechten gestartet auch alles machen kann und das System dann infiziert ist!

Indem Du zum Surfen und für andere alltägliche Dinge mit eingeschränkten Rechten unterwegs bist - wenn Du was administrieren willst meldest Du Dich als Admin an!
Aber ständig als Admin arbeiten ist so, als würdest Du ständig mit geladener Schusswaffe herumlaufen, weil Du irgendwann mal 1x im Monat auf die Jagd gehst!

Aber ich merk es, ich hab das schon so vielen verschiedenen Windows-Usern versucht zu erzählen. KEINER will auf seine Adminrechte verzichten, weil das Sicherheitskonzept was dahintersteckt nicht verstanden oder einfach ignoriert wird. MS hat da ganze Arbeit getan und jeden 0815-User falsch erzogen!

Also ich habe nun die Kaspersky Rescue CD drin und mache mal einen durchlauf. mal gespannt was dabei rauskommt

Sehr gut!! :daumenhoc

Denk dran Kaspersky zu aktualisieren wenn der Start von der CD durch ist!!

Poste bitte die Ergebnisse zuerst, bitte noch nichts entfernen falls was gefunden wird, nur in Absprache mit mir.
Grund ist, dass eine evtl. veränderte Systemdatei gelöscht werden könnte und dadurch Dein Windows nicht mehr hochfährt.

ja, hab direkt aktualisiert udn auch eingestellt, dass er nichts löscht sondern am ende nachfragt. werde mich dann wieder melden, das dauert jetzt bestimmt ein bisschen ;)

hallo,

ich habe mal einen avz scan durchgeführt.

logs im anhang (den 1. scan habe ich ausversehen vom desktop laufen lassen , sry)

schönen gruß :)


//edit:
hab gerade in diesem thread was interessantes darüber erfahren
http://www.trojaner-board.de/87837-i...er-runter.html

und zwar die dort benannten seite kenne ich auch, als ich geschaut habe was mit meinem IE los ist, wurde ich gefragt ob ich die letzte session nochmal öffnen möchte, da habe ich natürlich ja angeklickt, weil ich mir nicht bewusst war, dass der IE noch abgestürzte oder aktive sessions aufhaben könne. diese dort benannte seite yadaying öffnete sich..
allerdings habe ich keine werbepopups o.ä.
sehr merkwürdig

//edit. kaspersky leider nicht geschafft. erst vor kurzem aus der uni gekommen.

gruß

also irgendwie hängt kaspersky schon seit eigkeiten bei 75% rum und es kommt mir so vor dass er ständig nur noch die selben dateien durchgeht.. ich kann leider den kompletten pfad nicht sehen, da steth nur C:/...//whdata/whfdata oder sowas.. dann kommen wieder andere dateien und dann siehts wieder so aus.. irgendwie immer das gleiche.

das war alles. unfassbar

Hallo,

Ich habe nun alleine versucht das Problem zu lösen und glaube erfolgreich gewesen zu sein. Und zwar mit dem Bootkit Remover:

hxxp://www.esagelab.com/files/bootkit_remover.rar

Einfach die exe starten und sehen, ob ein ungewöhnlicher Eintrag gemeldet wird - war bei mir der Fall. Dann ne *.bat Datei mit folgendem Inhalt erzeugen

Das fett gedruckte muss entsprechend der Meldung von remover.exe angepasst werden, der Eintrag kann aber auch schon stimmen.

Als letztes wird die Bat Datein einmal ausgeführt und Neugestartet.

Wer das Problem auch noch hat kann es ja mal ausprobieren - will aber cosinus nicht in seine Lösungsstrategie reinpfuschen.

Bei mir taucht nach dem fix durch den remover kein iexplore mehr auf, auch der wave Kanal bleibt offen.

Beste Grüße
cosh

kann das jemand 2tes soweit bestätigen?

Gibts es sonst neuigkeiten?

Bin heute noch nicht dazu gekommen etwas auszuprobieren.

Bzgl. der erziehung von MS. Ich hab das einfach so gelassen wie es ist.. das war nun mal so mit den admin rechten.... wenn ich mein System mal wieder neumache, dann werd ich das entsprechend ändern.

naja, ich meine..

wenn man ein problem hat, das durch irgendwas verschwindet, man aber nicht weiß wo es herkam und somit auch nicht sagen kann, ob es wirklich weg ist.
also wenn man die ursache nicht kennt, ist das alles keine wirkliche lösung.

ich würde lieber wissen wo sich das ding versteckt und wo es herkommt.


//edit: wonach haltet ihr ihn den logs eigl. ausschau? kennt ihr alle prozesse und schaut ob irgendwas unbekanntes auftaucht?

Naja, ganz so ins Blaue hinein war das nicht:

hxxp://www.techspot.com/vb/topic149396.html

ab Beitrag #8

Aber wie gesagt ich will da keinem reinreden - inwieweit diese Lösung perfekt ist weiß ich nicht, mich stellt sie zufrieden.

Viel Erfolg noch und Besten Gruß
cosh

Wie es aussieht ist es wohl ein (neueres?) Bootkit.

@cosh: Hast Du noch die genaue Meldung vom BootkitRemover vor dem Fixen mit der Batch?

was bedeutet "neueres" bootkit?

Was ein Bootkit ist, hättest Du durch Google erfahren => Bootkit ? Wikipedia

Nein, tut mir leid - Sinngemäß stand dort in orangener Schrift, das unbekannte oder unübliche Einträge gefunden wurden.