|
Thinkpoint entfernung noch möglich? Hallo erstmal, Habe folgenden Fall: - Jemand hat auf dem Familienrechner Thinkpoint installiert/ausgeführt(unbewusst oder bewusst weis ich nicht) - Es wurde ein Fullscan durchgeführt - Habe Avira AntiVir durchlaufen lassen: -> explorer.exe und andere infizierte Dateien gefunden -> Dateien lassen sich nicht entfernen/verschieben - Eine wininit.exe läuft im Taskmanager mit die sich nicht ohne sofortiges Herunterfahren schließen lässt Ich habe bereits folgendes gemacht/gelöscht: - hotfix.exe gelöscht - beiliegende Dateien von hotfix die lose im Ordner lagen gelöscht - Installation der benötigten Tools via Load.exe - Programme bis TFC installiert Resultat: - PC immernoch geblockt durch schwarzen Screen - Programme können teilweise über taskmanager.exe ausgeführt werden - Bei der Installation von TFC entsteht ein Bluescreen und alles beginnt von vorne Ich hoffe mal alles ist vernünftig von mir beschrieben wurde und mir geholfen werden könnte. Zur behandlung steht evtl. noch mein eigener PC zur verfügung mit einem CD Brenner Gruß Pierre |
Ich glaube ich kenne auch den Ursprung von Thinkpoint |
hast du den link für mich? wenn ja als persönliche nachicht. download: http://filepony.de/download-otlpe/ und brenne es mit ISOBurner auf eine CD. Active@ ISO Burner. Data CD DVD burning software. Write ISO image to CD,DVD,CD-RW,CDR,DVD-RW. • Wenn der Download fertig ist mache ein doppel Klick auf die Datei, was ISOBurner öffnet um es auf die CD zu brennen. Starte dein System neu und boote von der CD die du gerade erstellt hast. Wenn du nicht weist wie du deinen Computer dazu bringst von der CD zu booten, http://www.trojaner-board.de/81857-c...cd-booten.html • Dein System sollte jetzt einen REATOGO-X-PE Desktop anzeigen. • Mache einen doppel Klick auf das OTLPE Icon. • Wenn du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes. • Wenn du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes. • entferne den haken bei "Automatically Load All Remaining Users" wenn er gesetzt ist. • OTL sollte nun starten. • Drücke Run Scan um den Scan zu starten. • Wenn er fertig ist werden die Dateien in C:\otl.txt gesichert • Kopiere diesen Ordner auf deinen USB-Stick wenn du keine Internetverbindung auf diesem System hast. poste beide logs |
Ich muss nochmal einen Scan machen. OTL hat die falsche Platte gescannt sehe ich. |
starte den pc mal in den abgesicherten modus ohne netzwerk. an deinem zweiten nicht infizierten rechner lade combofix. bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix kopiere es auf den infizierten rechner und führe es, falls es funktioniert, aus. log posten. |
ComboFix konnte auf den infizierten Rechner ausgeführt werden und führte zu folgenden: -MSG: MBR infiziert -MSG: Rootkitaktivität festgestellt -ComboFix führt Neustart aus -Beim Hochfahren Bluescreen -Erneutes Hochfahren im abgesicherten Modus -ComboFix führt fort -ComboFix startet Rechner neu nach entfernung von infizierten Dateinen -Rechner scheint wieder normalen zustand erreicht zu haben Combofix Logfile: Code: ComboFix 10-11-07.A2 - FlexxicE 09.11.2010 17:21:05.1.2 - x86 MINIMAL |
start programme zubehör editor, kopiere rein: Killall:: Rootkit:: c:\windows\system32\drivers\yjzwz.sys Driver:: yjzwz Datei speichern unter, ort dort wo sich combofix befindet, typ, alle dateien, name cfscript.txt schalte alle programme, auch avira guard ab, ziehe cfscript auf combofix, programm startet, log posten. öffne dann mein computer, c: qoobox, rechtsklick auf quarantain und zu quarantain.rar oder zip hinzufügen, archiv hochladen. dateiupload: http://www.trojaner-board.de/54791-a...ner-board.html |
Datei habe ich nun via UploadChannel hochgeladen, doch wurde mir beim .rar Archive erstellen folgendes angezeigt: ! Quarantine.zip: Konnte Quarantine\C\Windows\explorer.exe.vir nicht öffnen. ! Zugriff verweigert ! Quarantine.zip: Konnte Quarantine\C\Windows\System32\wininit.exe.vir nicht öffnen. ! Zugriff verweigert Hier noch der CombatFix Log: Combofix Logfile: Code: ComboFix 10-11-07.A2 - FlexxicE 09.11.2010 18:02:26.2.2 - x86 |
öffne mal malwarebytes und poste dein scan log. machst du onlinebanking oder einkäufe? |
Auf diesen PC wird Onlinebanking betrieben. Ich lasse ausserdem gerade Malewarebytes einen Fullscan für C ausführen |
hi, dann rufe unbedingt die bank an, du hattest ein bootkit, dieses hatte die volle kontrolle über dein system und konnte alles auslesen und tun. darin liegt auch das problem, ich kann nicht dafür garantieren das wir alle enderungen finden, die gemacht wurden, nur wirklich sicher gehen kanns du bei daten sichern, + neu aufsetzen, wenn du das nicht tust, bleibt ein risiko. die entscheidung musst du treffen, aber bedenke das du mit deinem geld an diesem pc arbeitest. wenn du formatierst, zeige ich dir wege auf, den pc besser zu schützen |
Also das Onlinebanking ist über HBCI geregelt mit .key Dateien auf einem USB-Stick. Wie soll ich vorgehen? |
naja wie gesagt, um ganz sicher zu gehen solltest du neu aufsetzen. tipps bekommst du natürlich und die entscheidung is dir überlassen. |
Bevor ich dann aber alles neu aufsetze, muss ich erst noch einen haufen an Datein sichern. Kann ich für die Sicherung C partionieren und die relevanten Daten von C auf die neue Partion legen? Bzw. wie kann ich sicher gehen das ich keine Trojaner etc. mitkopiere? |
also du kannst deine daten sichern, dann, wenn du fertig bist, sag bescheid und ich gebe dir weitere anweisungen. befor du dann auf dem neuen system auf die daten zugreifst, scanne die dann mit deinem antivirus programm. aber wie gesagt, erst mal sichern. |
Mache mich dann mal an die Sicherung |
Hier noch der geforderte MB Log Zitat:
|
ok wenn du mit der sicherung fertig bist, sag bescheid. |
Bin nun endlich soweit, dass der PC frisch formatiert ist ^^, warte somit auf weitere Anweisungen. |
du solltest nur noch als eingeschrenkter nutzer arbeiten , das admin konto ist nur für instalationen gedacht. klicke start, tippe unter suchen (ausführen) systemsteuerung. wähle dort Benutzerkonten hinzufügen/entfernen. wähle "neues konto erstellen" Wähle standard benutzer. die uac sollte auf maximum stehen. klicke auf start, ausführen (suchen) tippe uac enter nachfrage bestätigen, regler auf höchste stufe. so ist es schwiriger heimlich etwas auf dem pc zu instalieren. die folgenden konfigurationen als administrator durchführen dep für alle prozesse: Datenausführungsverhinderung (DEP) • "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:". wenn es zu problemen kommen sollte, kann man die betroffenen prozesse aus der Überwachung entfernen. SEHOP aktivieren: Aktivieren von SEHOP (Structured Exception Handling Overwrite Protection) in Windows-Betriebssystemen klicke auf "Feature automatisch aktivieren" und folge den anweisungen avira genauestens nach anleitung instalieren: http://www.trojaner-board.de/54192-a...tellungen.html achte darauf, das der auftrag im planer wirklich über lokale laufwerke läuft, sonst werden scan einstellungen nicht gültig. unter avira, konfiguration, guard, autostart, haken raus lassen. als browser solltest du den opera nutzen, er ist sicherer und schneller. wenn er dir nicht gefällt passe ich meine anleitung für den ff an. wenn er dir gefällt, deinstaliere den firefox. Opera Webbrowser | Schneller & sicherer | Die neuen Internet-Browser kostenlos herunterladen mit diesem tool lässt sich ein werbeblocker laden mit diesem tool lässt sich ein werbeblocker laden Opera URLFilter Downloader ? OperaWiki dies sollte 1x pro woche durchgeführt werden. zusätzlich kannst du das auch manuell erledigen, falls mal etwas nicht geblockt wird: Computerbase - Werbung blockieren auch diese tutorial seite mal ansehen. Opera Tutorial- Übersicht hier besonders die abschnitte sicherheit (kookies) und passwort durchlesen um das surfen sicherer zu machen, würde ich sandboxie empfehlen. Download: http://filepony.de/download-sandboxie/ anleitung: drop.io (als pdf) hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar. den direkten datei zugriff bitte auf opera beschrenken, bei Internetzugriff: opera.exe öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung. dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok. somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern. wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen. 1. es gibt dann noch ein paar mehr funktionen. 2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig. 3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen. autorun deaktivieren: über diesen weg werden sehr häufig schaddateien verbreitet, schalte die funktion also ab. Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de usb sticks, festplatten etc, sollte man mit panda vaccine impfen: ANTIMALWARE: Panda USB Vaccine - Download FREE - PANDA SECURITY so holt man sich keine infektionen ins haus, wenn man mal die festplatte etc verleit. hake an: hake an: run panda usb vaccine automatically when computer boots automatically vaccine any new insert usb key enable ntfs file suport Updates sind für dein system genauso wichtig, wie ein antivirenscanner. Sehr häufig gelangen schädlinge nur aufs system, weil der user veraltete software nutzt. instaliere die folgenden update checker. Secunia: http://www.trojaner-board.de/83959-s...ector-psi.html und file hippo update checker: FileHippo.com Update Checker - FileHippo.com das file Hippo Symbol wird im infobereich neben der uhr auftauchen, mache bitte nen rechtsklick darauf, wähle settings, results, setze einen haken bei "hide beta updates" klicke ok. dann doppelklicke file hippo, eine Internetseite wird geöffnet, auf der dier die aktuellsten updates gezeigt werden, diese downloaden und instalieren. Beide programme sollten im autostart bleiben, und sobald eines der programme updates anzeigt sollten diese umgehend instaliert werden. regelmäßige Backups des systems sind sehr wichtig, du weist nie, ob deine festplatte mal kaputt geht. Paragon Backup & Recovery Free Edition - Das Produkt außerdem kannst du, bei neuerlichem malware befall das system zurücksetzen. Das Backup sollte möglichst auf eine externe festplatte etc emacht werden, nicht auf die selbe, wo sich die zu sichernden daten befinden. Von sehr wichtigen Daten könnte man noch eine zusätzliche Sicherung auf dvds/cds erstellen, dazu könnte man auch wiederbeschreibbare verwenden (rws) falls die sammlung mal erneuert werden soll. aktiviere die windows updates, öffne dazu die windows update seite, einstellung, automatische updates aktivieren allgemeines. - verzichte auf tuning programme, sie bringen nichts. - keine illegalen downloads. 90 % bringen malware mit sich! - keine streaming seiten wie kino.to sie verbreiten malware. - wenn möglich, instalationen immer benutzerdefiniert ausführen, dann kannst du unnötiges zeug abwählen. instaliere jetzt die von dir benötigten programme. danach, bitte nur noch im standard nutzer konto einloggen, und dort in der sandbox surfen, mit klick auf "sandboxed web browser". diese einstellungen, sollten dich nun rund um schützen. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 19:03 Uhr. |
Copyright ©2000-2025, Trojaner-Board