|
Security Tool kann nicht entfernt werden! Hallo zusammen, ich habe ein großes Problem! Ich habe mir den Trojaner "Security Tool" gefangen, ein angebliches Sicherheitsprogramm, das mir dauernd Falschmeldungen zu angeblichem Virenbefall anzeigt! Ich habe schon versucht, Panda Security und den SpyDoctor zu installieren, aber das wird durch Security Tool geblockt! Einen sehr guten Beitrag zum Programm habe ich bereits hier ( h**p://www.trojaner-board.de/81432-securitytool-security-tool-entfernen.html ), auf dem Trojanerboard gefunden, aber ich konnte weder die hier zum Download gestellte Datei "rkill" öffnen, noch die zweite Datei "iExplore"! Gleiches gilt leider für das hier empfohlene Malwayre-Programm "MalwareBytes"! Ich weiß nicht mehr, was ich noch versuchen könnte, weil ich überhaupt nicht mehr ins Internet komme, und noch nichtmal simple Dinge, wie den Taskmanager öffnen kann! Hat sich Security Tool selbst irgendwie ein Update verpasst oder warum ist das bei mir so hartnäckig?? Ich bin echt am Verzweifeln!!! :eek: |
Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten: Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD. Lade  OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
Bebilderte Anleitung: OTLpe-Scan
|
Danke schonmal für die schnelle Antwort! Ich bin aber leider am Wochenende jetzt nicht zu Hause! Sobald ich wieder da bin, mache ich diesen Versuch und poste dann hier das Ergebnis.... Mal schauen.... |
jo, das machen wir schon :-) |
Hallo, also ich habs irgendwie eben noch nicht hinbekommen, die Datei auf die CD zu brennen! Was hätte ich denn beim Brennen mit dem ISO-Programm genau drücken müssen?? Ich dachte, es hätte geklappt, aber die CD wurde im Explorer als leer angezeigt.... Ich wollte nun eben von der CD booten, was nicht geklappt hat! Dadurch bin ich allerdings in den Abgesicherten Modus gekommen, über den ich arbeiten kann! Jetzt versuche ich mal, Security Tool so mit MalwareBytes zu löschen! Ich schreib dann morgen, wie es gelaufen ist, weil ich heute hier nicht mehr ins Internet komme.... Würde mich freuen, wenn man mir das mit dem ISO-Programm mal erklären könnte! :P |
Also, ich war im Abgesicherten Modus drin und hab den Malware Bytes-Scan gemacht! Damit wurde auch Security Tool gefunden und ich habs entfernt! Als ich dann den PC normal gestartet habe, war es aber immernoch da.... Kann mir nochmal genau beschrieben werden, wie ich das mit dem Brennen mache, weil mein PC bootet automatisch zuerst von der CD! So stehts zumindest in den Einstellungen im Boot-Menu..... |
kannst du das malwarebytes log mal posten, aus dem abgesicherten modus heraus? hast du ein 32 bit system? wenn ja nutze mal combofix im abges.modus und poste das log bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
Gute News und Danke schonmal!!! Ich habe nun noch ComboFix laufen lassen und jetzt ist SecurityTool weg...... Beim Normalstart von Windows danach kam nichts mehr und ich kann auch wieder über den Firefox-Browser ins Internet!!! Hier das Malwarebytes-log: Code: Malwarebytes' Anti-Malware 1.46Code: ComboFix 10-11-23.01 - Lars 23.11.2010 21:01:26.1.1 - x86 NETWORKAlso ich mein, SecurityTool ist weg, aber kann ich jetzt wieder OnlineBanking machen oder nicht? Kann man das irgendwie an den beiden logs erkennen? P.S. Nur nochmal zur Erinnerung: Nach dem Malwarbytes-Scan war SecurityTool noch nicht weg! |
öffne den arbeitsplatz, c: dann rechtsklick auf qoobox, mit winrar oder zip packen, hochladen http://www.trojaner-board.de/54791-a...ner-board.html |
Okay, hab die Datei hochgeladen..... Von meinem Avira AntiVir kam aber jetzt nochmal folgende Meldung: Code: Die Datei 'C:\Dokumente und Einstellungen\Lars\Lokale Einstellungen\temp\17.tmp' |
update mal malwarebytes un mache nen komplett scan, funde löschen, log posten. |
Okay, also beim Suchlauf wurden 4 infizierte Dateien gefunden, 3 mal "Rogue.SecurityTool" und 1 mal "Trojan.Downloader"! Hier ist die log-Datei: Code: Malwarebytes' Anti-Malware 1.46 |
kannst du mal nen neustart machen und dann nen malwarebytes quick scan, will sehen ob er die dateien wirklich entfernen konnte. |
Keine Funde! Hier das log: Code: Malwarebytes' Anti-Malware 1.46 |
pc neustart start programme zubehör editor, kopiere rein: Killall:: Rootkit:: C:\Dokumente und Einstellungen\Lars\Startmenü\Programme\Autostart\chkntfs.exe Datei speichern unter, ort dort wo sich combofix.exe befindet. typ alle dateien, name cfscript.txt ziehe cfscript auf combofix, programm startet log posten |
Okay, habs so gemacht, wie gesagt. Bei Codierung stand beim Speichern ANSI (hoffe, das war richtig so). ComboFix hat diesmal während dem Scan den PC neugestartet! War das beim letztem Mal auch so? Kann nicht mehr dran erinnern... Jedenfalls ist hier mal die Logdatei: Code: ComboFix 10-11-24.01 - Lars 24.11.2010 22:04:15.3.1 - x86Gute Nacht und echt danke nochmal für die vielen Bemühungen!!! |
ok kannst du noch mal malwarebytes updaten und scannen, ein quick scan reicht hoffe es ist nu weg. |
Okay, mach ich dann später! Was war eigentlich dieses "Trojan.Downloader" beim Vollständigen Scan mit MalwareBytes? |
ich nehme an der installer für das security tool |
Mir wurden keine Funde angezeigt! Hier ist die Logdatei vom Quick-Scan: Code: Malwarebytes' Anti-Malware 1.46 |
das ist ja schon mal was :-) avira http://www.trojaner-board.de/54192-a...tellungen.html avira 10 so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm. klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten. bitte auch unter verwaltung, planer, scan auftrag, darauf achten, das dieser über lokale laufwerke läuft! sonst werden die einstellungen nicht gültig. den update auftrag auf 1x pro tag einstellen. |
Hab alles so gemacht, hatte ja AntiVir schon auf dem Rechner, hab dann noch die Konfiguration gemacht! Zwei Funde und hier ist die Logdatei: Code: Avira AntiVir Personal |
lade den ccleaner slim: Piriform - Builds falls der ccleaner bereits instaliert, überspringen. instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen. hinter, jedes von dir benötigte programm, schreibe notwendig. hinter, jedes, von dir nicht benötigte, unnötig. hinter, dir unbekannte, unbekannt. liste posten. |
Hier ist meine Liste: Code: ABBYY FineReader 5.0 Sprint ABBYY Software House 5.0.482.3421 - unbekannt |
deinstaliere: ABBYY FineReader Adobe Reader 9.1.2 ersetzen durch: Adobe - Adobe Reader herunterladen - Alle Versionen bitte den mcafee security scan nicht mit instalieren. öffne den adobe reader, bearbeiten, voreinstellungen, javascript, dort den haken raus, internet, ebenfalls alle haken raus. so werden keine pdfs mehr automatisch geladen und es kann dir kein schadcode mehr auf diese weise untergeschoben werden. unter allgemein, nur zertifizierte zusatzmodule verwenden anhaken. unter update, auf instalieren stellen. klicke übernehmen /ok Deinstaliere: Biolab Bonjour EA Download Manager Google Chrome ICQ Toolbar ICQ7.2 sollte durch einen schlankeren werbefreien multi messenger ersetzt werden! Miranda Fusion miranda ist mit beliebig vielen plugins erweiterbar, schlanker als icq, beherst mehr protokolle wie irc msn yahoo... und wie gesagt, werbefrei. wenn er dir gefällt, deinstaliere icq. iTunes benötigt ein update: Apple - iTunes - iTunes jetzt laden Java(TM) 6 Update 17 Java SE Downloads - Sun Developer Network (SDN) klicke auf download jre Microsoft Silverlight Microsoft Xbox 360 ist für deine xbox, falls du eine hast. Pdf995 Skype™ 4.1 öffne skype, update, version 5 instalieren. VLC media player updaten: VideoLAN - VLC media player - Open Source Multimedia Framework and Player alles von windows live wenn das erledigt ist, bereinige mit dem ccleaner dateien + registry. |
So, habe alles, wie beschrieben, gemacht und hat auch alles funktioniert! Registry und Dateien sind bereinigt... Was nun? |
probleme gibts keine mehr nehme ich an? dann würde ich noch, falls erwünscht, den pc n bissel absichern. |
Ja, wie sicher ich den PC am besten ab.... Ist Online Banking jetzt wieder machbar oder zu riskant? Eigentlich ist ja alles weg..... |
- windows update seite aufrufen, internet explorer 8 + sonstige wichtigen updates drauf. dep für alle prozesse: Datenausführungsverhinderung (DEP) • "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:". wenn es zu problemen kommen sollte, kann man die betroffenen prozesse aus der Überwachung entfernen. dienste konfigurieren: Windows-Dienste sicher konfigurieren und abschalten (Windows 7/Vista/XP/2000) - www.ntsvcfg.de download link ist hier http://ntsvcfg.de/svc2kxp.zip lies den abschnitt über die svc2kxp.md du solltest die methode 3 wählen, diese ist die sicherste. je weniger dienste der pc nach außen anbietet, desto besser. automatische windows updates sowie inteligenter hintergrundübertragunsdienst sollten schon aktiev sein, prüfe das bitte nachdem du das tool ausgeführt hast nach. start ausführen services.msc suche die beiden dienste und schaue ob der starttyp automatisch lautet, falls nicht, wähle den dienst aus, rechtsklick, eigenschaften, starttyp automatisch als browser solltest du den opera nutzen, er ist sicherer und schneller. wenn er dir nicht gefällt passe ich meine anleitung für den ff an. wenn er dir gefällt, deinstaliere den firefox. Opera Webbrowser | Schneller & sicherer | Die neuen Internet-Browser kostenlos herunterladen mit diesem tool lässt sich ein werbeblocker laden Opera URLFilter Downloader ? OperaWiki dies sollte 1x pro woche durchgeführt werden. zusätzlich kannst du das auch manuell erledigen, falls mal etwas nicht geblockt wird: Computerbase - Werbung blockieren auch diese tutorial seite mal ansehen. Opera Tutorial- Übersicht hier besonders die abschnitte sicherheit (kookies) und passwort durchlesen lesezeichen importieren: http://operawiki.de/wiki/Lesezeichen um das surfen sicherer zu machen, würde ich sandboxie empfehlen. Download: http://filepony.de/download-sandboxie/ anleitung: drop.io (als pdf) hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar. den direkten datei zugriff bitte auf opera beschrenken, bei Internetzugriff: opera.exe öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung. dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok. somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern. wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen. 1. es gibt dann noch ein paar mehr funktionen. 2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig. 3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen. autorun deaktivieren: über diesen weg werden sehr häufig schaddateien verbreitet, schalte die funktion also ab. Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de usb sticks, festplatten etc, sollte man mit panda vaccine impfen: ANTIMALWARE: Panda USB Vaccine - Download FREE - PANDA SECURITY so holt man sich keine infektionen ins haus, wenn man mal die festplatte etc verleit. hake an: hake an: run panda usb vaccine automatically when computer boots automatically vaccine any new insert usb key enable ntfs file suport Updates sind für dein system genauso wichtig, wie ein antivirenscanner. Sehr häufig gelangen schädlinge nur aufs system, weil der user veraltete software nutzt. instaliere die folgenden update checker. Secunia: http://www.trojaner-board.de/83959-s...ector-psi.html und file hippo update checker: FileHippo.com Update Checker - FileHippo.com das file Hippo Symbol wird im infobereich neben der uhr auftauchen, mache bitte nen rechtsklick darauf, wähle settings, results, setze einen haken bei "hide beta updates" klicke ok. dann doppelklicke file hippo, eine Internetseite wird geöffnet, auf der dier die aktuellsten updates gezeigt werden, diese downloaden und instalieren. Beide programme sollten im autostart bleiben, und sobald eines der programme updates anzeigt sollten diese umgehend instaliert werden. achtung: bei einigen programmen werden englische setups angeboten. das sollte man ersehen können, die setupdateien sollten ein .en oder .us enthalten. wenn dem so ist, sollte man beim hersteller schauen, dort gibts die deutschen setups zu laden. Falls du die hersteller seite nicht kennst, google wird bestimmt behilflich sein :-) regelmäßige Backups des systems sind sehr wichtig, du weist nie, ob deine festplatte mal kaputt geht. Paragon Backup & Recovery Free Edition - Das Produkt außerdem kannst du, bei neuerlichem malware befall das system zurücksetzen. Das Backup sollte möglichst auf eine externe festplatte etc emacht werden, nicht auf die selbe, wo sich die zu sichernden daten befinden. Von sehr wichtigen Daten könnte man noch eine zusätzliche Sicherung auf dvds/cds erstellen, dazu könnte man auch wiederbeschreibbare verwenden (rws) falls die sammlung mal erneuert werden soll. endere alle passwörter. surfe nur noch in der sandbox, mit klick auf sandboxed web browser. allgemeines. - verzichte auf tuning programme, sie bringen nichts. - keine illegalen downloads. 90 % bringen malware mit sich! - keine streaming seiten wie kino.to sie verbreiten malware. - wenn möglich, instalationen immer benutzerdefiniert ausführen, dann kannst du unnötiges zeug abwählen. online banking: ich würde zu online banking mit chipcard raten, dazu benötigst du, ein lesegerät, lasse dich von deiner bank beraten, es sollte aber mindestens ein klasse2 lesegerät sein, besser sogar ein klasse3 leser, das sind die besten für den privat kunden. Kartenlesegerät ? Wikipedia |
Okay, danke, ich werde das dann alles die Tage mal versuchen.... Ich mache mein OnlineBanking schon über dieses Lesegerät "TAN-Generator", ich weiß zwar nicht welcher Klasse, aber das müsste ja dann sicher sein, oder? Vielen, vielen Dank schonmal für alles!!!!!! |
ist das nen lesegerät mit tastatur? wenn du den link anklickst solltest du beschreibungen zu den klassen bekommen, oder vllt mal namen posten des gerätes. |
Hier ist mein Lesegerät zu finden: TAN Optimus comfort h**p://www.kobil.com/de/produkte/smartcard-terminal-technologie/tan-optimus-comfort.html Bin mir nicht sicher, welcher Sicherheitsklasse mein Gerät angehört... |
ist ein komfort leser, sehr gut. |
Okay, freut mich! Was ist denn daran genau "sehr gut"? Kann ich damit wieder Online Banking machen? Ich habe meinen Rechner jetzt quasi "rundum abgesichert" mit den Anweisungen von Seite 3! Nur Sandboxie funktioniert noch nicht so ganz, ich habe alles auf Opera begrenzt, aber jetzt will es, wenn ich ins Internet will, trotzdem alles öffnen, sagt mir aber dann, dass das nicht geht, weil ich deren Verwendung ja deaktiviert habe.... Wie kann ich verhindern, dass Sandboxie versucht, darauf zuzugreifen?? |
was meinst du mit "alles"? ich hab mir jetzt nicht die ganzen spezifikationen angesehen, aber du hast nen leser mit eigener tastatur und display. der vorteil ist, das du keine eingaben am pc machen musst, womit es zb für keylogger schwierig wird, etwas auszulesen. es gibt auch billig lesegeräte, zb die, die die undesregierung zum neuen perso austeilen lässt, die haben weder tastatur, noch display und du musst alle eingaben am pc machen. vorteil ist, die sind billig, das ist aber auch das einzig positive :p |
Also mein Online-Banking-Passwort muss ich aber trotzdem am PC eingeben.... Ich denke, ich mach aber nun wieder Online Banking! Ich fühle mich eigentlich mit meinem PC da wieder sicher...... Oder rätst du mir strikt ab? Mit "alles" meinte ich, dass ich Internet-Zugang und Start/Ausführen-Zugang auf opera.exe beschränkt habe, aber Sandboxie trotzdem versucht, zunächst über browser.exe (T-Online-Browser), googleupdater.exe oder firefox.exe (als es noch installiert war) reinzukommen, aber dann die Fehlermeldung kommt: "SBIE1308 Programm 'browser.exe' kann nicht gestartet werden aufgrund von Beschränkungen"! |
ja, du nutzt diesen t-online müll, den könnte man auch deinstalieren und die verbindung one t-online software nutzen. falls du das nicht willst, musst du den t-online browser in der sandbox freigeben. |
Okay, aber wenn ich das mach, kommt dieselbe Nachricht mit 'wsusmgr.exe'..... Kann ich nochmal deinen Tipp bezüglich des Online Bankings hören, bin mir da echt unsicher?? Wäre cool... |
bitte richte mal die einwahl ohne t-online software ein: Einwahl ohne T-Online Software??? - T-Home (T-Com, T-DSL, T-Online) - Infos beim DSL-Magazin.de dann deinstaliere T-Online 6.0 und schaue obs jetzt läuft. |
Okay, das Problem ist halt, dass mein Vater immer das T-Online-Programm nutzt, und ich das noch mit ihm klären muss... Ich seh ihn aber nun erstmal eine Zeit nicht, deswegen kann das noch etwas dauern...... Wenn es soweit ist und ich danach noch Probleme mit Sandboxie habe, melde ich mich nochmal....... Ansonsten nochmals tausend Dank!!! Du warst echt ein große Hilfe!!! :dankeschoen: Ich denke, ich nutze dann auch wieder Online Banking.... Ich hoffe, du rätst mir davon nicht ab............. |
oder du musst halt die von der sandbox angemeckerten exen nacheinander frei geben bis es läuft. die t-online software braucht man aber nicht zum arbeiten, also wenn ihr euch von ihr trennen könnt ist das auch kein verlust, sogar vllt sicherer da auch diese natürlich lücken mit sich bringen kann |
Alles klar, ich denke auch, das wir uns auf Löschen einigen werden... Ich melde mich dann wieder, falls dann noch was ist... Nochmal eine direkt Frage zum Online Banking zum Schluss: Würdest du unter meinen Umständen und mit dem TAN-Generator Online Banking betreiben oder wäre dir das zu unsicher??? |
du kannst jetzt wieder online banking machen. |
Okay, vielen Dank für deinen Tipp! Falls nach Deinstallation von T-Online 6.0 noch Probleme mit Sandboxie auftreten, melde mich mich nochmal.... Ansonsten noch ne schöne Adventszeit und danke nochmal! ;) |
dir auch :-) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:18 Uhr. |
Copyright ©2000-2025, Trojaner-Board