|
10 Tan Trojaner Hallo liebes Forum, nun hat es mich wohl auch erwischt. Meine Freundin hat gestern versucht, sich bei ihrem Onlinebanking anzumelden. Daraufhin kam die Aufforderung nach 10 Tannummern. Dies hat sie natürlich nicht gemacht. Nun habe ich etwas gegooglet und daraufhin Malwarebytes laufen lassen. Dieser zeigte mir 4xMBR.Rootkits und 1x Trojaner.downloader an. Diese konnte ich aber nicht entfernen. Ich werde wohl meinen Pc neu aufsetzen, habe aber dieses noch nie getan. Mir ist etwas mulmig bei der Angelegenheit, weil ich ncihts falsch machen möchte. Die Viren bzw. Trojaner wurden auch nur auf ihrem Benutzerkonto gefunden. Ich habe auch gelesen, dass ich beim Banktrojaner erstmal das MBR fixen muss. Wie soll ich jetzt genau vorgehen??? Viele Dank vorab für eure Hilfe. LG |
1. malwarebytes öffnen, logdateien, scan log posten. 2. Systemscan mit OTL download otl: http://filepony.de/download-otl/ Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL explorer.exe iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt beide posten |
Vielen Dank erstmal, bin gerade auf Arbeit und werde die Punkte heute abend abarbeiten :) Danach gehts dann wohl an das: hxxp://www.trojaner-board.de/51262-anleitung-neuaufsetzen-des-systems-absicherung.html |
ja, ich geb dir dann noch zusätzliche hinweise. aber eins nach dem andern. |
So hier der Log von Malware: Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 5581 Windows 6.0.6001 Service Pack 1 Internet Explorer 8.0.6001.18999 23.01.2011 23:32:07 mbam-log-2011-01-23 (23-32-07).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 142844 Laufzeit: 5 Minute(n), 17 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 6 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\Users\***\AppData\Roaming\microsoft\Windows\start menu\Programs\Startup\scanndiskq38.dll (Rootkit.MBR) -> Delete on reboot. c:\Users\***\AppData\Local\Temp\18FC.tmp (Rootkit.MBR) -> Delete on reboot. c:\Users\***\AppData\Local\Temp\536D.tmp (Rootkit.MBR) -> Delete on reboot. c:\Users\***\AppData\Local\Temp\msitcm.cpl (Rootkit.MBR) -> Delete on reboot. c:\Users\***\rloadaB0.dll (Rootkit.MBR) -> Delete on reboot. c:\Users\***\AppData\Roaming\microsoft\Windows\start menu\Programs\Startup\scandisk.lnk (Trojan.Downloader) -> Delete on reboot. |
OTL Logfile: Code: OTL logfile created on: 25.01.2011 10:21:37 - Run 1 |
und der rest:OTL EXTRAS Logfile: Code: OTL Extras logfile created on: 25.01.2011 10:21:37 - Run 1 |
ok wir müssen erst mal was prüfen. • Starte bitte die OTL.exe • Kopiere nun das Folgende in die Textbox. :OTL O4 - Startup: C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\scanndiskq38.dll () :Files :\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Servpnp :Commands [purity] [EMPTYFLASH] [emptytemp] [Reboot] • Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren. öffne computer, c: dann _OTL dort rechtsklick auf moved files wähle zu moved files.rar oder zip hinzufügen. lade das archiv in unserem upload channel hoch. http://www.trojaner-board.de/54791-a...ner-board.html |
hier die textlog, hochgeladen hab ich den moved ordner auch laut anleitung, weiß nich obs geklappt hat: All processes killed ========== OTL ========== File C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\scanndiskq38.dll not found. ========== FILES ========== Error: Unable to interpret <:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Servpnp> in the current context! ========== COMMANDS ========== [EMPTYFLASH] User: All Users User: Default ->Flash cache emptied: 41 bytes User: Default User ->Flash cache emptied: 0 bytes User: *** ->Flash cache emptied: 44478 bytes User: *** ->Flash cache emptied: 73122 bytes User:*** ->Flash cache emptied: 846 bytes User: *** Total Flash Files Cleaned = 0,00 mb [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Flash cache emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: *** ->Temp folder emptied: 101836902 bytes ->Temporary Internet Files folder emptied: 42832528 bytes ->Java cache emptied: 104213158 bytes ->FireFox cache emptied: 31547161 bytes ->Flash cache emptied: 0 bytes User: *** ->Temp folder emptied: 758801128 bytes ->Temporary Internet Files folder emptied: 1657150066 bytes ->Java cache emptied: 105795225 bytes ->FireFox cache emptied: 32487108 bytes ->Flash cache emptied: 0 bytes User: *** ->Temp folder emptied: 174650514 bytes ->Temporary Internet Files folder emptied: 33749923 bytes ->Java cache emptied: 31799253 bytes ->FireFox cache emptied: 29969698 bytes ->Flash cache emptied: 0 bytes User: *** %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 3908365616 bytes %systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes %systemroot%\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 7619801 bytes RecycleBin emptied: 903227037 bytes Total Files Cleaned = 7.557,00 mb OTL by OldTimer - Version 3.2.20.5 log created on 01252011_114102 |
hast du ne normale windows cd oder ne recovery cd? |
Habe ich noch nicht geschaut, moment ich such sie mal |
Ok hab sie: Is ne Recovery CD Steht drauf Product Recovery Vista Home Premium |
ok, dann erst mal das folgende. http://ad13.geekstogo.com/MBRCheck.exe download, rechtsklick, als admin ausführen. poste mir dann den inhalt der sich öffnenden text datei. |
Habe ich getan, dort öffnet sich ein schwarzes Fenster, mit der einzigen Option Enter zu drücken für Exit, soll ich den Inhalt abtippen? |
ne, das passt schon, dann ist der mbr ok. fange jetzt an und sichere deine daten, wenn du damit fertig bist, melde dich bitte. |
Ok werde alle Fotos, wichtigen Dateien etc. sichern und mich dann wieder melden, muss leider 15 Uhr zum Spätdienst, also wirds wohl erst morgen was :( Danke aber erstmal bis hierher für deine liebe Hilfe |
ja, wir machen das. und diesmal zeige ich dir wie du vernünftig absicherst, du hast hier nämlich einige böse fehler drinnen, zb kein servicepack 2, also warscheinlich keine regelmäßigen updates etc. |
So jetzt nach einem Neustart kam das das MBR Textfeld...habe eigentlich die Updates auf automatisch, erst gestern, oder vorgestern wurden Windows-updates installiert...hier das LoG: MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows Vista Home Premium Edition Windows Information: Service Pack 1 (build 6001), 32-bit Base Board Manufacturer: TOSHIBA BIOS Manufacturer: TOSHIBA System Manufacturer: TOSHIBA System Product Name: Satellite A200 Logical Drives Mask: 0x00000034 Kernel Drivers (total 157): 0x82040000 \SystemRoot\system32\ntkrnlpa.exe 0x8200D000 \SystemRoot\system32\hal.dll 0x80408000 \SystemRoot\system32\kdcom.dll 0x80410000 \SystemRoot\system32\mcupdate_GenuineIntel.dll 0x80470000 \SystemRoot\system32\PSHED.dll 0x80481000 \SystemRoot\system32\BOOTVID.dll 0x80489000 \SystemRoot\system32\CLFS.SYS 0x804CA000 \SystemRoot\system32\CI.dll 0x80604000 \SystemRoot\system32\drivers\Wdf01000.sys 0x80680000 \SystemRoot\system32\drivers\WDFLDR.SYS 0x8068D000 \SystemRoot\system32\drivers\acpi.sys 0x806D3000 \SystemRoot\system32\drivers\WMILIB.SYS 0x806DC000 \SystemRoot\system32\drivers\msisadrv.sys 0x806E4000 \SystemRoot\system32\drivers\pci.sys 0x8070B000 \SystemRoot\system32\DRIVERS\LPCFilter.sys 0x80715000 \SystemRoot\System32\drivers\partmgr.sys 0x80724000 \SystemRoot\system32\DRIVERS\compbatt.sys 0x80727000 \SystemRoot\system32\DRIVERS\BATTC.SYS 0x80731000 \SystemRoot\system32\drivers\volmgr.sys 0x80740000 \SystemRoot\System32\drivers\volmgrx.sys 0x8078A000 \SystemRoot\system32\drivers\intelide.sys 0x80791000 \SystemRoot\system32\drivers\PCIIDEX.SYS 0x8079F000 \SystemRoot\system32\DRIVERS\pcmcia.sys 0x807CC000 \SystemRoot\System32\drivers\mountmgr.sys 0x82606000 \SystemRoot\system32\DRIVERS\iaStor.sys 0x826C4000 \SystemRoot\system32\drivers\atapi.sys 0x826CC000 \SystemRoot\system32\drivers\ataport.SYS 0x826EA000 \SystemRoot\system32\drivers\msahci.sys 0x826F3000 \SystemRoot\system32\drivers\fltmgr.sys 0x82725000 \SystemRoot\system32\drivers\fileinfo.sys 0x82735000 \SystemRoot\System32\Drivers\ksecdd.sys 0x82C00000 \SystemRoot\system32\drivers\ndis.sys 0x82D0B000 \SystemRoot\system32\drivers\msrpc.sys 0x82D36000 \SystemRoot\system32\drivers\NETIO.SYS 0x82E06000 \SystemRoot\System32\drivers\tcpip.sys 0x82EEF000 \SystemRoot\System32\drivers\fwpkclnt.sys 0x88209000 \SystemRoot\System32\Drivers\Ntfs.sys 0x88318000 \SystemRoot\system32\drivers\volsnap.sys 0x88351000 \SystemRoot\system32\DRIVERS\TVALZ_O.SYS 0x88356000 \SystemRoot\system32\DRIVERS\tos_sps32.sys 0x883A1000 \SystemRoot\System32\Drivers\spldr.sys 0x883A9000 \SystemRoot\System32\Drivers\mup.sys 0x883B8000 \SystemRoot\System32\drivers\ecache.sys 0x883DF000 \SystemRoot\system32\drivers\disk.sys 0x82F0A000 \SystemRoot\system32\drivers\CLASSPNP.SYS 0x883F0000 \SystemRoot\system32\drivers\crcdisk.sys 0x88200000 \SystemRoot\system32\DRIVERS\CplIR.SYS 0x82D70000 \SystemRoot\system32\DRIVERS\tunnel.sys 0x82FF6000 \SystemRoot\system32\DRIVERS\tunmp.sys 0x82D7B000 \SystemRoot\system32\DRIVERS\intelppm.sys 0x8C209000 \SystemRoot\system32\DRIVERS\atikmdag.sys 0x8C8E1000 \SystemRoot\System32\drivers\dxgkrnl.sys 0x8C980000 \SystemRoot\System32\drivers\watchdog.sys 0x8C98D000 \SystemRoot\system32\DRIVERS\HDAudBus.sys 0x8C99F000 \SystemRoot\system32\DRIVERS\usbuhci.sys 0x8C9AA000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0x8C9E8000 \SystemRoot\system32\DRIVERS\usbehci.sys 0x82D8A000 \SystemRoot\system32\DRIVERS\Rtlh86.sys 0x8CA0F000 \SystemRoot\system32\DRIVERS\NETw4v32.sys 0x8CC36000 \SystemRoot\system32\DRIVERS\ohci1394.sys 0x8CC46000 \SystemRoot\system32\DRIVERS\1394BUS.SYS 0x8CC54000 \SystemRoot\system32\drivers\tifm21.sys 0x8CCA0000 \SystemRoot\system32\DRIVERS\sdbus.sys 0x8CCBA000 \SystemRoot\system32\DRIVERS\CmBatt.sys 0x8CCBE000 \SystemRoot\system32\DRIVERS\i8042prt.sys 0x8CCD1000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0x8CCDC000 \SystemRoot\system32\DRIVERS\SynTP.sys 0x8CD09000 \SystemRoot\system32\DRIVERS\USBD.SYS 0x8CD0B000 \SystemRoot\system32\DRIVERS\mouclass.sys 0x8CD16000 \SystemRoot\system32\DRIVERS\tdcmdpst.sys 0x8CD1A000 \SystemRoot\system32\DRIVERS\cdrom.sys 0x8CD32000 \SystemRoot\system32\DRIVERS\msiscsi.sys 0x8CD60000 \SystemRoot\system32\DRIVERS\storport.sys 0x8CDA1000 \SystemRoot\system32\DRIVERS\TDI.SYS 0x8CDAC000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0x8CDC3000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0x8CDCE000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0x8CDF1000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0x82DA2000 \SystemRoot\system32\DRIVERS\raspptp.sys 0x82DB6000 \SystemRoot\system32\DRIVERS\rassstp.sys 0x82DCB000 \SystemRoot\system32\DRIVERS\termdd.sys 0x8CA00000 \SystemRoot\system32\DRIVERS\swenum.sys 0x827A6000 \SystemRoot\system32\DRIVERS\ks.sys 0x82DDB000 \SystemRoot\system32\DRIVERS\circlass.sys 0x8CA02000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0x82DE9000 \SystemRoot\system32\DRIVERS\umbus.sys 0x805AA000 \SystemRoot\system32\DRIVERS\usbhub.sys 0x827D0000 \SystemRoot\System32\Drivers\NDProxy.SYS 0x8EA00000 \SystemRoot\system32\drivers\HdAudio.sys 0x8EA3F000 \SystemRoot\system32\drivers\portcls.sys 0x8EA6C000 \SystemRoot\system32\drivers\drmk.sys 0x8EA91000 \SystemRoot\system32\DRIVERS\AGRSM.sys 0x8EBAD000 \SystemRoot\system32\drivers\modem.sys 0x8EC0E000 \??\C:\Windows\system32\drivers\SSHDRV82.sys 0x8EC58000 \??\C:\Windows\system32\drivers\SSHDRV86.sys 0x8ECA6000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0x8ECAF000 \SystemRoot\System32\Drivers\Null.SYS 0x8ECB6000 \SystemRoot\System32\Drivers\Beep.SYS 0x8ECC6000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS 0x8ECCD000 \SystemRoot\System32\drivers\vga.sys 0x8ECD9000 \SystemRoot\System32\drivers\VIDEOPRT.SYS 0x8ECFA000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0x8ED02000 \SystemRoot\system32\drivers\rdpencdd.sys 0x8ED0A000 \SystemRoot\System32\Drivers\Msfs.SYS 0x8ED15000 \SystemRoot\System32\Drivers\Npfs.SYS 0x8ED23000 \SystemRoot\System32\DRIVERS\rasacd.sys 0x8ED2C000 \SystemRoot\system32\DRIVERS\tdx.sys 0x8ED42000 \SystemRoot\System32\Drivers\aswTdi.SYS 0x8ED4D000 \SystemRoot\system32\DRIVERS\smb.sys 0x8ED61000 \SystemRoot\system32\drivers\afd.sys 0x8EDA9000 \SystemRoot\System32\Drivers\aswRdr.SYS 0x8EDAE000 \SystemRoot\System32\DRIVERS\netbt.sys 0x8EDE0000 \SystemRoot\system32\DRIVERS\pacer.sys 0x8EC00000 \SystemRoot\system32\DRIVERS\netbios.sys 0x8ECBD000 \SystemRoot\System32\Drivers\StarOpen.SYS 0x8EBBA000 \SystemRoot\system32\DRIVERS\wanarp.sys 0x8F005000 \SystemRoot\system32\DRIVERS\rdbss.sys 0x8F041000 \SystemRoot\system32\drivers\nsiproxy.sys 0x8F04B000 \SystemRoot\System32\Drivers\dfsc.sys 0x8F062000 \SystemRoot\System32\Drivers\aswSP.SYS 0x8F083000 \SystemRoot\system32\DRIVERS\udfs.sys 0x8F0BE000 \SystemRoot\System32\Drivers\crashdmp.sys 0x8F0CB000 \SystemRoot\System32\Drivers\dump_iaStor.sys 0x98240000 \SystemRoot\System32\win32k.sys 0x8F189000 \SystemRoot\System32\drivers\Dxapi.sys 0x8F193000 \SystemRoot\system32\DRIVERS\monitor.sys 0x98460000 \SystemRoot\System32\TSDDD.dll 0x98480000 \SystemRoot\System32\cdd.dll 0x8F1A2000 \SystemRoot\system32\drivers\luafv.sys 0x8F1BD000 \SystemRoot\system32\DRIVERS\aswMonFlt.sys 0x8F1D4000 \SystemRoot\System32\Drivers\aswFsBlk.SYS 0x82F2B000 \??\C:\Windows\system32\drivers\acedrv01.sys 0x82F86000 \??\C:\Windows\system32\drivers\acedrv02.sys 0x9940A000 \??\C:\Windows\system32\drivers\acedrv03.sys 0x99469000 \??\C:\Windows\system32\drivers\acedrv04.sys 0x994C8000 \??\C:\Windows\system32\drivers\acedrv05.sys 0x99527000 \??\C:\Windows\system32\drivers\acedrv06.sys 0x99587000 \??\C:\Windows\system32\drivers\acedrv07.sys 0x9B60F000 \SystemRoot\system32\drivers\spsys.sys 0x9B6BE000 \SystemRoot\system32\DRIVERS\lltdio.sys 0x9B6CE000 \SystemRoot\system32\DRIVERS\nwifi.sys 0x9B6F8000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0x9B702000 \SystemRoot\system32\DRIVERS\rspndr.sys 0x9B715000 \SystemRoot\system32\drivers\HTTP.sys 0x9B782000 \SystemRoot\System32\DRIVERS\srvnet.sys 0x9B79F000 \SystemRoot\system32\DRIVERS\bowser.sys 0x9B7B8000 \SystemRoot\System32\drivers\mpsdrv.sys 0x9B7CD000 \SystemRoot\system32\drivers\mrxdav.sys 0x8F1D7000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0x9CE01000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys 0x9CE3A000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys 0x9CE52000 \SystemRoot\System32\DRIVERS\srv2.sys 0x9CE7A000 \SystemRoot\System32\DRIVERS\srv.sys 0x9CEE0000 \SystemRoot\system32\drivers\peauth.sys 0x9CFBE000 \SystemRoot\System32\Drivers\secdrv.SYS 0x9CFC8000 \SystemRoot\System32\drivers\tcpipreg.sys 0x77330000 \Windows\System32\ntdll.dll Processes (total 76): 0 System Idle Process 4 System 416 C:\Windows\System32\smss.exe 552 csrss.exe 604 C:\Windows\System32\wininit.exe 616 csrss.exe 648 C:\Windows\System32\services.exe 660 C:\Windows\System32\lsass.exe 668 C:\Windows\System32\lsm.exe 712 C:\Windows\System32\winlogon.exe 860 C:\Windows\System32\svchost.exe 924 C:\Windows\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe 968 C:\Windows\System32\svchost.exe 1004 C:\Windows\System32\svchost.exe 1100 C:\Windows\System32\Ati2evxx.exe 1112 C:\Windows\System32\svchost.exe 1172 C:\Windows\System32\svchost.exe 1216 C:\Windows\System32\svchost.exe 1292 C:\Windows\System32\audiodg.exe 1320 C:\Windows\System32\svchost.exe 1336 C:\Windows\System32\SLsvc.exe 1380 C:\Windows\System32\svchost.exe 1464 C:\Windows\System32\Ati2evxx.exe 1544 C:\Windows\System32\svchost.exe 1720 C:\Program Files\Alwil Software\Avast5\AvastSvc.exe 2008 C:\Windows\System32\spoolsv.exe 2036 C:\Windows\System32\svchost.exe 316 C:\Program Files\Alwil Software\Avast5\Setup\avast.setup 1204 C:\Windows\System32\agrsmsvc.exe 1284 C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe 1552 C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTmon.exe 776 C:\Windows\System32\svchost.exe 356 C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe 2064 C:\Windows\System32\svchost.exe 2124 C:\Program Files\TOSHIBA\TOSHIBA DVD PLAYER\TNaviSrv.exe 2164 C:\Windows\System32\TODDSrv.exe 2200 C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe 2240 C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe 2308 C:\Windows\System32\svchost.exe 2328 C:\Windows\System32\SearchIndexer.exe 3128 C:\Windows\System32\taskeng.exe 3436 C:\Windows\System32\taskeng.exe 3476 C:\Windows\System32\dwm.exe 3532 C:\Windows\explorer.exe 3636 C:\Program Files\Google\Update\1.2.183.39\GoogleCrashHandler.exe 2360 C:\Program Files\Windows Defender\MSASCui.exe 1736 C:\Program Files\Windows Media Player\wmpnscfg.exe 1276 C:\Program Files\Windows Media Player\wmpnetwk.exe 2928 C:\Program Files\TOSHIBA\Utilities\KeNotify.exe 2736 C:\Program Files\TOSHIBA\Power Saver\TPwrMain.exe 3020 C:\Program Files\TOSHIBA\SmoothView\SmoothView.exe 2836 C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe 3172 C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe 2992 C:\Program Files\Synaptics\SynTP\SynTPEnh.exe 3168 C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe 2824 C:\Windows\vsnpstd3.exe 2828 C:\Program Files\Java\jre6\bin\jusched.exe 3344 C:\Windows\RtHDVCpl.exe 3528 C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe 3212 C:\Program Files\Common Files\Lexware\Update Manager\LxUpdateManager.exe 3596 C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe 3444 C:\Windows\ehome\ehtray.exe 3656 C:\Program Files\Windows Live\Messenger\msnmsgr.exe 3644 C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe 3396 C:\Program Files\Sun\StarOffice 8\program\soffice.exe 3324 C:\Program Files\Synaptics\SynTP\SynToshiba.exe 3316 ehmsas.exe 3164 C:\Program Files\Sun\StarOffice 8\program\soffice.bin 1752 C:\Program Files\Mozilla Firefox\firefox.exe 2924 C:\Program Files\TOSHIBA\ConfigFree\CFSwMgr.exe 3976 C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe 1492 C:\Windows\System32\notepad.exe 5672 dllhost.exe 4472 dllhost.exe 6068 C:\Users\***\Downloads\MBRCheck.exe 4696 C:\Windows\System32\conime.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`5dd00000 (NTFS) \\.\E: --> \\.\PhysicalDrive0 at offset 0x00000012`ff600000 (NTFS) PhysicalDrive0 Model Number: HitachiHTS542516K9SA00, Rev: BBCOC33P Size Device Name MBR Status -------------------------------------------- 149 GB \\.\PhysicalDrive0 Windows 2008 MBR code detected SHA1: 8DF43F2BDE2D9451948FA14B5279969C777A7979 Done! |
ok das passt so. der datensicherung steht nichts im wege. |
Ok bin gerade doch dabei, Bilder, Dateien etc. zu speichern, muss ich noch Treiber etc. speichern? Danke im Voraus |
nein auf den recovery disks sind eig immer alle drauf, und aktualisieren können wir sie dann wenn alles aufgespielt ist. |
So Dateien und alles wichtige hab ich jetzt gesichert, habe aber nur noch 30 MInuten Zeit und denke, die nächsten Schritte werden mehr Zeit in Anspruch nehmen, würde mich dann morgen wieder melden. Gibt es Schritte, die ich schon vorbereiten könnte? Damit ich dich nicht so sehr nerven muss :) |
du nerfst mich nicht. - windows cd einlegen, pc neustarten, formatieren. - vista instalieren. servicepack2 für vista: http://www.microsoft.com/downloads/d...displaylang=DE internet explorer 8: Mit Sicherheit ins Internet. windows update: Microsoft Windows Update hier instalierst du so lange updates, bis es keine neuen mehr gibt. windows updates automatisch laden/instalieren: Aktivieren oder Deaktivieren von automatischen Updates damit dein system ab sofort immer aktuell bleibt. du solltest nur noch als eingeschrenkter nutzer arbeiten , das admin konto ist nur für instalationen gedacht. klicke start, tippe unter suchen (ausführen) systemsteuerung. wähle dort Benutzerkonten hinzufügen/entfernen. wähle "neues konto erstellen" Wähle standard benutzer. die konten sollten mit einem passwort geschützt werden. dazu auf konto endern klicken und passwörter vergeben. die folgenden konfigurationen als administrator durchführen dep für alle prozesse: Datenausführungsverhinderung (DEP) • "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:". wenn es zu problemen kommen sollte, kann man die betroffenen prozesse aus der Überwachung entfernen. SEHOP aktivieren: Aktivieren von SEHOP (Structured Exception Handling Overwrite Protection) in Windows-Betriebssystemen klicke auf "Feature automatisch aktivieren" und folge den anweisungen avast: Installation und Einstellung von Avast 5 | Sicherheit | Tipps und Tricks bei heuristik die erweiterten nutzen. als browser solltest du den opera nutzen, er ist sicherer und schneller. wenn er dir nicht gefällt passe ich meine anleitung für den ff an. Opera Webbrowser | Schneller & sicherer | Die neuen Internet-Browser kostenlos herunterladen mit diesem tool lässt sich ein werbeblocker laden Opera URLFilter Downloader ? OperaWiki dieses tool 1x pro woche manuell ausführen. zusätzlich kannst du das auch manuell erledigen, falls mal etwas nicht geblockt wird: zusätzlich kannst du das auch manuell erledigen, falls mal etwas nicht geblockt wird: Computerbase - Werbung blockieren auch diese tutorial seite mal ansehen. Opera Tutorial- Übersicht hier besonders die abschnitte sicherheit (kookies) und passwort durchlesen um das surfen sicherer zu machen, würde ich sandboxie empfehlen. Download: http://filepony.de/download-sandboxie/ anleitung: Sandbox*Einstellungen | (als pdf) hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn du das programm instaliert hast, werden sie klar. den direkten datei zugriff bitte auf opera beschrenken, bei Internetzugriff: opera.exe öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung. dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok. somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern. wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen. 1. es gibt dann noch ein paar mehr funktionen. 2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig. 3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen. autorun deaktivieren: über diesen weg werden sehr häufig schaddateien verbreitet, schalte die funktion also ab. Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de usb sticks, festplatten etc, sollte man mit panda vaccine impfen: ANTIMALWARE: Panda USB Vaccine - Download FREE - PANDA SECURITY so holt man sich keine infektionen ins haus, wenn man mal die festplatte etc verleit. hake an: run panda usb vaccine automatically when computer boots automatically vaccine any new insert usb key enable ntfs file suport Updates sind für dein system genauso wichtig, wie ein antivirenscanner. Sehr häufig gelangen schädlinge nur aufs system, weil der user veraltete software nutzt. instaliere die folgenden update checker. Secunia: http://www.trojaner-board.de/83959-s...ector-psi.html bitte die erweiterte ansicht auswählen und file hippo update checker: FileHippo.com Update Checker - FileHippo.com das file Hippo Symbol wird im infobereich neben der uhr auftauchen, mache bitte nen rechtsklick darauf, wähle settings, results, setze einen haken bei "hide beta updates" klicke ok. dann doppelklicke file hippo, eine Internetseite wird geöffnet, auf der dier die aktuellsten updates gezeigt werden, diese downloaden und instalieren. Beide programme sollten im autostart bleiben, und sobald eines der programme updates anzeigt sollten diese umgehend instaliert werden. achtung: bei einigen programmen werden englische setups angeboten. das sollte man ersehen können, die setupdateien sollten ein .en oder .us enthalten. wenn dem so ist, sollte man beim hersteller schauen, dort gibts die deutschen setups zu laden. Falls du die hersteller seite nicht kennst, google wird bestimmt behilflich sein :-) regelmäßige Backups des systems sind sehr wichtig, du weist nie, ob deine festplatte mal kaputt geht. Paragon Backup & Recovery Free Edition - Das Produkt tutorial, pdf: http://download.paragon-software.com...me_evo_ger.pdf außerdem kannst du, bei neuerlichem malware befall das system zurücksetzen. Das Backup sollte möglichst auf eine externe festplatte etc emacht werden, nicht auf die selbe, wo sich die zu sichernden daten befinden. Von sehr wichtigen Daten könnte man noch eine zusätzliche Sicherung auf dvds/cds erstellen, dazu könnte man auch wiederbeschreibbare verwenden (rws) falls die sammlung mal erneuert werden soll. allgemeines. - verzichte auf tuning programme, sie bringen nichts. - keine illegalen downloads. 90 % bringen malware mit sich! - keine streaming seiten wie kino.to sie verbreiten malware. - wenn möglich, instalationen immer benutzerdefiniert ausführen, dann kannst du unnötiges zeug abwählen. - programme patches etc immer nur vom hersteller direkt laden. online banking: ich würde zu online banking mit chipcard raten, dazu benötigst du, ein lesegerät, lasse dich von deiner bank beraten, es sollte aber mindestens ein klasse2 lesegerät sein, besser sogar ein klasse3 leser, das sind die besten für den privat kunden. Kartenlesegerät ? Wikipedia instaliere jetzt die von dir benötigten programme. endere alle passwörter. danach, bitte nur noch im standard nutzer konto einloggen, und dort in der sandbox surfen, mit klick auf "sandboxed web browser". diese einstellungen, sollten dich nun rund um schützen. |
Puh das ist schon einiges :) Danke für die ausführliche Beschreibung, sobald ich Vista neu installiert hab, das Internet zum laufen gebracht habe und erstmal all diese Punkte abgearbeitet hab, meld ich mich wieder :) Das mit den Benutzerkonten mach ich schon immer, aber meine unvorsichtige Freundin hat leider auch eins auf meinem PC :D |
na melde dich bei problemen, oder wenns geklappt hatt. deswegen gibts ja jetzt auch sandboxie. wenn du dich für die vollversion entscheiden solltest, kannst du alle browser messenger etc unter erzwungener programm start eintragen, da kann man dann nichts mehr kaputt machen :p |
Eine bescheidene Frage hätte ich noch, sollte ich mein OnlineBanking auch sperren lassen? Die Trojaner bzw. Viren waren allesamt beim Benutzerkonto meiner Liebsten...Habe von einem sauberen Pc mein Onlinebanking betreten und alles schien ok...also sollte ich sperren lassen oder nicht? |
nein, endere aber alle passwörter, falls du an dem pc onlinebanking gemacht hast, der mit malware infiziert war. |
Gut habe heute anhand der Recovery CD Vista neu installiert. Ich hoffe habe alles richtig gemacht, von wegen löschen etc. Nun habe ich versucht deine Schritte zu beginnen, allerdings musste ich vor der Installation vom Service Pack2 erstmal Teil 1 installieren. Windows begann damit, ca. 80 Updates herunterzuladen und zu installieren, dieses dauerte fast 4 Stunden :( Da ich jetzt arbeiten muss, meld ich mich wohl morgen wieder :) |
ja, das dauert seine zeit. deswegen gibts in meiner anleitung ja auch ein backup programm, damit sicherst du dein system sammt updates etc. dann hast du in zukunft keine arbeit mehr. |
Jepp hatte erst überlegt wegen dem Backup, bin nach den 4 Stunden updaten gleich los und hab mir ne externe Festplatte geholt, um mir ein Backup machen zu können :) |
ja, aber das backup erst machen wenn alles so weit fertig ist. die absicherungsmaßnamen, so hast du auf jeden fall schon mal nen gutes grund backup auf das man immer setzen kann :-) |
Hallo Markus, wollte dir nur mal ne kleine Zwischenmeldung geben. Vista SP2 < erledigt IE8< erledigt alle Updates < erledigt aktivieren der automatischen updates < erledigt ans dep hab ich mich noch nicht getraut, weil es mir auf den ersten Blick schwierig erscheint. opera, sandbox, secunia und file hippo auch erledigt. für panda muss ich mich wohl per email registrieren??? jetzt muss ich nur noch standardnutzer anlegen, die restlichen Schritte vollziehen und ein vollständiges Backup auf die neue externe Festplatte ziehen. ein Problem hab ich noch: Windows Defender verhindert immer den autostart von file hippo, diese muss ich immer manuell freischalten. die angezeigten downloads vn file hippo habe ich vorgenommen, jedoch zeigt er mir bei jedem neustart die gleichen downloads als neue an. |
In der Systemsteuerung - System - Erweitert - Systemleistung "Einstellung" - Datenausführungsverhinderung - "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der gewählten aktivieren" so aktivierst du dep. avira und defender braucht man nicht auf einem system, deaktiviere defender: http://www.trojaner-board.de/58563-w...ktivieren.html treten die probleme dann noch auf? bei panda kann man sich ja auch daten ausdenken, die firma ist aber vertrauenswürdig. |
ok avira hab ich nich drauf, dafür hab ich ja jetzt den avast 5 :) muss nur noch die richtigen einstellungen vornehmen. defender werd ich löschen, brauch ich dann noch nen sonstiges malwareprogramm?? naja hab mir ja dinge bei panda ausgedacht, jedoch muss ich meine emailadresse verifizieren, bevor ich das programm downloaden kann. ach ein problem hab ich noch: mein w-lan funktioniert nicht mehr, kann momentan nur über kabel rein, da funktioniert alles problemlos |
sorry, dann avast :p schon die wlan treiber instaliert? ein weiteres programm braucht man nicht unbedingt, aber du kannst malwarebytes instalieren. |
ähm w-lan treiber? ne glaub nicht, müsste ich mal schauen :) gut avast bleibt drauf, defender runter :) sollte ich vor dem backup nochmal einen systemscan machen ob alles sauber ist...danke für deine riesengroße hilfe, ich glaub solch sauberes system hatte ich noch nie :) |
kannst du, avast hat einen boot zeit scan oder ähnlich, ich denke der wäre angebracht. im gerätemanager schauen, dort solltest du deine wlan karte finden, rechtsklick und aktualisieren. wähle automatisch aktualisieren, da wird dann auch im internet gesucht. |
So lieber Markus, kurze Rückmeldung von mir: W-Lan funktioniert, alle Einstellung wurden vorgenommen und es wurde ein sauberes Backup gezogen. Avast hat keine infizierten Dateien gefunden. Einzige Auffälligkeiten bisher, Rechner fährt ziemlich langsam hoch/runter und der Leistungsindex beträgt nur noch 4,7...das krieg ich aber noch hin :) Das Problem mit dem Windows-Defender besteht weiterhin und beim Hochfahren des Pc´s erscheint eine Fehlermeldung, ich denke ich werde ihn wieder aktivieren. |
welches problem mit dem defender, wenn er nicht aktiev ist, kann es kein problem geben. Windows Defender: Defender ein-/ausschalten hier steht wie man ihn ausschaltet. hast du auch mal über den gerätemanager grafikkarte, mainboard und festplatten treiber aktualisiert? |
Nein habe ich noch nicht, habe den Defender nach deinen Anleitungen deaktiviert und kriege jetzt bei jedem Neustart eine Fehlermeldung mit einem Code, bin leider nicht am heimischen Rechner um die genaue Beschreibung zu geben. Eine Frage hätte ich noch bezüglich der Sandbox, wenn ich darin jetzt etwas downloade, sowas wie das Pandatool oder für meine Holde den tollen Skype, dann schlägt er Alarm, zeigt SSIB mit Nr. Meldungen und bricht die Installtion ab, Sollte ich die Installationen ausserhalb der Box vornehmen? |
ja klar :-) sonst würde er es nur in der sandbox instalieren. ja poste mir mal den fehlercode und versuche die updates der treiber. |
Ahhh jetzt kapier ich das :) Sorry für meine teilweise dämlichen Fragen, aber das ist alles komplette Neugebiet für mich :) Werde heute abend mal alle Treiber im Gerätemanager aktualisieren und es dann wieder versuchen :) Vielen Dank für deine große Hilfe, ohne dich wäre ich wohl aufgeschmissen gewesen. Werde deine Ratschläge für die Zukunft beherzigen und meiner netten Dame natürlich mitteilen ^^ Wirklich klasse von dir, danke erstmal vorab und ein schönes We :) |
kein problem,wenn du programme in der sandbox testen möchtest, musst du mal ne neue, weniger streng konfigurierte, einrichten. dann hast du eine zum surfen, eine zum testen. du kannst jede datei, mit rechtklick, und in sandbox starten, in der sandbox ausführen. |
Gut soweit hab ich alles verstanden und gemacht :) Mit dem von dir genannten Programm habe ich ein Backup gemacht und dieses mit ca. 30 GB auf die externe gesspeichert. Wenn ich dort auf Eigenschaften gehe, zeigt er mir aber nur noch 17 GB Verbrauch auf der externen Festplatte an. Ich denke, ich hab alles richtig gemacht und es wird funktionieren :) |
ja und dann halt auch immer im laufenden betrieb ein backup machen, je nach dem wie viel neues ihr auf den pc packt alle 1-2 wochen. zusätzlich kann man auch rettungs dvd(s) erstellen wenn man das möchte. ps, du sagtest doch sowieso das system läuft nicht fehlerfrei, da bringt das backup sowieso noch nicht viel. |
Naja bis auf das Defenderproblem läuft eigentlcih alles :) Bin schon mal froh, nach 4 Tagen Arbeit nun alles hinter mir zu haben :) |
naja, 4 abende, du warst ja noch arbeiten :-) aber in zukunft hast dus bei problemen mit dem pc einfacher mit dem backup. |
So hier die Fehlermeldung bei Neustart :) Windows Defender: Fehler bei Anwendungsinitialisierung. 0x800106ba. Der Dienst dieses Programms wurde aufgrund eines Problems angehalten. |
geh mal auf start suchen (ausführen) gib defender ein und schau mal ob er dort auch auf beendet steht, falls nein, beenden. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 20:20 Uhr. |
Copyright ©2000-2025, Trojaner-Board