Mail Account gehackt? Was ist tokenserver?
 

hallo,
ich habe Grund zur Annahme, dass mein GMX account gehackt wurde.
Ich war in Mail- Kontakt mit einer Organisation, die ihrerseits heftigen Angriffen ausgesetzt war.
Ich bemerkte,dass mails bereits als gelesen markiert waren, obwohl sie noch nicht geöffnet gewesen waren. Auch die Anzahl der fehlgeschlagenen Logins war m.E. höher als die von mir erzeugten.
Passwort geändert.
Wenn das wahr ist, dann hat man die private Korrespondenz wohl gelesen und meine Identität ausfindig gemacht-:killpc:

Im Firefox Passwortspeicher habe ich einen Eintrag entdeckt, den ich nicht erinnere. vielleicht ist es irgendein anderes Ereignis, was damit gar nichts zu tun hat.
Trotzdem würde mich interessieren, was das eigentlich ist. Ein Eintrag mit https, dann logintokenserver und ein kilometerlanges Passwort...
Na ja, wohl nix in diesem Zusammenhang, aber ich stelle das Bild mal rein
Danke

Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

hallo Arne- bevor wir anfangen- Security Essentials lief gestern, ein Fund wurde beseitigt:
Encyclopedia entry: Exploit:Java/Blacole.EF - Learn more about malware - Microsoft Malware Protection Center
Vielleicht kann man hier schon Voraussagen machen?
LOHNT ES SICH DAHER DIE REINIGUNG ZU DURCHLAUFEN, ODER KANN ES SEIN, DASS ES AM ENDE ZU KEINER BEREINIGUNG FÜHRT?
Ich fange eben an Daten zu sichern, auf DVD. Nebenher scanne ich nochmal mit MWB und werde mir Mühe geben, alles richtig zu befolgen.

Sieht erstmal nur nach einem JavaExploit aus

Was ist nur ein Java Explosit?
MWB hat neue Definition, wurde als Admin gestartet und hat NICHTS gefunden. Den Log brauch ich wohl nicht posten.
Soll ich jetzt was anderes versuchen?
Emisoft online oder auch als programm?

Java ist noch auf V6 - von 2011, habe es aber nicht geschafft neu zu machen.

Edit: 45 fehlgeschlagene Login Versuche seit heute im GMX Webmail angezeigt.
Hier möchte jemand permanent unbedingt meine Mails lesen. Mein PW ist jetz 19 Stellen lang.
Kommt er trotzdem iwann rein?

Du darfst auch ruhig mal Google nach Exploit fragen dann kommt zB sowas => Exploit

So ein Log enthält schon ein paar mehr Infos als nur Fund oder kein Fund

V6 ist eine völlig unzureichende Info. Welches V6? v6u29, 30 oder gar 32 oder was völlig anderes?

entschuldige,
also Google hat mir den Link gezeigt, da steht halt was von gefährlich , Laien können da nix zuordnen. Hier die Java Version, wie si im CCleaner angezeigt wird:

Java(TM) 6 Update 29 Oracle 19.10.2011 6.0.290
Und MWB:

Java UMGEHEND updaten
Und ich würde wohl bei diesen Umständen auch mal in Erwägung ziehen, dass Profil von Firefox komplett neu zu machen => Profile verwalten | Anleitung | Firefox-Hilfe

danke Arne, ich versuchs eben nochmal. vielleicht ist wegen der Admin Rechten was schief gelaufen, es ließ sich weder de- noch neuinstallieren.
Welche Maßnahmen sind noch zu treffen, oder wars das?

EDIT: Den Profilmanager ziehe ich in Erwägung. Vielleicht ist auch eine Vollversion von MWB nicht schlecht, die einen gewissen Echtzeitschutz verspricht.

PS:
Java lässt sich weder de- noch installieren
Momentane Version ist gar nicht lauffähig! Immer dieser interne Fehler 2230.
Mein Temp Ordner ist eine RAM Disk.
Ohne mein Wissen wurde im FF das Java plugin deaktiviert, da es Sicherheitslücken hatte, stattdessen war aber kein anderes vorhanden. Unhaltbarer Zustand, ärgerlich.

Warum?
Wie groß ist die RAM-Disk?
Unter Windows kann sowas eine tolle Fehlerquelle sein -.-

-Sie ist 1 GB groß, das ist nun mal der Speicher, den ich übrig habe, anstatt ihn ungenutzt zu lassen.

-Eben automatisches Java Update- fehlgeschlagen.

-Keine fehlgeschlagenen Logins mehr, aber nach Passwortänderung alle mails über Mailprogramm erneut abgerufen, jetzt alle mails doppelt????
frage mich, ob das ein verdächtiges Verhalten ist-oder eher das Mailprorgramm spinnt...wohl letzteres

Ich bin ja immer noch in Sorge, ob ich beobachtet werde.

Ein Betriebssystem wie Win7 hat schon ein ordentliches Speichermanagement
Ich würde zuerst mal die RAM-Disk wieder deaktivieren und die TEMPs auf die ursprünglichen Pfade zurückbringen - oder kannst du ausschließen, dass es an der RAM-Disk liegt und wenn ja warum genau?

Danke Arne für deine Geduld.
Die RAM Disk ist eben schnell.
Ich kann nicht ausschließen, ob es an ihr liegt, Fehler 2203 deutet wohl darauf hin.
wüsste auch nicht wie ich die Pfade jetzt wieder zurück stelle.

habe da im Temp Ordner 2 logs für Java install, soll ich die posten?
PS:
Der Temp ordner ist gestern schreibgeschützt gewesen, habe das geändert, jetzt wieder schreibgeschützt, wie also kann ein Installer auf diesen ordner zugreifen?
Bin am Googeln

Aber du wusstest wie man die Pfade auf die RAM-Disk stellt? :wtf:
Tipp: Umgebungsvariablen

mit einem app, das jemand anders geschrieben hat-!! Arne, ich möchte dich nicht wegen diesem Problem beanspruchen, ich suche bei Nickles mal weiter! Deine Zeit ist viel zu wertvoll für son Quatsch, hab ich recht?
Ich schließeaus deinen posts, dass mein PC außer diesem Java problem nicht etwa infiziert ist und denke auch über die Vollversion von MWB nach.

Eine einfache Suche führt dich doch zum Ziel oder kennst du Google nicht? :D

Umgebungsvariablen in Windows

doch! Danke Arne, habs hingekriegt, ist natürlich ganz einfach, wenn mans weiß.

Habe Java nun drauf und habe danach den Temp Ordner wieder auf die RAM Disk gelegt. Dein Link führt zwar zu Erklärung, was Umgebungsvariablen sind, doch wie man sie wo umstellt, hätte ich auch dort nicht so schnell gefunden.

Fazit:
Mein Mail account wurde massiv, und ohne Java installiert zu haben, von Hackern angegriffen und ich muss davon ausgehen, dass sie es geschafft haben. Mein Pass ist nun mehrmals gewechselt worden, hat ca 20 Zeichen, und die Fehl-Logins werden weniger. Trotzdem ist ein weniger werden eigentlich ein Indiz für den Erfolg der Angreifer, und ich kann nie wissen, ob sie es geschafft haben oder nicht. Wenn jemand den starken Willen hat, anzugreifen, ist das immer was anderes als wenn er es nur mal so aus Spaß tut.
Ich muss davon ausgehen, dass alles erstmal ok ist, ohne wirklich einigermaßen sicher zu sein.

Hast du jetzt eigentlich schon mit ESET gescannt? :wtf:

Nein, bin noch gar nicht dazu gekommen. Also Firewall aus, AV aus, und los. Obwohl mir ESET als Programm auch vorliegt. Müsste nur mal neu starten.

Windows-Firewall kann übrigens an bleiben, die hat noch nie gestört

versteh ich nicht warum ich das nicht schon gestern gemacht habe..7 Funde

Viel Adware-Schrott dabei, aber keine echten Fieslinge

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

ok, hier. Diesen Yatoo Quatsch habe ich wohl heute mittag noch nicht drauf gehabt. Hab das auch noch nicht eliminiert, als der scan lief:
OTL Logfile:
--- --- ---
[code/]

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

einige sich wiederholende Fehlermeldungen, weil Dateien angeblich beschädigt sind, die sich auf der RAM Disk im Temp Ordner befinden, Musste oft klicken, bis alle weg waren.(kommt auch sonst ab und an vor, es steht dann da "führen Sie CHKDSK aus)
Nach Neustart lässt sich Securitiy Essentials nicht mehr anschalten (Echtzeitschutz)
Hier der Fix:

Hast du den TEMP-Pfad jetzt zurückgedreht und die RAM-Disk entfernt?

-Hatte ich zurückgedreht, aber nach der Inst von Java (das viele für DIE Sicherheitslücke an sich halten und es deshalb ablehnen?) wieder auf RAM Disk gesetzt. Ist wohl ein anderes Thema......

-Konnte über Umwege SE wieder aktivieren. (Fehlermeldung beim Anschalten des Echtzeitschutzes????) Mein Konto ist auf Standard, das bringt viele Umstände mit sich, aber mit dem will ich ja surfen.

-Ist sicherheitstechnisch noch etwas zu beanstanden?
danke

Meine Güte, was hat denn das eine mit dem anderen zu tun?
Ich hatte deutlich gemacht, dass du die RAM-Disk deaktivieren sollst!

Das versuch ich ja rauszufinden wenn du mal endlich diese fast sinnfreie RAM-Disk erstmal wieder wegnimmst!

Wieder umgestellt. Erbarme dich meiner.
alles wieder %USERPROFILE%\AppData\Local\Temp

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg

SE kann ich nicht mehr ausschalten, auch als Admin nicht.
TDSS Killer: Er scannt nicht, stattdessen steht da NO THREADS FOUND und im Log steht gar nix. Hab ich was falsch gemacht?

PS er initialisiert sich, und ein Fenster sagt CANT FIND DRIVER, wenn ich ok mklicke, initialisiert er vollends, und das Fenster erscheint.

Genauer :
Fenster 1: CANT INTITIALIZE LOG,
Fenster 2: CANT LOAD DRIVER,

Lösung war Benutzer Wechsel zu admin Konto.
EDDIT:
Hatte aber vergessen, den MSE auszuschalten.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Wieder mit Admin Konto gescannt, wegen MSE.
[code]
Combofix Logfile:
--- --- ---
PS: Schon wieder neue Mails als gelesen markiert, Fehlermeldungen in beiden Konten: "Papierkorb beschädigt, leeren?"

Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).



Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

Zwischenfrage, kann ich Gmer und OSam auch ohne adminrechte im Standard-konto starten- dort kann ich MSE nicht ausschalten.

Nein ohne Adminrechte geht das nicht

Arne, ich weiß nicht, ob alles richtig war.
habe während der scans im Admin Konto versehentlich vergessen, FF im Standard Konto zu schließen.

GMER scannte, auf T (die RAM Disk) scannte er einen Windows Ordner, der dort aber nicht vorhanden ist (?). Nachdem auf T erneut dasselbe gescannt wurde, habe ich STOP probiert. Danach Absturz beim sichern...also kein Ergebnis

Ständig "blockierte Ereignisse" , ist wohl die Windows FW

OSAM sendete files ins Netz, etwa Tablet driver, danach Fenster offen(?) Hat er so schnell gescannt? Ich hab wohl was falsch gemacht.

Papierkorb beschädigt...

Nun muss ich etvtl . alles nochmal machen, doch hier die Logs, die ich momentan habe:

Wieso erstellst du dir auch eine RAM-Disk, was soll das bringen? Du nimmst damit eine Menge neuer Probleme in Kauf und das bei einem winzigen Geschwindigkeitsvorteil :balla:
Zumindest wenn die RAMdisk nur dafür nutzen will, um die TEMP-Pfade dahin zu legen

Habe den Temp ja umgestellt, nur noch nicht auf der RAM Disk gelöscht.
Löschen kann ich ja nicht, wegen Papierkorb.
Sind die Logs brauchbar?

Anscheinend hast du auch nicht verstanden was ein flüchtiger Speicher ist :headbang:
Warum genau hast du dir eine RAMdisk erstellst?

schon, nur hatte ich eben andere Sorgen und dachte nicht über RAM Disk nach, hab sie nur aus Jux und Dollerei.
Kann man eine Aussage treffen über den momentanen Sicherheits- Zustand, oder soll ich nochmal scannen?

Nimm die RAMDisk wieder weg und leg die TEMP-Pfade falls verschoben wieder auf die richtigen (ursprünglichen) Bereiche
Probier dann GMER bitte nochmal

Ich weiß nicht ob die RAM-Disk wirklich so von Vorteil ist, hab da so meine Zweifel. Naja aber ausprobieren kann man mal. Ich hab deswegen meine Zweifel, weil ich doch manchen Programme nicht traue, und die doch nicht irgendeine Datei abgreifen will die in TMP legt. Da der RAM aber ein flüchtiger Speicher ist,ist diese RAMDisk logischerweise spätestens beim nächsten Neustart wieder leer.

http://www.piksa.info/blog/2008/08/0...-wem-es-nutzt/

die hatte ich doch längst umgestellt!!!
Bitte, aber das war doch vor Tagen schon erledigt, versteh ich nicht.
Ach so, ich soll sie komplett vom System nehmen... da muss ich erst sehen, wie man das macht, das weiß ich nämlich nicht.

Dann lass die RAMdisk da und mach die PFade zu TEMP wieder richtig oder ist das jetzt erledigt? :wtf:

Warum frag ich nach?! Wegen dieser Meldung!

wie ich meinte , ich hab die Temp Pfade längst umgestellt.
Diese Papierkorb-Beschädigung hängt wohl mit dem Umstellen zusammen. Keine Lösung in Sicht.

Im GMER hatte ich bloß bei /:T halt noch den Haken gesetzt.
Seit heut morgen läuft GMER nun durch, (nur /:C) er ist grad bei files-Buchstabe C - das dauert wohl noch Tage. Hätte den Haken bei files weg machen sollen. Gehe mit dem auch nicht ins Netz während er scannt. Hoffentlich stürtzt er nicht ab. Muss ich dann SAFE klicken und als Text speichern, richtig?

Dann ist ja gut :)
Warten wir mal auf GMER

[code]
GMER Logfile:
--- --- ---

Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

kann ich das nebenher auf dem Standardkonto machen?

Was heißt nebenher? Du brauchst schon Adminrechte und lass den Rechner während der Scans doch bitte in Ruhe

ok

Das andere Log kommt noch?

Ah joh, hier, lauter Cookies.
PS: Könnte das Papierkorb- Problem vielleicht nach einem Neustart behoben sein?

Sieht ok aus, da wurden nur Cookies gefunden.
Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )


Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller http://filepony.de/download-cookie_culler/
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ich halte es so, dass ich zum "wilden Surfen" den Opera-Browser oder Chromium unter meinem Linux verwende. Mein Hauptbrowser (Firefox) speichert nur die Cookies von den Sites die ich auch will, alles andere lehne ich manuell ab (der FF fragt mich immer) - die anderen Browser nehmen alles an Cookies zwar an, aber spätestens beim nächsten Start von Opera oder Chromium sind keine Cookies mehr da.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Danke Arne wegen der Cookies hatte ich mal ein spezielles host file, aber nie wirklich erneuert. Deine Tricks sind nachahmens wert.
Für mich ist nun hart dass ich mir den Angriff nur eingebildet habe.
Der Papierkorb geht nicht, hast du einen Tipp? $recycle .bin kann nicht gelöscht werden.

Hm, nein alles weiß ich auch nicht, Google hilft sicher weiter, ich müsste dazu jetzt auch erstmal googlen :pfeiff:

Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt. Mit Hilfe von OTL kannst du auch viele Tools entfernen:

Starte bitte OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.


Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken.


Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:

Adobe - Andere Version des Adobe Flash Player installieren

Notfalls kann man auch von Chip.de runterladen => http://filepony.de/?q=Flash+Player

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

zum deinstallieren müsste ich ja erst wieder ins andere Konto- hach, ist schon sehr umständlich...es nervte mich schon soweit, dass ich das normale Konto wieder mit Admin Rechten versah. Lass ich diesmal wohl doch bleiben.

jedenfalls vielen lieben Dank für deine professionelle Geduld :applaus:

Nochmal wegen deiner RAMDisk.
Ich hab das jetzt selbst mal unter WinXP getestet und kann keinen Geschwindigkeitsunterschied festellen - weder im positiven noch im negativen Sinne :wtf:
Obwohl die Variablen %TMP% und %TEMP% nun auf A: also die RAMDisk gelegt wurden, werden trotzdem noch Tempdateien im alten Pfad also

C:\Dokumente und Einstellungen\cosinus\Lokale Einstellungen\Temp

abgelegt, sowie ich das sehe bisher von Java-Updater (jusched)

Irgendwie hab ich den Eindruck so dasVerlegen der TEMPs auf eine RAMDisk bringt nichts. Werd aber noch etwas weiter so abarbeiten.

denk auch grad, wieso eigentlich Temp Ordner.
Installer nutzen die temporären Ordner zum Zwischenspeichern und benötigen die Infos nach dem Neustart.

Das Umlegen des Temp erfolgt wohl erst nach Neustart.
(Papierkorb nach Neustart wieder ok.)

Aber was ich mir vorstellen kann, dass eben der Cache des Browsers auf der RAM Disk Sinn machen dürfte.
Ich will einfach auch den brachliegenden Speicher iwie nutzen, und der Internet cache ist ein Tick schneller.

Das ist genau das Problem der Probleme den ich bei einer RAMDisk sehe.
Man weiß auch nicht was der Installer genau an Platz benötigt. Stell dir vor er will mehrere Gigabyte nach TMP schieben - hast du eine 10GB RAMDisk? :blabla:
Sry aber irgendwie sind da Fehler vorprogrammiert wenn man das sich so durchdenkt.
Ich hab die RAMDisk noch aktiv werd aber TMP wieder zurück auf die Platte bringen. Die RAMDIsk nutze ich weiter als schnelle Ablage von Dateien die ich später eh wieder löschen würde

wie gesagt, eigentlich wollte ich nicht das System, sondern FF schneller machen:
hxxp://www.com-magazin.de/praxis/fotostrecke/von/windows-mit-ram-disk-beschleunigen/805/5.html

Naja gut. Ob man das unbedingt mit ner RAM-Disk machen muss.
Man kann doch einfach den Plattencache abstellen, damit FF nur den RAM verwendet

aber mit der RAM Disk benutze ich nun mal den Speicher, der ansonsten nutzlos brachliegen würde. Deswegen.

Habe es eben mal versucht, aber in FF wird der Pfad des cache (unter about:config) nicht aufgelistet.

Würde er denn wirklich? Wie oft hast du dies kontrolliert? Nur weil com! dies schreibt muss es noch lange nicht bei dir zutreffen.

hab das nicht genau gelesen, sondern ist halt so:
W7 32bit, 4GB RAM.
Adressiert wird aber nur 3GB RAM.
So heißt es. Kontrolliert hab ich da nix, sondern es als gegeben hingenommen.
Demnach 1GB übrig, das brachliegt.
.:killpc:

Typisches 32-Bit-Windowsproblem

Sicher? :pfeiff:
Wenn das Betriebssystem nicht die ganzen 4 GB RAM adressieren kann und es zB nur zwischen 3 und 3,5 GB verwaltet dann ziehst du von diesem kleineren Wert nochmal die 1 GB für die RAM-Disk ab

Vllt ist das interessant für dich => UNAWAVE - 32 Bit Windows 7 mit vollen 4 GB oder 8 GB RAM

Oder halt auf ein 64 bittiges Windows migrieren ;)

hab eben nachgesehen, bei mir wird nur 2,90GB RAM adressiert.
Hab das aber nicht verstanden, wieso ich dadurch was davon verliere.
Aber so ein patch mal eben druff und sämtliche 4GB nutzen, hört sich gut an.
Denke das mach ich mal, muss nur die RAM Diskette wieder loswerden.
Das wär der Knüller :daumenhoc

Ich hab das nur mal angetestet mit diesem Patch, ob man damit sinnvoll arbeiten kann und wie stabil das bei dir ist weiß ich nicht :confused:
Klingt aber vielversprechend
Wenn du den Patch installiert hast, hast du beim nächsten Start ein Bootmenü, du kannst dann wählen ob du mit oder ohne RAM-Patch startest

ja, das dual boot menü, soweit hab ich das schon gesehen.
Das boot.ini würde ich ändern auf das System, das dann auch immer hochfährt, denn entweder es läuft- oder es läuft nicht -
Jedesmal wegen einer Anwendung zu wechseln, nur weil eine andere zicken macht, wäre mir lästig.
ich würde das gern mal auf einem anderen Laptop probieren, auf dem Musiksoftware ist, die ja nach viel Speicher hungert, aber wenn es nicht stabil ist, sollte ich es rückgängig machen können.
Wird das patch nur einmal gestartet und das wars? Was ist mit den zu beseitigenden Nebenwirkungen?

ps-alles klar, habs eben genauer angesehen

-nur muss man das Programm ja inzwischen selber basteln...gibts nicht als download

habe noch diesen post gefunden, der vorgibt, dass es nicht funktioniert:
hxxp://forum.chip.de/windows-7/win7-32-bit-ram-patch-1548546.html

Dann lass die Finger von dieser Notlösung. Ich glaube dieser RAM-Patch soll nur zeigen, dass es theoretisch machbar ist, aber wie sinnvoll steht auf einem anderen Blatt.

64-Bit-Windows macht auch dann Sinn, wenn man eine 64-bittige CPU hat (naja, mit einer CPU die das nicht kann, kann man kein 64-Bit-Windows installieren) und diese mit 64-Bit-Instruktionen endlich dann auch rechnet. Das geht u.U. viel schneller als wenn du das mit einem 32-Bit-Windows machst.

Was spricht also gegen Neuinstallation von Windows7 x64?

was dagegen spricht, na ja, erstmal haben...
Hat sich dummerweise ergeben, dass das eine Laptop 64bit fähig ist, ich auf dem aber meistens nur surfe, während das andere nur 32bit kann, wo mehr RAM sinnvoll wäre. Man kann ja wegen der Treiber nicht einfach die Platten tauschen, und neu installieren würde Wochen dauern...
Es schließt sich wohl der Kreis, wenn hier irgendwo bedauert wird, dass das mit dem patch nicht das Wahre ist, und man stattdessen es doch mit einer RAM Disk probieren sollte...!
Die RAM Diskette auf den browser cache zu legen hätte ich wie gesagt mal gerne probiert, aber es klappt nicht...

Deinen Key für das Win7-32 kannst du normalerweise auch für ein Win7-64 benutzen
Images von Windows gibt es hier => UNAWAVE - Downloads von Windows 7 ISO-Image-Dateien

Sicher?
Was ist dies denn für ein altes Teil?
(keine Sorge, ich hab ein paar Laptops, die auch kein 64-Bit-OS können oder wo es absolut kontraproduktiv wäre - von meinem (wirklich) altem Laptop ganz zu schweigen, aber der staubt irgendwo rum)

na sicher ist da nix, weiß nur was ich vorgesetzt bekomme.
Habe es kaputt geschenkt bekommen und repariert, ist ein Medion MD 8900, glaub ich oder MD 9800- habs grad nicht parat...

Achso, wirklich alt und schlecht. :pfeiff: Bevor du an mehr RAM denkst, solltest du auch ganz einfach mal nachsehen, ob dies hardwaretechnisch überhaupt geht.
Viele billige Notebooks, selbst wenn sie gar nicht so furchtbar alt sind, können nur 2 GB RAM
Auch bessere Notebooks können oft nur 4 GB, falls sie etwas weniger neu sind.
Und bei Medion-Notebooks gibt es durchaus Modelle die - warum auch immer - noch weniger RAM können, als es die (eben nur fast) gleichen Modelle des Original-Herstellers können.

Und wenn du nachgesehen hast ob es von der Hardware überhaupt ginge, dann musst du nachsehen ob es überhaupt Treiber für dieses Notebook und dem gewünschten OS gibt - und ob du eine dafür gültige Lizenz übrig hast.

Nachsehen ist schwierig, jeder erzählt was anderes.
Ungeachtet dessen habe ich 4Gig verbaut, wobei es 3GIg adressiert.

Und die Treiber waren für Vista, die zwar für W7 funktionieren, aber das ist ein Hinweis darauf, wie ausrangiert das Teil ist- nee, da komme ich nicht viel weiter, nur wenn ich die beiden Geräte von der Verwendung her tauschen würde- das neuere LT auf 64bit machen und das Medion zum surfen verwenden- und das ist mir zuviel Umbauarbeit....

Tja, so kanns gehen, und am Ende hat man die RAM Disk immer noch nicht deinstalliert....:stirn:

Was ist da schwierig beim "Hersteller" (hier Medion) nachzusehen? :balla:

Vista 64 Bit wäre der harte Knackpunkt für 64BIT Windows 7. Treiber für Vista (NT 6.0) X Bit passen doch meistens bei NT 6.1 (Windows 7) X Bit.
Jain (oder jein? egal)
Dies muss nur bedingt was heißen, es mag auch einfach bedeuten, dass es dem "Hersteller" vollkommen egal ist oder er gerade zu knapp bei Kasse ist, um Treiber für Win 7 64-Bit verbindlich (!) zu testen.
Es gibt durchaus z.B. einen Hochpreisanbieter aus Japan, der für 2007 und 2008 verkaufte High-End-Design-Notebooks (Preisklasse um die 2000 Euro) schon keine Windows-7-Treiber bereitgestellt hat - bekanntermaßen ist er etwas im Minus, anders mag ich es mir nicht erklären. Selbst beim (nicht nur diesbezüglich) sehr problematischen Anbieter Apple ist doch in der Regel noch mindestens das nächste OS noch offiziell lauffähig.
Ja, du musst dir sinnvolle Prioritäten setzen.

erinnere meine Recherche , wonach das Medion nicht 64bit tauglich sei.

... wobei es schon komisch ist, dass so ein patch erstellt wird, von Experten, von ebensolchen probagiert, bei dem es dann in irgendeinem Forum heißt, es wäre nur eine Farce. Wer hat denn nun recht?

Naja, dieser Patch hat mE "nur" das sog. PAE forciert :wtf:

Sry dass ich nochmal frage, aber welche CPU hast du denn da drin jetzt verbaut?

kein Ding, sry, konnte eben erst nachsehen, ist Intel T2300 1,6GzHz 1.67Ghz

3 von 4 GB RAM verwendbar

PS: Mist, schon wieder 1 fehlgeschlagener Login in meinem Mail Account. Das kommt aber nicht vom Smartphone. Das bedeutet für mich, hier will jemand rein, und ich weiß nicht, ob er erfolgreich war. Ärgerlich.

Diese CPU ist wenn ich das richtig sehe NICHT 64-Bit-fähig. Also wird kein 64-Bit-OS damit laufen => Intel® Core

das siehst du freilich richtig, aber bisher gings ja unabhängig davon darum, ob und wie man brachliegenden Speicher nutzen könnte.
Das einzige was ich finden konnte, was die RAM-Diskette.
Wenn ich es schaffen würde, den cache des Browsers dort hin umzulegen würd ichs machen.

-----
PS:
noch eine Bitte wegen Sicherheit:
Könntest du Angaben machen zu folgendem Umstand:
Mein banking Programm meldet, dass eine Änderung der Host Datei vorgenommen wurde. In ihr steht lediglich :
127.0.0.1 localhost

Erinnere mich aber, die Datei mit einer im Netz erhältlichen Liste von sicherheitsrelevanten hosts ergänzt zu haben. Nun ist diese liste nicht mehr eingetragen- gut, aber soll ich mir wegen des Eintrags 127.0.0.1 nun Gedanken machen??
Danke nochmal, Arne.

Hm, ich dachte 4-GB-Grenze und 32/64 Bit da klingelt was bei dir :pfeiff:

Ist ein Standardeintrag, lesen => localhost

ach soo, also war gemeint, man könne ein 64bit fähiges System trotz 32bit BS mit dem patch auf 4GB Adressierung bringen. Letzte Unklarheiten beseitigt, wenn auch über Umwege. :stirn: mein eigentliches LT kann 64bit, aber zum surfen brauch ich das sicher nicht

Der lokal host Eintrag ist also Standard, hätte ich sicher selbst rausfinden können, war aber eben aufm Sprung...hm vielleicht hat einer der Tools die alten Einträge geändert.:crazy: schade, weiß nicht mehr in welchem Zusammenhang das war..
wünsche schöne Woche:abklatsch:

Nee der Satz ist so völliger Quark
Für ein 64-Bit-Windows ist so ein Patch absoluter Unsinn, denn so eins kann schon genug RAM adressieren!

Was ist denn ein "eigentliches" LT... :balla: wie wir gesehen haben ist diese Intel CPU T2300 NICHT 64-Bit-fähig, man kann also nur 32-Bit-Betriebssysteme damit verwenden!
Und es wurde auch nicht von Surfen gesprochen sondern darum wie man die 4 GB und mehr ausnutzt, warum schweifst du immer vom Thema ab oder kannst du mir nicht recht folgen? :wtf:

vermutlich sein eigentliches Laptop, sein "Haupt-Laptop".
Ist halt ein Problem wenn man glaubt, dass private Abkürzung auch übliche Abkürzungen sind.

tu langsam, ich meinte ein 64bit fähiges, aber mit 32bit laufendes System

es lag schon mehrere Tage zurück, dass ich erwähnte, zwei laptops zu haben, ein "repariertes", (Musiksoftware), das ist das mit dieser Intel 1,6 CPU, und ein "eigentliches", (Internet) das zwar 64bit fähig wäre, aber auf dem ein 32bit W7 installiert ist.
(Pentium(R) Dual Core CPU T4200 2x2GHz, 2,90GB von 4GB verwendbar)

So hätte ich das bessere Laptop eher mit Musiksoftware, das schlechtere zum Surfen gehabt, so ist es genau umgekehrt, aber man kann eben nicht alles haben.

genau, ich meinte eigentlich, mein HLT- Hauptläptop :crazy:

Ok, jetzt hab auch ich es verstanden http://cosgan.de/images/smilie/konfus/a080.gif