Guten Morgen und vorab schon mal Danke an Alle, die sich Samstags-Vormittags Zeit nehmen!

Ich bin von der Spätschicht nach Hause gekommen und habe meine Mails gecheckt + spon.de + Bild.de und zwei free-sms verschickt - wollte meinen PC eigentlich schon aus machen und endlich schlafen gehen, da ist mir der geschlossene Regenschirm vom Antivir-Programm aufgefallen.

Habe drauf geklickt, dort stand: "AntiVir Guard ---> gestoppt" habe dann auf dem Feld daneben versucht ihn wieder zu initialisieren. Tat sich nichts. Dann habe ich den PC neugestartet - der Regenschirm war wieder offen. Doch nach sehr kurzer Zeit (gefühlt <1min) ging er wieder zu und es sah aus wie vorher. Hat mich sehr stutzig gemacht, wollte dann einen Systemcheck machen. Da tat sich eine Weile nichts, doch dann sprangen, erst langsam, dann immer schneller, Fenster auf: (sinngemäß) "Sie können nicht mehrere Prüfungen gleichzeitig machen" (irgendwo war auch eine "4" in dem Satz; ich glaube "4 Befehle gleichzeitig" oder sowas könnte es gewesen sein). PC reagierte nicht mehr, ich habe daraufhin einen gezwungenen Neustart durchgeführt. (Lange auf den Aus-Knopf gedrückt)
Internetverbindung hatte ich schon gekappt (WLAN ist immer aus, bin über Kabel und Router drin). Habe vermutet, es läge an Antivir, bin ins Internet und habe bei chip eine neue .exe runterladen wollen. Jeder neue Tab empfing mich zwar in der Tabzeile mit Namen, aber zu sehen waren Pornoseiten und Gewinnspiele - erstaunlicherweise kann ich mich aber, wie im Moment, über Rechts-Klick "URL öffnen" oder Bookmarks im Internet bewegen. Diese Erkenntnis hatte ich zu diesem Zeitpunkt noch nicht. Da auch meine Firewall (Comodo) den Dienst quittierte, habe ich über einen anderen Computer eine neue Antivir und Comodo.exe geladen und per USB Stick transferiert.
Nach der Installation und Neustarts liefen beide auch und waren neu konfiguriert, dafür musste ich wieder kurz ans Internet. Schon bei dem "Quick-Test" der nach Abschluss der Konfiguration des AntiVir empfohlen wird, sind mehrere zwei Trojaner identifiziert worden - ich habe auf "Löschen" gedrückt. Danach gab es eine wilde Schlacht, möchte ich sagen. Ein Update wurde nicht komplett ausgeführt, dann hat TR/Spy.53472.2' [trojan] innerhalb von zwei Minuten 10 Mal angegriffen und dabei "Das auszuführende Programm ist ungültig oder zerstört. Fehlercode: [4]. " beim Planer von Antivir verursacht. Ich habe dann noch mehrfach versucht Antivir irgendwie zum Systemcheck zu bewegen, das hat auch nach unendlichen Anläufen direkt nach einer Neuinstallation gelappt, aber dabei wurde nichts(!) gefunden bis 96%, dann wurde der Dienst gestoppt - nicht von mir.

Dann ging es mit Recherche im Internet an dem anderen Rechner weiter. Highjacker kam dabei raus, aber aus dem Highjacker kam nichts raus. Das Programm hinterließ nichts und ließ sich nur 1 Mal öffnen - bei Neustart "verfüge ich eventuell nicht über die Benutzerrechte".

Das ist der Punkt an dem ich nach etwas mehr als vier Stunden Eigenversuchen eure Seite aufgesucht habe und angefangen hab mich mit den "Goldenen Regeln" zu befassen.

Der erste Schritt mit defogger hat in ganz gut geklappt, sprich ist in einer Textdatei geendet, die ich hinten anhängen werde.

Bei Schritt zwei begannen die Probleme. OTL.exe hat trotz Neustart, keine Programme offen, oder Internet, keine (!) Datei ausgegeben - schon gar nicht zwei. Weder auf dem Desktop noch im Download Ordner. Ich habe es aus beiden probiert - insgesamt sechs Mal. Ich kann das Programm nur ein Mal aufrufen, es schließt sich nachdem ich "Quick Scan" drücke, binnen einer Sekunde. Dann musste ich immer ein neues Runterladen - das habe ich dann aber mit diesem PC gemacht (also dem Angegriffenen). Nach jedem Neustart verschwindet das gelbe kreisrunde Symbol und es erscheint ein Atari-ähnliches weißen Ordnersymbol mit blaume Rand.

Ähnlich ging es bei Schritt 3 zu. Das habe ich drei Mal probiert. Drei Mal ohne zufriedenstellendes Resultat, also auch ohnegeforderte Text-Datei. Mit den gleichen Ordner-Symbolen und auch nur mit einmaligem Zugriff. Allerdings "hält" das Programm eine Idee länger durch. Es scant, dann drücke ich "Nein" und mache den Haken bei IAT weg. Beim Klick auf Scan, kann ich noch sehen, wie es durchläuft, aber dann schließt es. Man hat als User den Eindruck "es wird geschlossen". Wenn ich mich recht entsinne gibt es aber eine Datei, die dabei rausgekommen ist - allerdings nur ein Mal. Sie heißt thumbs.db und befindet sich auf dem Desktop.

Mein Gesamteindruck ist, dass mir hier die Benutzerrechte mehr und mehr genommen werden - habe auch bei jedem Neustart bedenken, überhaupt wieder ins System zu kommen. Aktuell sind bei mir auch alle Sicherheitssysteme offline (Antivir) oder untätig (Comodo).

So das waren meine Erlebnisse der letzten Stunden. Ich hoffe, mein Problem ist deutlich geworden. Verzeiht, wenn ich zuweilen etwas "plump" beschrieben habe, aber so ist kann habe ich es in Erinnerung. Zuletzt noch der Anhang und vielen Dank fürs Lesen und Zeit nehmen! Das weiß ich sehr zu schätzen.

Gruß
Mark


Der Anhang sagt leider "ungültige Datei", deshalb hier defooger_disable.log sagt:
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 05:30 on 09/07/2011 (***)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.
HKCU:DAEMON Tools Lite -> Removed

Checking for services/drivers...
Unable to read 1251226524.sys
Unable to read sptd.sys
SPTD -> Disabled (Service running -> reboot required)


-=E.O.F=-


Bei Thumbs.db weiß ich nicht, mit welchem Programm ich das öffnen kann, anhängen lässt er mich es auch nicht.

versuch mal folgendes.
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix
lade das programm runter. dann starte in den abgesicherten modus ohne netzwerk, sollte bei pc start mit f8 gehen und führe dort combofix aus.
dann neustarten und combofix.txt posten

Ersteinmal Danke für die Antwort!

Ich hatte etwas Probleme in den abgesicherten Modus zu kommen, habe dann einen Hochfahrvorgang per Reset unterbrochen. Dann ging es. Es gab nur "Abgesicherten Modus"
"Abgesicherten mit Netwerk"
"Abgesicherten Einstellungsoptionen"

Habe den ersten genommen.

Daraufhin wurden mir nach dem Hochfahren zwei Konten angeboten (Es gibt sonst nur Eins): Admininstrator und (***)

Ich habe (***) genommen. Die Datei ausgeführt auf dem Desktop. Dort wurde dann ein komprimierender Prozess grün auf schwarz gezeigt. Das hat etwas 15 sekunden gedauert und dann erschien eine Fehlermeldung.

"Error: Du bist vielleicht mit einem Virus infiziert der Daten modifiziert bzw. infiziert "Virut"

Es gab nur "Ok".

Dann schloß das Programm und die Verknüpfung verschwand vom Desktop.

[Mir ist aufgefallen, dass auch meine Internetverbindung rationiert wird. Unten rechts in der Leiste steht immer nur "Netzwerkadresse beziehen" und es wird auf 100kb rationiert.

ok, wir müssen deinen pc wohl formatieren:
deaktiviere autorun:
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de
wähle eine der methoden.
sichere dann alle deine wichtigen dateien, aber keine programme wie .exe dateien.
dann teile mir mit, ob du ne windows cd nutzt, ne recovery cd oder recovery partition, damit ihc dir ne anleitung zum formatieren erstellen kann.
und welches betriebssystem du nutzt.

Okay, ich deaktiviere und dann formatieren wir. Ich habe eine recovery partition.
Im Moment sichere ich die wichtigsten Dokumente. Ich melde mich gleich, wenn ich mit der Sicherung fertig bin.

ok, weist du wie das mit der recovery funktioniert?
falls nein, im handbuch schauen bzw mir den hersteller deines pcs und die gerätebezeichnung nennen

Ich habe es noch nie gemacht. Das Handbuch liegt vor mir: Recovery hat aber nur 4 Seiten.

Edit: Das läuft hier über Wiederherstellungs Discs. Wenn die erstellt sind, dann Start/Alle Programme/Systemwiederherstellung/PC Wiederherstellung. Erweiterte Optionen --> Wiederherstellungspartition löschen

Hersteller ist HP. Produkt ist ein HP Pavilion widescreen Laptop.

eig sollte im handbuch stehen wie man auf werkseinstellungen zurück setzt, schau mal bitte.

Okay, hier gibt es noch ein zweites Handbuch. In dem steht "Wiederherstellen des Systems auf einen früheren Zeitpunkt".

Ich werde die Datensicherung abschließen. Dann Autorun deaktivieren mit TweakUp. Dann die Wiederherstellung (muss ich dafür in den normalen Modus zurück?). Dann melde ich mich. Richtig?

ne das muss richtig heißen auf werkseinstellungen.
da müsste es unter programme nen recovery programm geben da sollte es diese funktion geben.

Ja, habe die Funktion gefunden "Destruktive Wiederherstellung" heißt das am Ende. IN der Beschreibung ist von "Auslieferungszustand" die Rede. Daten sind gesichert und Autoplay ist deaktiviert mit Tweakup.

Jetzt gehts los ich berichte.

Destruktive Wiederherstellung ist abgeschlossen: Neustart abgeschlossen, ANtivir und Comodo werden Offline installiert

Mein System läuft jetzt hier augenscheinlich stabil. Welche Tests soll ich jetzt durchführen? Bisher habe ich nur alles aktualisiert und den Quick-Systemcheck gemacht. Autorun müsste noch aus sein oder? Welche Maßnahmen muss ich noch treffen?

welchen quick check?
bitte setze diese anleitung komplett um, ich weis, viel arbeit, aber es lohnt sich, bei problemen, nichts überspringen, sondern fragen, dafür sind wir hier!

http://www.trojaner-board.de/96344-a...-rechners.html
hier alles unter windows vista 7und allgemeines abarbeiten!
außerdem den abschnitt
Maßnahmen für ALLE Windows-Versionen abarbeiten.

als antivirus kannst du zb avast nutzen. pdf zur anleitung gibts hier:
Bremer Treff - Downloads - Anleitungen - Installation und Einstellung von avast 6 Free Edition
denke die haben das beste gesammt angebot für kostenlose produkte.
als browser opera.
falls er dir nicht zusagt, passe ich die anleitung für nen andern browser an
um das surfen sicherer zu machen, würde ich Sandboxie empfehlen.
Download:
Sandbox*Einstellungen |

(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn du das programm instaliert hast, werden sie klar.
den direkten datei zugriff bitte auf opera beschrenken,
bei
Internetzugriff:
opera.exe
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok.
somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern.

wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.

eine sandbox ist eine isulierte umgebung aus der kein programm raus kommt.

um die volle wirkung zu erreichen muss alles umgesetzt und eingehalten werden.
alle benötigten verknüpfungen fürs eingeschrenkte konto nach
c:\benutzer\Default\desktop bzw \startmenü
kopieren. so sind sie für alle sichtbar
wenn du fragen hast, probleme, oder erfolgreich warst, melde dich bitte.
wenn du online banking betreibst, lese den passenden abschnitt, die card reader gibts verbilligt bei den banken. ist ein sehr sicheres verfahren.

Antivir macht einen "Quick-Check" als Abschluß der Installation.

Ich möchte mich an dieser Stelle wirklich von Herzen bei dir bedanken! Ich sehe, dass du sehr viel Zeit in mich investiert hast, obwohl du eigentlich keinen Grund dafür hast. Auch unter der Annahme, dass es dein Hobby ist, habe ich größten Respekt davor: Vielen Dank!

Ich werde mir deine Liste genaustens angucken und abarbeiten - aber nicht mehr heute. Sobald ich das in den kommenden Tagen abgeschlossen habe, werde ich das hier posten. Ich würde gerne den Firefox weiternutzen. Dieser Browser sagt mir mehr zu als Opera. Werde hier meine Ergebnisse posten, wunder dich nicht, wenn das ein paar Tage dauert.

Ich wünsche dir noch ein schönes Wochenende!

Gruß
Mark

bitte verzichte auf avira.
1. der schutz lässt nach, also die qualität.
2. sie kommen jetzt mit toolbars daher, die eher fragwürdig sind.
mit avast bist du gut bedient und benötigt auch nicht mehr resourcen.
arbeite die liste durch und stelle fragen, falls du nen punkt nicht verstehst oder nicht weist warum du ne software bzw einstellung nutzen sollst.
ich bin gern bereit dir auskünfte zu geben.