Hallo Arne,

habe über Windows die Wiederherstellung für beide Laufwerke (C: und F: - externe LaCie-Platte) deaktiviert.
Dann über Knoppix 6.1 Boot-DVD die jeweils 2 Dateien unter /media/hdc2/System Volume Information (unter Windows C: ) und /media/sda1/System Volume Information (F: - externe LaCie-Platte) gelöscht.

Wiederherstellung kann ich jetzt unter Windoofs wieder einschalten. Ne?

Mir macht jetzt noch das IsUn0407.exe für Deinstallation Map & Guide 9 sorgen.
Unter /media/hdc2/Qoobox/Quarantine/C/Windows/ habe ich eine Datei IsUn0407.exe.vir gefunden.
Diese Datei wurde doch sicherlich von einem der benutzten Reinigungs/Scan-Programme in Quarantäne verschoben. Oder?
Habe über google.de nach isun407.exe.vir, Map Guide isun407 usw. gesucht. Waren viele Infos aus denen ich nicht ganz schlau geworden bin.

Über Knoppix habe ich jetzt Probleme die Seite www.virustotal.com aufzurufen um die IsUn...-Datei mal hochzuladen. Irgendwie will der Browser Iceweasel nicht so wie ich will.

Wenn ich die Datei wieder in *.exe umbenenne und wieder unter C:\Windows ablege + Pfad in Eigenschaften unter Windoofs korrigiere, tue ich Schlepptop wieder schön neu infizieren. Ne?

Das IsUn... ist das nicht ein Deinstaller von MS? Kann ich das nicht von MS neu runterladen?

MG9 manuell mit allen DLL's, Registry-Einträgen, Startmenü usw. traue ich mir nicht ganz zu. Bleibt ja oft irgendwo was hängen. Da ich kein PC-Profi bin, würde ich das lieber vom Programm oder Windows-Software deinstallieren lassen. Anderen Cleantools wie CCleaner traue ich die saubere Deinstallation auch nicht zu.


Sonst habe ich keine Probleme mit Schlepptop.

Fehler von externer USB-Platte (LaCie) liegt vielleicht an Windoofs selber?! Unter Knoppix überhaupt keine Probleme damit.
Gucke aber noch mal beim Hersteller nach.



Gute Nacht
Heiko

Zitat:

Wiederherstellung kann ich jetzt unter Windoofs wieder einschalten. Ne?

Kann wieder aktiviert werden.

Zitat:

Mir macht jetzt noch das IsUn0407.exe für Deinstallation Map & Guide 9 sorgen.

Wieso lässt du die Datei einfach nicht in Ruhe?

Zitat:

Mir macht jetzt noch das IsUn0407.exe für Deinstallation Map & Guide 9 sorgen.
Unter /media/hdc2/Qoobox/Quarantine/C/Windows/ habe ich eine Datei IsUn0407.exe.vir gefunden.

Ein den gesamten Qoobox Ordner löschen, den braucht man so nicht mehr.

Zitat:

Wenn ich die Datei wieder in *.exe umbenenne und wieder unter C:\Windows ablege + Pfad in Eigenschaften unter Windoofs korrigiere, tue ich Schlepptop wieder schön neu infizieren. Ne?

Nein, das reicht nicht. Schadcode muss ausgeführt werden.
Weil diese einfache Tatsache oft nicht bekannt ist, gibt es auch so viele Mythen und Missverständnisse => Malte J. Wetz : De - Kompromittierung Unvermeidbar browse

Zitat:

Zitat von Malte J. Wetz

2.2. Was muss der Schädling machen?

Alle oben genannten Schädlinge sind Programme. Programme müssen ausgeführt werden, wenn sie funktionieren sollen. Ein Computerprogramm ist im Grunde genommen nur so etwas wie ein Kochrezept - eine Reihe von Handlungsanweisungen an den Computer, bei deren schrittweiser Abarbeitung etwas mehr oder weniger Sinnvolles passiert. Wird nichts ausgeführt, passiert auch nichts.

Ein Schädling, der einfach nur auf der Festplatte herumliegt, ist also an sich erstmal harmlos. Das kann man gut verstehen, wenn man sich nochmal des Vergleiches mit dem Kochrezept bedient. Stellen Sie sich mal vor, sie würden einen Zettel mit folgenden Anweisungen finden:

1. Kaufen Sie sich eine Fertigsuppe
2. Kaufen Sie sich Rattengift
3. Bereiten Sie die Suppe nach Anleitung zu
4. Rühren Sie das Rattengift darunter
5. Essen Sie das Ganze auf

Dann kann Ihnen natürlich überhaupt nichts passieren, solange sie die Anweisungen auf dem Zettel nicht ausführen. Davon, dass der Zettel einfach nur auf Ihrem Küchentisch herum liegt, entsteht Ihnen keinerlei Schaden. Erst, wenn Sie die Anweisungen alle durchführen, haben Sie ein Problem.

Das führt uns zu einer wichtigen Erkenntnis:

Ein Schädling muss ausgeführt werden, um Schaden anrichten zu können!

Dann wären wir durch!

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt.
Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Hallo Arne,

danke Dir.

Habe combofix /uninstall ausgeführt. Zwischendurch hat laufend avast! reklamiert. Habe dann normal öffnen gemacht, nicht über Sandbox. Dann kam ne Meldung das ich avast! erst deaktivieren soll, bevor ich ok klicke. Habe das dann erst deaktiviert und dann ok gemacht.

SUPERAntiSpyware habe ich im Startmenü nicht gefunden zum Deinstallieren. Habe ich dann über Software gemacht.

ERUNT dann über Startmenü deinstalliert.

Ordner Qoobox jetzt gelöscht worden.

Ordner C:\cmdcons auch gelöscht. Sollte ja den Ordner in Ruhe lassen.

Was ist mit den anderen Programmen vom Desktop die ich runtergeladen habe? Gmer, defogger, OTL, Load.exe, aswMBR.exe, Ordner osam_autorun_manager_5_0_portable, osam_autorun_manager_5_0_portable.rar, MBR.dat, Ordner MFTools? Alle löschen oder müssen die auch noch (sauber) deinstalliert werden?

Und die ganzen Logs? C:\ und unter Anwendungsdaten usw.?

C:\_OTL kann auch weg. Richtig?

ESET Online Scanner deinstallieren? Über Systemsteuerung/Software ESET Online...?

Programm Malwarebytes' Anti-Malware lasse ich drauf.


Die Datei IsUn0407.exe hat mir eben keine Ruhe gelassen, weil ich doch das MG9 deinstallieren wollte. Jetzt wurde die Datei aber mit deinstalliert/gelöscht.
Wie putze ich nun MG9 (sauber) von der Platte?

Zu guter letzt, gibt es irgendwo deutsche Anleitungen für die ganzen Programme und Einstellungen? Würde mich gerne näher damit beschäftigen, damit ich im evtl. neuen Schadenfall mir selber helfen kann.



Viele Grüße
Heiko

Zitat:

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Unter Systemsteuerung/Software finde ich auf einmal überhaupt nix mit Java...?! Normal ist das doch nicht. Ne?
Also ich weiß da waren mal mehrere Einträge.
Also über JavaRa deinstallieren und das neue JRE installieren. Richtig?



Gruß
Heiko

Zitat:

Ordner C:\cmdcons auch gelöscht. Sollte ja den Ordner in Ruhe lassen.

Wieso löscht du den wenn du ihn in Ruhe lassen solltest?
Was hast du jetzt gemacht - diesen NICHT gelöscht und damit in Ruhe gelassen? Oder nicht in Ruhe gelassen?

Zitat:

Alle löschen oder müssen die auch noch (sauber) deinstalliert werden?

Es gilt doch grundsätzlich immer, wenn eine Software sich über die Systemsteuerung deinstallieren lässt, dann deinstalliert man sie auch darüber! Hat man von den Tools nur die EXE zum Ausführen wird idR auch keine Deinstallationsroutine da sein!

Zitat:

Und die ganzen Logs? C:\ und unter Anwendungsdaten usw.?

Warum beschäftigt dich dieser Kleinkram?
Lösch doch einfach was du nicht mehr willst.

Zitat:

ESET Online Scanner deinstallieren? Über Systemsteuerung/Software ESET Online...?

Siehe oben

Zitat:

C:\_OTL kann auch weg. Richtig?

Kann weg aber mich stört dieser übertriebene Löschwille von dir ein wenig. Wie ich erwähnt habe ich das die Q von OTL und falls du doch noch eine Datei brauchst ist es naiv den voreilig zu löschen.

Zitat:

Wie putze ich nun MG9 (sauber) von der Platte?

Wenn es sich nicht mehr normal deinstallieren lässt garnicht mehr.

Zitat:

Zu guter letzt, gibt es irgendwo deutsche Anleitungen für die ganzen Programme und Einstellungen? Würde mich gerne näher damit beschäftigen, damit ich im evtl. neuen Schadenfall mir selber helfen kann.

Nein gibt es nicht. Die Autoren wollen nicht, dass jede Information öffentlich ist.

Hallo Arne,

Zitat:

Zitat:
Ordner C:\cmdcons auch gelöscht. Sollte ja den Ordner in Ruhe lassen.

Wieso löscht du den wenn du ihn in Ruhe lassen solltest?
Was hast du jetzt gemacht - diesen NICHT gelöscht und damit in Ruhe gelassen? Oder nicht in Ruhe gelassen?

Na, ich habe den Ordner nicht gelöscht. Sonst hätte ich geschrieben ich hätte den gelöscht. Der Ordner wurde wohl bei Deinstallation combofix /uninstall, SUPERAntiSpyware oder ERUNT mit gelöscht.
Kann sein das bei einer von den Programmen eine Frage kam ob Quarantine mit gelöscht werden soll und Logs. Da habe ich wohl ja gesagt.
Na, warum auch nicht? Arbeiten die Programme sauber, was soll ich dann mit Schädlingen in Quarantine?

Zitat:

Zitat:
Und die ganzen Logs? C:\ und unter Anwendungsdaten usw.?

Warum beschäftigt dich dieser Kleinkram?
Lösch doch einfach was du nicht mehr willst.

Kleinkram? Ich möchte doch nur den Schlepptop wieder aufräumen. Auf Desktop sehe ich nur noch Icons. Wenn wir durch sind und alles ok ist, wozu dann den ganzen Ballast behalten? Belegt nur unnötig Festplattenkapazität.
Ich wollte doch nur wissen, wo ich überall die Logs usw. löschen kann/soll.

Zitat:

Zitat:
Wie putze ich nun MG9 (sauber) von der Platte?

Wenn es sich nicht mehr normal deinstallieren lässt garnicht mehr.

Ist klar das es nicht mehr normal deinstallierbar ist. Die Deinstallationsroutine IsUn0407.exe wurde doch gelöscht bzw. davor in Quarantäne verschoben und umbenannt. Hatte doch danach gefragt was ich mit der Datei machen soll.
Entweder hat das Programm - glaube ComboFix wars - richtig erkannt und den Deinstaller verschoben oder war übereifrig.
Ich wende mich doch extra hier an das Forum weil ich nicht weiß, welche Datei nun wirklich schädlich ist, oder welche Meldung ich ignorieren kann.
Lasse gerade mal TuneUp Undelete laufen. Der kann bestimmt die IsUn0407.exe wiederherstellen. Nur wenn die verseucht ist, lasse ich es sein.

Was für Schädlinge waren das alles eigentlich? Und was haben die bewirkt? Gibt es dazu Infos?


Vielen lieben Dank für Deine Hilfe und Mühe mit mir. Manchmal habe ich so den Eindruck wir reden/schreiben aneinander vorbei.

Grüße und ne gute Nacht
Heiko

Zitat:

Sonst hätte ich geschrieben ich hätte den gelöscht.

Hm, du hast aber geschrieben "auch gelöscht"

Zitat:

Kleinkram? Ich möchte doch nur den Schlepptop wieder aufräumen.

Die Logs belegen nur ein paar Kilobyte, die zu löschen bringt kaum mehr freien Speicher und der Rechner wird auch nicht schneller dadurch. Aber wenn sie dich stören weg damit.