|
Plagegeister aller Art und deren Bekämpfung: tbhcn im Systemstart unter C\users\***\AppData\Roaming\Microsoft\Windows\Startmenü\Programs\Start upWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
26.12.2012, 13:09 | #16 |
/// Helfer-Team | tbhcn im Systemstart unter C\users\***\AppData\Roaming\Microsoft\Windows\Startmenü\Programs\Start up Java aktualisieren Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html Danach poste (kopieren und einfuegen) mir, was du hier angezeigt bekommst: PluginCheck Java deaktivieren Aufgrund derezeitigen Sicherheitsluecke: http://www.trojaner-board.de/122961-...ktivieren.html Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: PluginCheck |
27.12.2012, 00:24 | #17 |
| tbhcn im Systemstart unter C\users\***\AppData\Roaming\Microsoft\Windows\Startmenü\Programs\Start up Gut! Hier waren ein paar Abweichungen - zu denen komme ich gleich. Zuerst mal die Plugin-Test Seiten:
__________________Zunächst wird für ne Sekunde angezeigt das alles aktiviert ist und unten wird mir angezeigt das ein Add-One ausgeführt werden soll. Es hupft aber so schnell zu einer fast leeren Internetseite, das ich nicht lesen kann welches, es nicht bestätigen kann und es mir auch nicht möglich ist dir den Eintrag zu kopieren. Danach wird auf einer ansonst leeren Seite folgendes angezeigt: •Java ist Installiert und aktiviert, aber die Version ist unbekannt. Ich benutze Internetexplorer und in der Anleitung die du mir geschickt hast, steht nicht wie man es deaktiviert.Ich habe in der Add-One Verwaltung alle vier deaktiviert. Also istalled class, Java Plugin 10.10.2, Java Plugin SSV-Helper und java Plugin 2 SSV-Helper. Das sagt die Seite: PluginCheck PluginCheck Der PluginCheck hilft die größten Sicherheitslücken beim Surfen im Internet zu schliessen. Überprüft wird: Browser, Flash, Java und Adobe Reader Version. Internet Explorer 9.0 ist aktuell Flash (11,5,502,135) ist aktuell. Java ist nicht Installiert oder nicht aktiviert. Adobe Reader 10,1,0,0 ist veraltet! Aktualisieren Sie bitte auf die neueste Version: 11.0 Des weiteren: Java ist nicht installiert oder nicht aktiviert. Joedoch kann ich das aus irgendeinem grund nicht markieren und posten. Deshalb händisch dazu geschrieben. So! Und nun zur Durchführung: ) Das Update ist nicht Update 7 9 sondern Update 7 10 vom 21.12.12. Des weiteren ist es die 32bit Version - ich habe ein 64 bit Betriebssystem.Und ich erinnere mich auch daran beide Versionen von Java mal installiert gehabt zu haben. ) Ich hatte folgende Version noch auf dem rechner zum löschen nach Installation: JAVA FX 2.1.1 vom 30.07.12. Die hab ich entfernt. Richtig so? ) In den Java Einstellungen gibt es offenbar folgende Änderung zur Vorgängerversion: Allgemein -> Temporäre Internetdateien, Einstellungen -> Dateien löschen -> Früher laut eurer Anleitung zum anwählen: Anwendungen und Applets; Verfolgungs- und Protokolldateien. In meiner Version:Trace- Und Logdateien; Gecachte Anwendungen und Applets; Installierte Anwendungen und Applets. Da du gesagt hast ich solle alle Kästchen anwählen, hab ich auch die letzte Auswahl (die von Java nicht vorgesclagen wird) angewählt und mit OK bestätigt. Richtig so? Also, ich hab dir jetzt alles dazu gesagt. Und was sagst du zu dem Fall? Lg, Laschmunzel PS: Habe meinen Adobe Reader nach Updates suchen lassen: Er sagt, er ist aktuell.... Habe das update dann über die Adobe Seite downgeloadet. Was mich immer wieder ankotzt ist, das der ohne mich zu Fragen Google ToolBar und Google Chrome installiert. Das ist doch nicht normal. google Chrome macht mir in der registry Einträge die dazu führen das ich keine links mehr in Dokumente anklicken kann. Und ich habe einen Anwenderfehler meinerseits entdeckt: Und zwar hab ich das Adobe File immer brav gespeichert und sehe jetzt das adobe rät es nur auszuführen. Ich bitte um Anweisungen..... *schäm* |
27.12.2012, 02:47 | #18 | |
/// Helfer-Team | tbhcn im Systemstart unter C\users\***\AppData\Roaming\Microsoft\Windows\Startmenü\Programs\Start up Hauptsache du hast JAVA im Browser deaktiviert.
__________________Zitat:
Was genau geht nicht?
__________________ |
27.12.2012, 14:19 | #19 |
| tbhcn im Systemstart unter C\users\***\AppData\Roaming\Microsoft\Windows\Startmenü\Programs\Start up Ist kein Quatsch! Ich hatte dieses Problem schon oft! Links in Dokumenten konnten nicht mit STRG+Klick angewählt werden. Sowohl Websides als auch Links von Inhaltsverzeichnissen. In word und in e-mails. Ich hab stundenlang nach dem Fehler gesucht. Irgendwann hat's mir dann gereicht. Ich hab Microsoft eine Support Email geschrieben. Und die haben mir zurück geschrieben das dies durch Google Chrome verursacht wird. Sie haben mir ganz genau beschrieben welche Einträge in der Registry wie zu ändern sind. Und tatsächlich: In meiner Registry waren alle diese Einträge von Google Chrome belegt. Habe die Einträge geändert und die Links gingen wieder. Mittlerweile kann ich es beobachten. Kaum wurde Google Chrome installiert, gehen die links nicht mehr. Und jetzt wieder. Aber hierzu brauch ich keine Hilfe! Ich habe das e-mail aufgehoben und weis schon welche Einträge ich ändern muss. Ich kann euch das aber gerne auch schicken - dann kann man es hier veröffentlichen. Lg, Laschmunzel |
27.12.2012, 17:02 | #20 |
/// Helfer-Team | tbhcn im Systemstart unter C\users\***\AppData\Roaming\Microsoft\Windows\Startmenü\Programs\Start up Kaum zu glauben, aber man lernt hier eins: es gibt nix was es nicht gibt Sehr gut! damit bist Du sauber und entlassen! adwCleaner entfernen
Tool-Bereinigung mit OTL Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.
Zurücksetzen der Sicherheitszonen Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen. Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html Systemwiederherstellungen leeren Damit der Rechner nicht mit einer infizierten Systemwiederherstellung erneut infiziert werden kann, muessen wir diese leeren. Dazu schalten wir sie einmal aus und dann wieder ein: Systemwiederherstellung deaktivieren Tutorial fuer Windows XP, Windows Vista, Windows 7 Danach wieder aktivieren. Aufräumen mit CCleaner Lasse mit CCleaner (Download) (Anleitung) Fehler in der
Lektuere zum abarbeiten: http://www.trojaner-board.de/90880-d...tallation.html http://www.trojaner-board.de/105213-...tellungen.html PluginCheck http://www.trojaner-board.de/96344-a...-rechners.html Secunia Online Software Inspector http://www.trojaner-board.de/71715-k...iendungen.html http://www.trojaner-board.de/83238-a...sschalten.html http://www.trojaner-board.de/109844-...ren-seite.html PC wird immer langsamer - was tun? |
05.01.2013, 22:52 | #21 |
| tbhcn im Systemstart unter C\users\***\AppData\Roaming\Microsoft\Windows\Startmenü\Programs\Start up Hallo, hallo! So! Ich hab mich durch geackert durch diesen Informationsansturm. Es haben sich jedoch für mich weitere Fragen ergeben. Bzw. habe ich vielleicht wieder was entdeckt. Ich erzähl mal von Anfang an: 1)Beim Deinstallationsversuch von adwcleaner.exe wurde mir ein update angeboten. Da ich sonst nichts anwählen konnte, machte ich das Update. Danach war adwcleaner.exe entfernt. (???). Mit OTL lief alles wunderbar. 2) Internetsicherheitszonen: Ich habe auf meinem Rechner sowohl die 64bit- als auch die 32bit-Version laufen. Ausserdem habe ich bereits einen Standartbenutzer angelegt mit dem ich ins Internet gehe. Also habe ich 4 I-Net-Explorer und 4 mal die Einstellungen gecheckt. (Zurücksetzen war aber nur im Admin-Konto 32bit – also meinem Haupt-Explorer bis vor kurzem noch – eine Möglichkeit. Bei den anderen war diese Option grau hinterlegt. Da ich aber misstrauisch bin hab ich selbst kurz die Stufen verstellt und dann wieder zurück gesetzt auf Standard) -> Frage: Ist es normal, das I-Explorer 1 x mit einem Fenster ausgeführt wird und 2 oder 3 im Taskmanager angezeigt werden (iexplorer.exe unter meinem Benutzernamen). Des weiteren habe ich 14 x svchost.exe (unter Netzwerkdienst, System und lokaler Dienst). Habe das schon gegoogelt aber unterschiedliche Ergebnisse bekommen. Darum die Nachfrage. 3) CCleaner: Habe ich auf beiden Benutzern durchgeführt. Es konnte jedoch trotz mehrmaligem Versuch nicht alles gelöscht werden. Hier die Information dazu: Admin-Konto: REINIGUNG komplett - (4.436 Sek) ------------------------------------------------------------------------------------------ 1 Byte entfernt. ------------------------------------------------------------------------------------------ Details der gelöschten Dateien ------------------------------------------------------------------------------------------ Internet Explorer - Temporäre Internet-Dateien 1KB 1 Dateien ------------------------------------------------------------------------------------------ C:\Users\xxx\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\OH7U7SEP\clients[1].txt 1KB Ungenutzte Datei-Endungen NortonAntiVirus.MediaStatusSink HKCR\NortonAntiVirus.MediaStatusSink Ungenutzte Datei-Endungen NortonAntiVirus.MediaStatusSink.1 HKCR\NortonAntiVirus.MediaStatusSink.1 Ungenutzte Datei-Endungen Symantec.Norton.SystemStatus HKCR\Symantec.Norton.SystemStatus Ungenutzte Datei-Endungen Symantec.Norton.SystemStatus.1 HKCR\Symantec.Norton.SystemStatus.1 Benutzerkonto: REINIGUNG komplett - (3.047 Sek) ------------------------------------------------------------------------------------------ 1 Byte entfernt. ------------------------------------------------------------------------------------------ Details der gelöschten Dateien ------------------------------------------------------------------------------------------ Internet Explorer - Temporäre Internet-Dateien 1KB 1 Dateien ------------------------------------------------------------------------------------------ C:\Users\xxx\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CT44I20K\clients[1].txt 1KB Habe mir die Dateien ansehen wollen: ich kam bis zum letzten ordner, also bis zu OH7U7SEP bzw. CT44I20K. Dieser Ordner kann nicht geöffnet werden, sondern nur ausgeführt. Dies hab ich unterlassen. Beim zweiten Versuch dort hinzukommen, musste ich feststellen, das es die Ordner nicht mehr gibt. Bzw. der CT44I20K Ordner aus dem Benutzerkonte plötzlich im Admin Konto vertreten ist und dort normal zu öffnen ist, aber das File nicht entält, dafür desktop.ini. Ich habe noch mal CCleaner gestartet (alles bei geschlossenem I-Explorer!) und hab jedesmal ein so ein File das nicht zu löschen ist. ABER immer mit einer anderen Nummer. (???Ich nix verstehen???) Ich habe die temporären Files ZUERST gelöscht. Dann die Registry Einträge repariert.Vielleicht hat’s was damit zu tun? Im übrigen weist die Anleitung für den CCleaner die du mir verlinkt hast eigentlich darauf hin, das man an der Registry nicht rum spielen soll. Und das man diese Option beim CCleaner nicht verwenden soll….. 4) Zur PC-Absicherung: Ich halte es für keine gute Idee, Windows update wie empfohlen automatisch zu aktualisieren. Warum? Hierbei werden auch optionale Updates mit geladen ohne den Benutzer zu fragen. Windows wiederspricht sich selbst bei dieser Sache. Beispiel dazu aus meinem Erfahrunsschatz: Windows Sprachpakete. Ich habe alle Sprachpakete installiert gehabt. Jetzt, wo ich mich bemühen wollte den Rechner richtig zu bedienen und eine Windows Sicherung machen wollte, konnte diese nicht durchgeführt werden. Der Fehlercode bedeutet das keine Schattenkopie angelegt werden kann weil zu wenig Speicher da ist. Die Schattenkopie wird nämlich nicht auf dem ausgewählten Nicht-C-Laufwerk angelegt, sondern in der 100MB Partition die ja extra beim Installieren von Win7 erstellt wird. Diese Partition ist aber durch die Sprachpakete zu voll um noch eine Schattenkopie zu speichern. Hmmm. Naja… Also Sprachpakete wieder deinstallieren - und das war ein ganz schöner Auftrag. Es dauert ewig lang und alle auf einmal kann man auch nicht nehmen, da hängt sich nämlich der Rechner auf. Ich musste mit der Systemwiederherstellung (vom 26.12.2012 – also da war ich ja schon sauber) arbeiten und dann alles nochmal deinstallieren nur eines nach dem anderen und dazwischen Neustart. Cannot Backup error 0x81000019. Cannot create shadow copy... - Microsoft Community Zusätzlich hab ich jetzt das Problem, das sich das koreanische Sprachpaket nicht mehr deinstallieren lässt. Ich bin noch dran – ich weiß nicht warum. Jedenfalls ist voll autmatisches Update keine gute Idee. Meine Lösung: Windows macht es ja so, das es einmal am Tag nach Updates sucht. Also wird ich mir mit der Aufgabenverwaltung eine Meldung erstellen die mich beim Anmelden des Pc’s daran erinnert das ich Windows Update durchführe (und deshalb ins Admin-Konto muss!). 5) Frage zur SEHOP: Ich musste in der Registry den DWORD Wert erst erstellen (hab das wie in der Anweisung gemacht). ABER dort steht das DWORD für 32bit ist. Dann gibt es noch QWORD für 64bit. Auf der Windows Seite auf die ihr verlinkt steht zwar nichts, aber ich hab ein 64bit System – Muss ich einen QWORT-Wert auch erstellen? 6) Firewall: Mein Norton Internet Security behindert plötzlich meine Windows Firewall die ich wieder aktiveren wollte, nachedm ich nachgelesen habe. Es ist mir nicht möglich die Firewall frei zu geben. In der Cosole steht das sie für das private und öffentliche Profil aktiv ist, doch das Wartungscenter warnt, das sie aus ist. 7) Secunia: Ich hatte mir Secunia schon installiert. Du verlinkst aber auf die Online-Überprüfung. Diese ist nur möglich, wenn Java aktiv ist. Was bei mir ja nicht der Fall ist. Mein Secunia PSI, das heruntergeladene Programm, hat weniger Optionen als der Online Scanner. Ich habe die Leiste mit den verschiedenen Anzeigen nicht dabei. Was mich irritiert, ist die Tatsache das ich ein Update-Programm manuell updaten muss weil es nicht von selbst drauf kommt, das es aktualisiert werden muss. (???) Dabei ist das Programm in der Liste der Programme angeführt! Später – als ich FileHippo installiert hatte – kam dann noch zu Tage das Secunia VLC-Player und CCleaner für aktuell hält während FileHippo schon eine neuere Version gefunden hat. Ich könnte mir vorstellen das dies damit zummenhängt, das ich ein 64bit System habe. Manche Programme suchen nach 32bit Systemen, manche gehen auf die 64bit. VLC Player’s Version 2.0.4. die von Secunia für aktuell gehalten wird ist die aktuellste 32bit version. Die 2.0.5. von File Hippo ist 64bit. CCleaner ist jedoch in beiden Versionen vertreten und hätte somit auch überprüft werden müssen. Das Update steht seit 21.12. zur Verfügung. 8) Neuer Browser – muss ich erst machen – opera wird’s werden 9) Neues e-mail Programm: ich hab windows Live mail – ist das in Ordnung? Ich glaub das war‘s dann mal! Hat ein bissi gedauert – die Feiertage und die Tage danach.... jaja.... naja und am laptop hab ich mit malewarebytes auch trojaner und backdoor agent gefunden...... da muss ich auch noch ran. |
Themen zu tbhcn im Systemstart unter C\users\***\AppData\Roaming\Microsoft\Windows\Startmenü\Programs\Start up |
administrator, anti-malware, appdata, ausmisten, autostart, datei, dateien, desktop, explorer, fix, helper, install.exe, internet, jquery, löschen, malwarebytes, microsoft, neustart, norton, rechner, roaming, security, software, speicher, start up, systemstart, tbhcn, trojaner, trojaner-board, unbekannte herkunft, uninstall.exe, windows |