Hallo, habe mir den GVU-Trojaner gezogen. Notebook ist mit Kaspersky WindowsUnlocker jetzt entsperrt. Daten sind soweit extern gesichert. Nun will ich wieder ein sicheres System haben. Was ist der beste Weg? Windows ganz neu aufsetzen (schreckt mich nicht ab), Wiederherstellung mit Ausgangskonfigurationen? Habe nen Acer Aspire, da geht alles über eRcovery, mit dem die Werkseinstellungen für PC, Treiber und Betriebssystem wieder hergestellt werden. Ist solche Wiederherstellung sicher? Danke für Hilfe und Grüße

Zitat:

Ist solche Wiederherstellung sicher?

Welches Betriebssystem?

Es ist sicher, wenn die Festplatte vor der Installation formatiert wird.


Downloade Dir bitte SecurityCheck von einem der folgenden Links:
LINK1 LINK2

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Hallo t'john,

toll dass einem hier geholfen wird! Hatte heute Nachmittag lange Weile und einfach mal den Kaufzustand mit eRecovery wiederhergestellt - d.h. Festplatte also nicht (!) formatiert...

System ist Windows 7/ 64Bit; Platte hat 4 Partitionen und sämtliche Programme und Betriebssystem liegen - klasssisch - auf C:/. Das Zurücksetzen bezieht sich dann auch nur auf diese Partition. Der Rest der Platte hat noch seine Daten drauf. Da gehen jetzt MBAM und G-Data in der Nacht rüber - mal sehen...

SecurityCheck bringt:

Results of screen317's Security Check version 0.99.57
Windows 7 x64 (UAC is enabled)
Out of date service pack!!
Internet Explorer 9
``````````````Antivirus/Firewall Check:``````````````
G Data TotalProtection 2013
Antivirus up to date!
`````````Anti-malware/Other Utilities Check:`````````
Java 7 Update 11
Adobe Flash Player 10 Flash Player out of Date!
Adobe Flash Player 11.5.502.146
Adobe Reader XI
Mozilla Firefox (18.0.1)
````````Process Check: objlist.exe by Laurent````````
G Data TotalProtection Firewall GDFwSvcx64.exe
G Data TotalProtection Firewall GDFirewallTray.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C:
````````````````````End of Log``````````````````````

Was UAC angeht habe ich neben den einfachen Benutzer-Standardkonten ein passwordgeschütztes Admin-Konto - ansonsten bin ich nicht Fan der UAC. Windows-updates schaue ich noch mal nach, wollte bislang immer nur die wichtigen und nicht alles mögliche, was keiner braucht - suche noch mal gründlich. Eigentlich habe ich SP1 unter win7 installiert - zeigt SecurityCheck aber nicht, oder sehe ich das falsch? Und dann sollte ich wohl den alten Flash Player 10 einfach deinstallieren? Wundert mich, dass der da ist, weil ich ja neu installiert habe...

Gibt's noch andere Checks, die Sinn machen, vielleicht auch mal Esent online? Ansonsten wie gesagt: MBAM und G-Data sind aktuell und suchen auch...

Wo schreibt der Trojaner sich eigentlich hin? Doch wohl unter Java und in die Reg? Da müsste ich ihn doch auch finden, wenn er noch da wäre...
Danke und Grüße

Zitat:

Windows-updates schaue ich noch mal nach, wollte bislang immer nur die wichtigen und nicht alles mögliche, was keiner braucht - suche noch mal gründlich.

sorry, aber das ist fahrlaessig und dumm.

Alle Updates einspielen!
Wegen solchen Ansichten wie deinen gibt es Botnetze und Spam im Internet.

So habe ich das nicht gemeint! Ich meine die Unterscheidung bei Windows Update nach optionalen und wichtigen Updates! Da mache ich immer alle wichtigen, die Windows Update will - aber bei den optionalen wie z.B. für Office 2007 - das habe ich bislang anders gesehen. Ich habe gedacht, dass brauche ich nicht, weil ich Office 2007 nicht habe. Soll ich das lieber auch alles machen, auch wenn ich mit der Software nicht arbeite?

Aber jetzt noch mal die Frage, ob noch irgendwo was sein könnte: Malwarebytes und G-Data haben nichts gefunden.

Zitat:

aber bei den optionalen wie z.B. für Office 2007

Man bekommt keine Updates fuer Office Pakete, die man nicht hat.

Hattest du Office 2007 mal installiert?

War in der Kaufeinstellung wie allerlei anderes Krams ja drin - hatte damit nicht gearbeitet, aber es war eben drauf. Nun habe ich jetzt übrigens beim Wiedereinrichten deinstalliert - demnach sollten da keine Updates mehr kommen.

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

So, hier ist das Ergebnis von aswMBR:

aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST Software
Run date: 2013-01-21 01:12:27
-----------------------------
01:12:27.428 OS Version: Windows x64 6.1.7601 Service Pack 1
01:12:27.428 Number of processors: 2 586 0x170A
01:12:27.443 ComputerName: VOLKER-PC UserName: Volker
01:12:43.153 Initialize success
01:16:59.336 AVAST engine defs: 13012000
01:17:22.237 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
01:17:22.237 Disk 0 Vendor: WDC_WD32 11.0 Size: 305245MB BusType: 3
01:17:22.299 Disk 0 MBR read successfully
01:17:22.315 Disk 0 MBR scan
01:17:22.330 Disk 0 Windows VISTA default MBR code
01:17:22.346 Disk 0 Partition 1 00 27 Hidden NTFS WinRE NTFS 12000 MB offset 2048
01:17:22.439 Disk 0 Partition 2 80 (A) 07 HPFS/NTFS NTFS 100 MB offset 24578048
01:17:22.471 Disk 0 Partition 3 00 07 HPFS/NTFS NTFS 66202 MB offset 24782848
01:17:22.486 Disk 0 Partition - 00 0F Extended LBA 226940 MB offset 160366592
01:17:22.564 Disk 0 Partition 4 00 07 HPFS/NTFS NTFS 70000 MB offset 160368640
01:17:22.580 Disk 0 Partition - 00 05 Extended 70001 MB offset 303728640
01:17:22.627 Disk 0 Partition 5 00 07 HPFS/NTFS NTFS 70000 MB offset 303730688
01:17:22.642 Disk 0 Partition - 00 05 Extended 86938 MB offset 590452736
01:17:23.188 Disk 0 Partition 6 00 07 HPFS/NTFS NTFS 86937 MB offset 447092736
01:17:23.407 Disk 0 scanning C:\Windows\system32\drivers
01:17:38.351 Service scanning
01:18:08.584 Modules scanning
01:18:08.599 Disk 0 trace - called modules:
01:18:08.662 ntoskrnl.exe CLASSPNP.SYS disk.sys iaStor.sys hal.dll
01:18:08.677 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa800579a1a0]
01:18:08.677 3 CLASSPNP.SYS[fffff88000da843f] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa80046da050]
01:18:09.395 AVAST engine scan C:\Windows
01:18:14.652 AVAST engine scan C:\Windows\system32
01:20:47.314 AVAST engine scan C:\Windows\system32\drivers
01:21:00.870 AVAST engine scan C:\Users\Volker
01:21:33.802 AVAST engine scan C:\ProgramData
01:21:46.282 Scan finished successfully
01:22:05.595 Disk 0 MBR has been saved successfully to "C:\Users\Volker\Desktop\MBR.dat"
01:22:05.610 The log file has been saved successfully to "C:\Users\Volker\Desktop\aswMBR.txt"

Ok, halte deinen Rechner stets aktuell.


Java deaktivieren

Aufgrund derezeitigen Sicherheitsluecke:

http://www.trojaner-board.de/122961-...ktivieren.html

Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: PluginCheck

Hallo t'john, habe java deaktiviert. PluginCheck:

Überprüft wird: Browser, Flash, Java und Adobe Reader Version.

Firefox 18.0 ist aktuell

Flash (11,5,502,146) ist aktuell.

Java ist Installiert aber nicht aktiviert.

Adobe Reader 11,0,1,36 ist aktuell.

Dass die Sicherheitslücke immer noch existiert... tse tse tse - ABER auf der Java-HP schreiben Sie: "LÖSUNG: Durch Upgrade auf die neuesten verfügbaren Java-Versionen für die Java 6- und Java 7-Releases sollte das Problem behoben werden." Und das habe ich ja gemacht, ich armer Tor.

Und mal wirklich: Ihr seid echt das beste Board, was man sich denken kann als User. Freundlich, hilfsbereit und effektiv. Danke Danke Danke!

Sehr gut!

damit bist Du sauber und entlassen!



Systemwiederherstellungen leeren

Damit der Rechner nicht mit einer infizierten Systemwiederherstellung erneut infiziert werden kann, muessen wir diese leeren. Dazu schalten wir sie einmal aus und dann wieder ein:
Systemwiederherstellung deaktivieren Tutorial fuer Windows XP, Windows Vista, Windows 7
Danach wieder aktivieren.






Lektuere zum abarbeiten:
http://www.trojaner-board.de/90880-d...tallation.html
http://www.trojaner-board.de/105213-...tellungen.html
PluginCheck
http://www.trojaner-board.de/96344-a...-rechners.html
Secunia Online Software Inspector
http://www.trojaner-board.de/71715-k...iendungen.html
http://www.trojaner-board.de/83238-a...sschalten.html
http://www.trojaner-board.de/109844-...ren-seite.html
PC wird immer langsamer - was tun?