Zitat:

Dort ist ja noch eine Datei in der Quarantäne (vom ersten Scan), soll ich die löschen?

Was habt ihr alle immer nur mit der Quarantäne?
Überleg doch mal was eine Quarantäne ist. Ob da die schädliche Datei drinbleibt oder nicht, das hat keine Auswirkungen. Schädlinge in der Quarantäne können nichts mehr anrichten, sie sind dort isoliert. Du solltest grundsätzlich mit der Quarantäne arbeiten, denn falls der Virenscanner durch einen Fehlalarm was wichtiges löscht, kannst Du notfalls noch über die Quarantäne an die Datei ran.

Zitat:

Ach so, und gilt das auch für Speicherkarten von Kameras?

Schließ einfach deinen Stick an, den du am meisten verwendest

Hi Cosinus,

danke, dass Du Dich weiter um mich kümmerst!

Zitat:

Was habt ihr alle immer nur mit der Quarantäne?

Vielleicht ein typischer Anfängerfehler, aber irgendwie will man ja alle fiesen Schädlinge eliminieren und am besten gleich mehrmals draufhauen. Und nicht, dass der Schädling aus der Quarantäne ausbrechen kann, am besten noch mit der Hilfe eines anderen Schädling (vielleicht zu viele Krimis geguckt).

Ok, hab den ESET nun drüberlaufen lassen mit den beiden aktuellsten USB-Sticks. Wobei bei einem erstmal eine Installationsroutine anfing, der war an den PC also wohl doch noch nie angeschlossen - um beim anderen wollte der PC irgendwelche Autostart-Optionen abfragen, das Fenster hab ich dann erstmal geschlossen. Ich dachte eigentlich, ich hätte alle Autostart-Optionen aus. -> Weißt Du, wie man die bei Vista zuverlässig ausschalten kann (Laufwerke & Sticks)?

Eset log:

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6889
# api_version=3.0.2
# EOSSerial=489867a14a959d438dc97911a2f26076
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-01-22 10:15:42
# local_time=2013-01-22 11:15:42 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=1799 16775165 100 100 9784 104620226 2560 0
# compatibility_mode=5892 16776574 100 100 345347 196382470 0 0
# scanned=157490
# found=1
# cleaned=0
# scan_time=3721
C:\Users\...\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28\6d89745c-2d5f5288	multiple threats	79A1FAC82FA17C5CDE83CF08E302C60D4CB424E8	I
         

Es könnte sein, dass bei der Java-Deinstallation doch nicht alles geklappt hat. Oder ich hab ein neues Problem, was ich aber nicht hoffe.

Danke!

lg, me.

Automatische Wiedergabe (Autorun) deaktivieren

Lesestoff:
Aufgabe von Autorun

Die Hauptaufgabe von Autorun besteht darin, auf Hardwareaktionen, die auf einem Computer gestartet werden, softwareseitig zu reagieren. Autorun bietet die folgenden Funktionen:

• Doppelklicken
• Kontextmenü
• Automatische Wiedergabe

Diese Funktionen werden typischerweise von Wechselmedien oder Netzwerkfreigaben aufgerufen. Während der automatischen Wiedergabe wird die Datei "Autorun.inf" auf dem Medium analysiert. Diese Datei legt fest, welche Befehle vom System ausgeführt werden. Viele Firmen nutzen diese Funktionalität zum Starten von Installationsprogrammen.

Das Problem bzw. das Sicherheitsrisiko besteht darin, dass die Autorun-Funktion missbraucht werden kann, um automatisch zB auf infizierten USB-Sticks eine Schädlingsdatei (die in der autorun.inf definiert ist) auszuführen. Ich empfehle dir daher dringend, Autorun komplett zu deaktivieren.

Windows XP: Zur Vereinfachung hab ich die Datei noautorun.reg hochgeladen. Lade sie bitte auf den Desktop herunter, führ die Datei per Doppelklick aus und bestätige mit ja. Nach einem Neustart des Rechners ist die automatische Wiedergabe (von Datenträgern) auf allen Laufwerken deaktiviert, d.h. keine CD, kein Stick oder sonstwas startet nach dem Einstecken mehr automatisch.


Falls die o.g. Datei noautorun.reg nicht herunterladbar sein sollte, hier der Inhalt der noautorun.reg; einfach in eine Textdatei kopieren und diese als noautorun.reg Datei abspeichern und per Doppelklick ausführen um es in die Registry zu schreiben:

Code: Alles auswählenAufklappen

ATTFilter

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
         

Windows Vista/7: In der Systemsteuerung unter automatische Wiedergabe von CDs und anderen Medien alles deaktivieren. => siehe auch Einstellungen für automatische Wiedergabe ändern

Hi Cosinus,

danke sehr! Bei allen Punkten stand bereits "Keine Aktion durchführen", aber das Häkchen bei "Automatische Wiedergabe für alle Medien und Geräte verwenden" war noch drin, das hab ich nun entfernt.

Was mache ich mit dem Fund bzw. der Meldung von Eset?

lg, me.

Zitat:

Was mache ich mit dem Fund bzw. der Meldung von Eset?

Ist nur im JavaCache, löschen mit TFC:

TFC - Temp File Cleaner

Downloade Dir bitte TFC ( von Oldtimer ) und speichere die Datei auf dem Desktop.
Schließe nun alle offenen Programme und trenne Dich von dem Internet.
Doppelklick auf die TFC.exe und drücke auf Start.
Sollte TFC nicht alle Dateien löschen können wird es einen Neustart verlangen. Dies bitte zulassen.


Sieht sonst soweit ok aus

Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Info: Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Hi Cosinus,

danke schön! Vielen Dank auch schon einmal für die detaillierten Schritt-für-Schritt-Anweisungen, das hat mir sehr geholfen und war genau richtig für mich!

Ich hab die temporären Dateien nach Anweisung mit TFC gelöscht, ein Neustart war nicht erforderlich.

Danke auch für die Links, das muss ich mich aber noch genauer anschauen, das sah auf den ersten Blick etwas kompliziert aus.

Bisher hatte ich Firefox so eingestellt, dass er nach jeder Sitzung alles außer die Suchbegriffe/Formulardaten, Website-Einstellungen und Offline-Website-Daten löscht - das heißt, ich soll die drei Sachen auch lieber mit einem Häkchen versehen?

Bisher hab ich noch keine weiteren Probleme bzw. Funde gehabt. Aber vor lauter Sorge, dass der PC unsicher ist, hab ich außer den beschrieben Aktionen & Lesen hier im Forum nichts damit gemacht.

Wenn das für Dich okay ist, hätte ich aber noch ein paar Fragen, schließlich möchte ich den gleichen Fehler nicht noch einmal begehen:
- Könnte man sich solche Trojaner auch aus einem Forum (wenn man zum Beispiel auf ein Bild klickt, um es vergrößern zu lassen) oder einem Blog (dessen Besitzer vielleicht ein Virenproblem hat) geholt haben?
- Das Backdoor-Dings und die 4 Trojaner, waren die voneinander unabhängig oder hat der eine die 4 gestartet? Und weißt Du, was das genau für Dinger waren? Wenn ich die hier im Forum suche, verunsichert mich das eher, weil ich dann so Dinge lese wie ZeroAccess -> PC sofort platt machen - wie gesagt, ich kenn mich nicht wirklich gut mit so Kram aus.

- Und das heißt, ich kann wieder normal mit dem PC surfen & mich bei meinen Mails etc. einloggen (hatte zuvor von einem anderen PC aus die PW geändert)? Auch Online-Banking? Entschuldige, wenn ich vielleicht aus Deiner Sicht komisch frage, aber ich möchte nichts Unüberlegtes tun.

lg, me.

Zitat:

- Könnte man sich solche Trojaner auch aus einem Forum (wenn man zum Beispiel auf ein Bild klickt, um es vergrößern zu lassen) oder einem Blog (dessen Besitzer vielleicht ein Virenproblem hat) geholt haben?

Ja...es gibt gehackte Seiten und auch gehackte Foren. Dann müssen dort nur Exploits reingepflanzt werden, die dann Lücken im Browser und/oder seinen Plugins ausnutzen. Löcher in Plugins gab und gibt es immer wieder: Flasplayer, PDF-Reader-Plugin, JavaRE Browserplugin....

Zitat:

- Das Backdoor-Dings und die 4 Trojaner, waren die voneinander unabhängig oder hat der eine die 4 gestartet? Und weißt Du, was das genau für Dinger waren? Wenn ich die hier im Forum suche, verunsichert mich das eher, weil ich dann so Dinge lese wie ZeroAccess -> PC sofort platt machen - wie gesagt, ich kenn mich nicht wirklich gut mit so Kram aus.

Ob voneinander anabhängig? Hm, auf jeden Fall war der 0Access im System

Zitat:

- Und das heißt, ich kann wieder normal mit dem PC surfen & mich bei meinen Mails etc. einloggen (hatte zuvor von einem anderen PC aus die PW geändert)? Auch Online-Banking? Entschuldige, wenn ich vielleicht aus Deiner Sicht komisch frage, aber ich möchte nichts Unüberlegtes tun.

Das ist immer die Fragen aller Fragen. Viele empfehlen bei Onlinebanking keinen Kompromiss einzugehen und die Kiste sofort zu plätten, v.a. wenn man den ZeroAccess hat. Ich sag mal: auf eigene Gefahr.

Alternativ könntest du auch Banken über eine Live-CD wie zB Bankix

Hi Cosinus,

oh, das mit den gehackten Foren wusste ich nicht, danke für den Hinweis!

Zitat:

Das ist immer die Fragen aller Fragen. Viele empfehlen bei Onlinebanking keinen Kompromiss einzugehen und die Kiste sofort zu plätten, v.a. wenn man den ZeroAccess hat. Ich sag mal: auf eigene Gefahr.

Was würdest Du machen, wenn's Dein eigener Rechner wäre?

Ich muss mal schauen, welche CDs & Treiber ich hier herumliegen habe, aber vermutlich werde ich mich wohl in nächster Zeit vielleicht doch mal mit dem Thema befassen müssen - von Neuaufsetzen hab ich allerdings noch weniger Erfahrung, aber ich werde mir mal die Anleitung hier anschauen.

Von dieser Bank-CD lese ich zum ersten Mal, muss ich gestehen, aber danke für den Tipp!

Noch etwas, was ich tun sollte?

Was ich definitiv noch tun sollte: mich bei Dir in aller Form bedanken! Vielen, vielen Dank, dass Du mir geholfen hast, Hut ab!

lg, me.

__________________

Zitat:

Was würdest Du machen, wenn's Dein eigener Rechner wäre?

Zum Banken bestimmt nicht mehr verwenden

Zitat:

Von dieser Bank-CD lese ich zum ersten Mal, muss ich gestehen, aber danke für den Tipp!

Du kannst auch jede andere Distro deiner Wahl nehmen. Ich hab sehr gerne Xubuntu im Einsatz. Das könntest dir auch fest installieren und beim Einschalten des Computers dann wählen ob Windows oder Xubuntu gebootet werden soll. Windows nimmste dann just4fun als Gamesloader und für die ernsten Bankgeschäfte Linux

Zitat:

Zum Banken bestimmt nicht mehr verwenden

Danke für Deine ehrliche Antwort. Und danke auch für den Tipp mit einer Parallelinstallation von Linux, damit muss ich mich dann mal endlich befassen.

Ich denke, dann wären wir hier erstmal fertig (es sei denn, Du sagst etwas anderes *g*), vielen Dank noch mal für Deine ganze Mühe!

lg, me.

Dann wären wir durch!

Die Programme, die hier zum Einsatz kamen, können alle wieder runter.

Combofix entfernen: Start/Ausführen (Tastenkombination WIN+R), dort den Befehl combofix /uninstall eintippen und ausführen

Mit Hilfe von OTL kannst du auch viele andere Tools entfernen: Starte dazu einfach OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.

Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken.


Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate
Windows XP:Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.
Windows Vista/7: Start, Systemsteuerung, Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:
Prüfen => Adobe - Flash Player
Downloadlinks findest du hier => Browsers and Plugins - FilePony.de

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein großes Sicherheitsrisiko, daher solltest Du die alten Versionen deinstallieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software (bzw. Programme und Funktionen) und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Hi Cosinus,

vielen Dank!

Ich hab Combofix entfernt, bin bei OTL auf Bereinigung und da waren noch zwei oder drei Programme übrig, die ich mit Rechtsklick entfernt habe.

Was mir natürlich erst jetzt eingefallen ist - hätte ich vorher beim Defogger wieder auf reenable klicken müssen? Ich hatte ja wie in der Grundanleitung beschrieben auf disable geklickt.

Malwarebytes behalte ich sehr gerne, vielen Dank. Heute war übrigens auf einmal (war währenddessen nicht am PC!) die Bildschirmauflösung verändert, sehr merkwürdig. Das bestätigt mich darin, dass ich mich vielleicht doch mal mit dem Thema Neuaufsetzen beschäftigen muss, allerdings hab ich das noch nie gemacht.

Danke sehr auch für den Leitfaden mit den Updates, das wird auch noch alles abgearbeitet!

lg, me.

Hi Cosinus,

sorry, die Zeit zum Editieren war vorbei.

Ich hab noch eine Frage zur Datensicherung: In einem anderen Thread empfiehlst Du, nur persönliche Dateien etc. zu sichern & keine ausführbaren Dateien wie Programme o.ä., das hab ich kapiert - aber was ist mit eigenen Dateien, die kritische Dateiendungen haben wie .doc und .pdf? (Und was ist mit den Lesezeichen von Firefox, der speichert die als .json ab, ist das ok?)

lg, me.

Defogger ist nur relevant wenn die Emulatorsoftware wie zB Daemon-Tools installiert hast!

Und zu den DOC und PDF Dateien: Es gibt keine 100% Sicherheit!!

Hi Cosinus,

danke für Deine Antworten!

Nein, solche Tools hab ich nicht installiert.

Gibt es eine Möglichkeit, die Dateien mit einer Live-CD (gerne mit Parted Magic, da ich mir die gestern erstellt habe) vor dem Datensichern zu überprüfen? Und macht es einen Unterschied, ob die Daten auf der C- oder der D-Platte sind?

lg, me.

Geh einfach mit Malwarebytes und/oder ESET oder einem anderen Virenscanner deiner Wahl rüber. Live-CD-Scan ist nicht nötig
Und ob C oder D ist völlig latte