hi,
1.
Fix mit FRST
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code: Alles auswählenAufklappen

ATTFilter

Startup: C:\Users\Climb\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AntiWerBung.exe ()
C:\Users\Climb\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AntiWerBung.exe
BHO: No Name - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -  No File
BHO: No Name - {DBC80044-A445-435b-BC74-9C25C1C588A9} -  No File
Toolbar: HKCU - No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} -  No File
         

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut
  und klicke den Fix Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

2.
bitte teste, ob es im Firefox, internet explorer, und sonstigen
evtl. instalierte Browser, irgendwelche ungewollten toolbars, umleitungen oder sonstigen Probleme gibt.
Teste wie pc und programme allgemein laufen.
wenn alles läuft, wie gewünscht:
3.
Die Reihenfolge ist hier entscheidend.

1. Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
2. Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
   • Windowstaste + R > Combofix /Uninstall (eingeben) > OK
   • Alternative: Combofix.exe in uninstall.exe umbenennen und starten
   • Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
3. Downloade Dir bitte auf jeden Fall DelFix auf deinen Desktop:
   • Schließe alle offenen Programme.
   • Starte die delfix.exe mit einem Doppelklick.
   • Setze vor jede Funktion ein Häkchen.
   • Klicke auf Start.
   • Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
   • Starte deinen Rechner abschließend neu.
4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

4. PC absichern:
als antimalware programm würde ich emsisoft empfehlen.
diese haben für mich den besten schutz kostet aber etwas.
Computeractive Software Store - Emsisoft Anti-Malware 8 [1-PC] - 63% off RRP
testversion:
Meine Antivirus-Empfehlung: Emsisoft Anti-Malware
insbesondere wenn du onlinebanking, einkäufe, sonstige zahlungsabwicklungen oder ähnlich wichtiges, wie zb berufliches machst, also sensible daten zu schützen sind, solltest du in sicherheitssoftware investieren.
vor dem aktivieren der lizenz die 30 tage testzeitraum ausnutzen.

kostenlos, aber eben nicht ganz so gut währe avast zu empfehlen.
http://www.trojaner-board.de/110895-...antivirus.html

sag mir welches du nutzt, dann gebe ich konfigurationshinweise.
bitte dein bisheriges av deinstalieren
die folgende anleitung ist umfangreich, dass ist mir klar, sie sollte aber umgesetzt werden, da nur dann dein pc sicher ist. stelle so viele fragen wie nötig, ich arbeite gern alles mit dir durch!

http://www.trojaner-board.de/96344-a...-rechners.html
Starte bitte mit der Passage, Windows Vista und Windows 7
Bitte beginne damit, Windows Updates zu instalieren.
Am besten geht dies, wenn du über Start, Suchen gehst, und dort Windows Updates eingibst.
Prüfe unter "Einstellungen ändern" dass folgendes ausgewählt ist:
- Updates automatisch Instalieren,
- Täglich
- Uhrzeit wählen
- Bitte den gesammten rest anhaken, außer:
- detailierte benachichtungen anzeigen, wenn neue Microsoft software verfügbar ist.
Klicke jetzt die Schaltfläche "OK"
Klicke jetzt "nach Updates suchen".
Bitte instaliere zunächst wichtige Updates.
Es wird nötig sein, den PC zwischendurch neu zu starten. falls dies der Fall ist, musst du erneut über Start, Suchen, Windows Update aufrufen, auf Updates suchen klicken und die nächsten instalieren.
Mache das selbe bitte mit den optionalen Updates.
Bitte übernimm den rest so, wie es im Abschnitt windows 7 / Vista zu lesen ist.
aus dem Abschnitt xp, bitte den punkt "datenausführungsverhinderung, dep" übernehmen.
als browser rate ich dir zu chrome:
http://support.google.com/chrome/bin...&answer=118663
anleitung lesen bitte
falls du nen andern nutzen willst, sags mir dann muss ich teile der nun folgenden anleitung anpassen.


Sandboxie
Die devinition einer Sandbox ist hier nachzulesen:
Sandbox
Kurz gesagt, man kann Programme fast 100 %ig isuliert vom System ausführen.

Der Vorteil liegt klar auf der Hand, wenn über den Browser Schadcode eingeschläust wird, kann dieser nicht nach außen dringen.
Download Link:
Sandboxie - Download - Filepony

anleitung:
http://www.trojaner-board.de/71542-a...sandboxie.html
ausführliche anleitung als pdf, auch abarbeiten:
Sandbox Einstellungen |

bitte folgende zusatz konfiguration machen:
sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen.
dort klicke auf sandbox einstellungen.
beschrenkungen, bei programm start und internet zugriff schreibe:
chrome.exe
dann gehe auf anwendungen, webbrowser, chrome.
dort aktiviere alles außer gesammten profil ordner freigeben.
Wie du evtl. schon gesehen hast, kannst du einige Funktionen nicht nutzen.
Dies ist nur in der Vollversion nötig, zu deren Kauf ich dir rate.
Du kannst zb unter "Erzwungene Programmstarts" festlegen, dass alle Browser in der Sandbox starten.
Ansonsten musst du immer auf "Sandboxed webbrowser" klicken bzw Rechtsklick, in Sandboxie starten.
Eine lebenslange Lizenz kostet 30 €, und ist auf allen deinen PC's nutzbar.

Weiter mit:
Maßnahmen für ALLE Windows-Versionen
alles komplett durcharbeiten
anmerkung zu file hippo.
in den settings zusätzlich auswählen:
hide beta updates.
Run updateChecker when Windows starts

Backup Programm:
in meiner Anleitung ist bereits ein Backup Programm verlinkt, als Alternative bietet sich auch das Windows eigene Backup Programm an:
http://www.trojaner-board.de/82962-w...en-backup.html
Dies ist aber leider nur für Windows 7 Nutzer vernünftig nutzbar.
Alle Anderen sollten sich aber auf jeden fall auch ein Backup Programm instalieren, denn dies kann unter Umständen sehr wichtig sein, zum Beispiel, wenn die Festplatte einmal kaputt ist.

Zum Schluss, die allgemeinen sicherheitstipps beachten, wenn es dich betrifft, den Tipp zum Onlinebanking beachten und alle Passwörter ändern
bitte auch lesen, wie mache ich programme für alle sichtbar:
Programme für alle Konten nutzbar machen - PCtipp.ch - Praxis & Hilfe
surfe jetzt also nur noch im standard nutzer konto und dort in der sandbox.
wenn du die kostenlose version nutzt, dann mit klick auf sandboxed web browser, wenn du die bezahlversion hast, kannst du erzwungene programm starts festlegen, dann wird Sandboxie immer gestartet wenn du nen browser aufrufst.
wenn du mit der maus über den browser fährst sollte der eingerahmt sein, dann bist du im sandboxed web browser

passwort sicherheit:
jeder dienst benötigt ein eigenes, mindestens 12-stelliges passwort
bei der passwort verwaltung und erstellung hilft roboform
Password Manager, Form Filler, Password Management | RoboForm Password Manager
anleitung:
RoboForm Manual

Hi Markus
werde ich alles ausführen. Es ist ein neues Problem aufgetaucht:
Schreibe jetzt vom Minilaptop, weil mir doch nicht mehr ganz so wohl ist. Hatte heute am Morgen beim Admin folgende Meldung von Avira:

Es wurde ein Virus oder ein unerwünschtes Programm gefunden:
Objekt: JRT.exe
Fund: TR/Rouge.1178267

Habe es in Quarantaine verschoben und den Laptop seitdem nicht mehr angemacht.
Beim Benutzerkonto ohne Rechte warnt das Wartungscenter wegen dem IE Save Modus.
War gestern nur im Internet(Firefox) und auf dem Mail. Habe glaube ich nichts runter geladen und auch keine Anhänge geöffnet. Gestern war auch noch Windowsupdate.

Kann ich Win 7 so brauchen? - wenigstens zum Scannen

Wie kritsch ist das - scheint ja ein Trojaner zu sein? Und wie muss ich denn da jetzt weiter vorgehen?
Macht es Sinn im Moment die weiteren Schritte auszuführen?
Schon mal ganz herzlichen Dank für deine weitere Hilfe.

LG
Zenza

Hi, jrt.exe ist ein von uns genutztes Programm, ein Fehlalarm.
du kannst also ganz beruhigt loslegen.
Wegen dem ie:
1. brauch ich da mal die genaue Meldung.
2. wenn der Fix durch ist, eh mal testen ob alle browser laufen.

Hi,
das ist ok. Habe noch yahoo und amazon Suchanbieter aus Firefox und das Antivirwerbung im C gelöscht.
Beim Test der Programme habe ich mbam nochmal laufen lassen. Leider 4 Funde.
Sonst läuft der PC problemlos bis jetzt
Hier das Fixlog:

Code: Alles auswählenAufklappen

ATTFilter

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 14-08-2013 01
Ran by Christine at 2013-08-15 19:00:44 Run:1
Running from D:\Benutzer\Christine\Desktop
Boot Mode: Normal
==============================================

C:\Users\Climb\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AntiWerBung.exe not found.
"C:\Users\Climb\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AntiWerBung.exe" => File/Directory not found.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} => Key deleted successfully.
HKCR\CLSID\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} => Key not found.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9} => Key deleted successfully.
HKCR\CLSID\{DBC80044-A445-435b-BC74-9C25C1C588A9} => Key not found.
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{21FA44EF-376D-4D53-9B0F-8A89D3229068} => Value deleted successfully.
HKCR\CLSID\{21FA44EF-376D-4D53-9B0F-8A89D3229068} => Key not found.

==== End of Fixlog ====
         

mbam:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.08.15.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16660
Christine :: CHRISTINE-PC [Administrator]

15.08.2013 19:06:56
mbam-log-2013-08-15 (19-06-56).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 249256
Laufzeit: 9 Minute(n), 41 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 4
C:\Users\Christine\AppData\Local\Temp\77Zip973867.exe (PUP.Optional.InstallBrain) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Christine\AppData\Local\Temp\tmp96F1.tmp (PUP.Optional.OpenCandy) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Christine\AppData\Local\Temp\ibtmpc810619\component_600 (Trojan.PUP.Optional.FileScout.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Christine\AppData\Local\Temp\ibtmpc810619\component_613 (Trojan.PUP.Optional.SpeedAnalysis.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

IE: Wartungscenter: Internetsicherheitseinstellungen. (wichtig) Einstellungen wiederherstellen. Warnt doch nur, weil der Save Modus nicht aktiviert ist. Soll ich das wieder herstellen?

Windowsupdate ist ok.
AV hätte ich gerne Avast
Browser würde ich gerne Firefox behalten. Habe die Addons Adblock und Noskript

Zu mehr bin ich noch nicht gekommen.

LG Zenza

Hi, das ist ein Fund in den temporären Dateien.
TFC - Temp File Cleaner

Downloade Dir bitte TFC ( von Oldtimer ) und speichere die Datei auf dem Desktop.
Schließe nun alle offenen Programme und trenne Dich von dem Internet.
Doppelklick auf die TFC.exe und drücke auf Start.
Sollte TFC nicht alle Dateien löschen können wird es einen Neustart verlangen. Dies bitte zulassen.

Chrome, schon mal angesehen, bietet einige Sicherheitsfeatures, die der FF nicht hatt, und is meist auch schneller.
Einfach mal ansehen, meckern kann man ja hinterher immernoch :-)
adblock für chrome:
http://filepony.de/download-adblock_chrome/
damit sollte das leben werbefreier von statten gehen.
ghostery um tracking zu verhindern:
http://filepony.de/download-ghostery_chrome/
HTTPS Everywhere
https://chrome.google.com/webstore/detail/https-everywhere/gcbommkclmclpchllfjekcdonpmejbdp
wählt, wenn möglich, eine sichere Verbindung
sicher surfen mit chrome:
http://www.verbraucher-sicher-online.de/anleitung/sicher-surfen-mit-google-chrome

Hi,
vielen Dank. Lief ohne Probleme. Chrome muss ich mal am WE studieren....

LG

Ok, nich wundern bin bis Montag offline.

Hi,
Sorry, wenns fast ein Roman ist.
Jetzt habe ich sehr viel durchgearbeitet und halt doch noch Fragen.
Hatte am WE noch zwei Vorfälle:
Photoscape wollte ein Update und hab die Datei von Filepony runter geladen. Dann mit mbam untersucht mit folgenden Ergebnis:

Code: Alles auswählenAufklappen

ATTFilter

Infizierte Dateien: 1
D:\Benutzer\Christine\Downloads\PhotoScape_V3.6.5.exe (PUP.Optional.OpenCandy) -> Keine Aktion durchgeführt
         

Hab nicht installiert und die Datei gelöscht. Brauch das Programm aber weiterhin. Ohne Update lassen?

Dann die Gebrauchsanleitung von Sandbox runtergeladen, gespeichert und mit mbam geprüft: o.B. Beim Öffnen dieser Datei meldete MS Security Essentials: Verdächtige Datei Acrobat (weiss es nicht mehr so genau) sollte zur Überprüfung geschickt werden. Habe nicht gesendet und die Datei gelöscht. Danach ein Vollscan mit MS SE o.B. War das ein Fehlalrm?
Trau mich jetzt nicht mehr so recht PDF Dateien zu öffnen

Avast, Chrome und Sandbox sind installiert. Noch gewöhnungsbedürftig. Bei Chrome will ich kein Konto eröffnen und auch keine Daten senden. Behalte FF wegen der Sicherung der Lesezeichen. Von Sandbox bekomme ich manchmal Fehlermeldungen. Bin damit aber noch ganz schön am Schwimmen und muss glaube ich noch üben.
DEP und Autorun sind geändert
Bei Panda konnte ich nur Remove vaccine einstellen.
Secunia finde ich keine erweiterten Einstellungen
File Hippo finde ich beim Standardnutzer niergends. Kommen die Meldungen dort auch?
SEHOP muss ich wohl manuell aktivieren – kann ich das bedenkenlos in der Reg. machen?
Die letzte Windowssicherung mit Systemabbild war am 6.8.2013 auf eine ext. Festplatte. Ist das jetzt auch nichts mehr wert – infiziert

Ich hoffe, dass ich mit meinen vielen Fragen nicht deine Zeit zu sehr vergeude und bin froh um deine weitere Hilfe. Vielen Dank.

LG

Hi,
wie siehts aus wenn du das Programm direkt beim Hersteller lädst?
Die PDF ist ein Fehlalarm. versuche es noch mal und send mir die Meldung.
Du musst ja kein Chrome Konto eröffnen, das ist ja optional.
adblock für chrome:
http://filepony.de/download-ghostery_chrome/
HTTPS Everywhere
https://chrome.google.com/webstore/d...jekcdonpmejbdp
wählt, wenn möglich, eine sichere Verbindung
sicher surfen mit chrome:
Sicher surfen mit Google Chrome | Verbraucher sicher online




Lesezeichen importieren:
https://support.google.com/chrome/answer/96816?hl=de

Sandbox Fehlermeldungen:
Musst du mir mal posten wenn es sie gibt :-)
Panda: hast du das Tool evtl. schon mal genutzt?
Secunia: ist in der Standard Einstellung ok

Filehippo kannst du weg lassen.
Sehop: nutze das automatische Tool das geht unter Vista und höher.
mach einfach von dem neu abgesichertem System ne sicherung, wenn es dann fehlerfrei läuft.

Hi,
bei Photoscape.org gibt’s 3 Downloadseiten: Brothersoft.com, download.cnet.com.
Bei beiden wieder dasselbe bei mbam. PUP.Opt. Der dritte wäre Softtonic und da schau ich
gar nicht rein. Auch bei Filehippo, scheinbar egal wo ich es runterlade.
PUP. Opt war doch vor der Bereinigung auch im Photoscape download?
Panda habe ich noch nie benützt.
Bei Chrome kann man Lesezeichen importieren, aber scheinbar nicht auf einen Stick sichern, sondern nur aufs Konto. Oder?
Das andere muss ich noch probieren.

LG

Hi,b
https://support.google.com/chrome/answer/96816?hl=de
da steht wie es geht, als HTML, kannst du dann auf nem Stick speichern.
du solltest die Instalation starten können, und schauen ob du erweitert bzw benutzerdefiniert instalieren kannst, dort kannst du in der Regel OpenCandy abwählen, oder du versuchst eine Alternative, gimp sollte z.B. gehen

Hi,
Vielen Dank.
Oh bei Chrome hab ich das übersehen. FF ist deinstalliert.
PDF: Einstellung von Sandbox ging ohne Probleme, auch andere PDF Anwendungen.
Bei Photoscape kann man nur Google Drive abwählen. Habs nicht installiert.
ACDC 7 ist ein steinaltes Programm, das ich ab und zu neben Photoscape nutze. Dafür kann man keine Aktualisierungen ohne Kauf mehr haben. Kann ich das trotzdem drauf lassen?
Mit Sandbox muss ich mich am WE noch mehr beschäftigen.

LG

Hi,
ACDC kannst du denke ich behalten

hi,
ok, aber bei Sandboxie bin ich irgendwie ratlos… Bei jeden Download , egal was kommen so blöde Fehlermeldungen. Auch bei eurer Anleitung bei Flavicon.ico und notepad hat gar nicht funktioniert.
Die Downloads wurden dann meistens trotzdem durchgeführt.

Code: Alles auswählenAufklappen

ATTFilter

SBIE 1308 Programm kann nicht gestartet werden aufgrund von Beschränkungen - dllhost.exe(Defaultbox)
SBIE 2222 Zum Hinzufügen des Programms zu Beschränkungen - Start/Ausführen Zugang bitte diese Meldungsze
SBIE 2314 Prozess abbrechen dllhost.exe

Dasselbe auch mit notepad.exe; rundll32.exe
         

Wollte dann Flavicon vom Desktop in der Sandbox starten und hatte folgend Meldung:

Code: Alles auswählenAufklappen

ATTFilter

C/User/Climb/Desktop/favicon.ico
Systemfehler:
%1 ist keine zulässige Win32-Anwendung.
(193)
         

Hab Reinstalliert, hat aber nix gebracht. Dann hab ich unter Einstellungen, Beschränkungen im Internetzugriff und im Ausfüren/Start notepad.exe und dllhost.exe dazugetan. Danach ging’s. Jetzt hatte ich bei einen anderen Download die gleichen Meldungen mit wemgr.exe.
Ist es Sinn und Zweck der Sache alle Programme, die so gemeldet werden dazu zu tun?
Oder wie geht es ohne diese Meldungen und dass alles funktioniert?

Für Chrome suche ich noch ein gescheites Noscript, wo man Java temporär, aber auch bestimmte Seiten für immer erlauben kann. Was würdest du mir empfehlen?

LG
Zenza

hi, du sollst doch eig nur die Browser in der sandbox starten, passiert das dann auch noch?
andere Anwendungen können weiterhin außerhalb laufen.
pdf kann evtl. auch in die Sandbox