|
mediashift.com und Backdoor.Agent in Registry Value Fehler gemacht. Wir haben uns vor ein paar Monaten einen neuen PC gekauft und weil alles vorinstalliert war, sind wir irrtümlich davon ausgegangen, dass auch ein Antivir aktiv ist (Norton hat immer mal wieder zum registrieren aufgefordert, aber das haben wir blöderweise ignoriert. ) Nun öffnet sich seit in paar Tagen im Firefox immer dieser zusätzlich mediashift.com Tab. Also hab ich gestern mal forschen angefangen --- und den Norton aktiviert und das System gescannt: Ergebnis: einige Viren, die aber lt. norton alle isoliert werden konnten. (Protokoll in Norton_Quarantäne.txt) --- Muss ich da noch was tun, oder ist das alles damit erledigt? Gestern haben sie uns dann auch von ebay benachrichtigt, dass das Konto gesperrt wurde, weil jemand illegal zugegriffen hat. Ich hab jetzt von einem andern PC aus die Passwörter von ebay, onlinebanking und gmx-Mailaccounts geändert. Die MediaShift-Seite kommt aber weiterhin. Ich hab deshalb jetzt Defogger und OTL laufen lassen. Defogger hat nix gesagt. Die OTLs sind im Anhang. Dann hab ich noch den QuickScan von Malwarebytes laufen lassen. Das erste Mal wurde ziemlich viel gemeldet. (Protokoll in MalWareBytes first run.txt) Nachdem ich dann "Entferne Auswahl" angeklickt hatte, blieben beim 2.Scan noch 1 Infizierte Registrierungswert übrig: HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Backdoor.Agent) -> Daten: C:\Users\HP\AppData\Local\94b7e507\X -> (Protokoll in MalWareBytes second run.txt) Er wurde aber angeblich erfolgreich gelöscht und in Quarantäne gestellt. Trotzdem kommt weiterhin die Mediashifting-Seite.... Wo kann ich eigentlich Info drüber bekommen, was so ein backdoor-agent alles anstellen kann -- welche Daten da also u.U. jetzt in die Welt gingen? Welche Gefahren da für meine Mailboxen drohen...... Ich hoffe, dass ich hier schnell Hilfe bekomme. Danke Sissi |
hi, du wirst formatieren müssen, da du online einkaufst ist das das sicherste. ich helfe dir bei allem, keine angst. wie sieht es mit onlinebanking aus? möchte mir vorher noch was ansehen Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde! Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.
|
Hi Markus, schön, dass Du mir hilfst Ich hab den Combofix nun angestartet, Norton deaktiviert --- aber jetzt steht er seit bestimmt 15 Min an dem Punkt Stufe 4. Hoffentlich hab ich da nix falsch gemacht. Vorher kam mal ein Fenster hoch mit der Frage nach Netzwerkeinstellungen (HomeNw, Öffentlich...) im Reflex hab ich da auf öffentlich geklickt, ohne dranzudenken, dass ich die Maus nicht bewegen darf. Ist das der Grund dass das Programm jetzt steht? Zu Deiner Frage: ja, wir machen online banking mit dem Rechner. Ich hab aber vor 2 Tagen die PIN bei der Bank geändert und geh an diesem Rechner nicht mehr ins Banking. Muss ich eigentlich auch alle gmx-Passwörter aller unserer Accounts ändern oder nur die über die wir bei ebay und Bank angemeldet sind? |
ok, ich lass den Rechner einfach an der Stelle stehen -- und hoffe, dass Du heut abend nochmal online kommst. Ich schau gegen 22:15 nochmal rein. HOFF |
okay, ich war wohl zu ungeduldig. Blöd, dass Combofix sagt, das Pgm liefe 10Min und manchmal doppelt so lang. Deshalb war ich dann nach 30 Min und nur 4 Steps doch verunsichert. Aber nach 2,5 Std war es dann auch mit Step 4 fertig und hat weitergemacht. Ich lass es weiterarbeiten während ich schlafe. Morgen dann der post vom log. Markus, Du hast b4zZ heut abend empfohlen, "lasse das onlinebanking sperren, begründung, zero access rootkit." Ist das auch nötig, wenn ich die PIN vom Bankacct geändert hab und dort noch nix ungewöhnliches passiert war ? Die Dame an der Notfall Nummer konnte mir die Frage nicht beantworten. lg Sissi |
hab das combofix-log hochgeladen (combofix ist 7 Std gelaufen.) Warte jetzt sehnsüchtig auf Deine Auswertung DANKE |
das logfile |
wenn du die zugangsdaten geendert hast sollte es passen. der pc muss neu aufgesetzt und dann abgesichert werden 1. Datenrettung:
4. alle Passwörter ändern! 5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen. 6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen. |
Hi Markus schade, dass Du nicht schreibst, welche Rückschlüsse sich aus dem combofix log ziehen lassen. Die Mediashift-Seite kommt nicht mehr. Heisst das, combofix war erfolgreich? Ich hab am Wochenende viel gelesen über Rootkit Infektion, Trojaner, blabla Dass ich den Rechner neu installieren muss ist mir jetzt klar. Aber mich würd einfach ein bischen detaillierter interessieren, was ich mir da eingefangen hatte (ich bin selber Informatikerin, die aber in den letzen 20 Jahren wenig mit dem Setup von PCs zu tun hatte.) 1) Ich hab mittlerweile die Daten seit dem letzten Backup auf CDs gebrannt -- und die externe Festplatte nicht mehr angeschlossen in der Hoffnung, die war noch sauber. --> Reicht es wenn ich den Norton-Check über die Platte laufen lasse, bevor ich sie nach dem Aufsetzen verwende um die Daten wieder aufzuspielen? 2) Was ich nicht verstehe: Ich hab am 27. gemerkt, dass ich den Virus hab - am 28. hab ich dann von ebay eine Mitteilung bekommen, dass mein Account gesperrt wurde, weil jemand unberechtigter sich angemeldet hat. Darauf hab ich dann das Passwort (von einem (hoffentlich) sauberen Rechner aus) zurückgesetzt. Nun hab ich aber am 29. von ebay diese Nachricht wieder gekriegt -- allerdings hat ebay diesmal das Passwort nicht zurückgesetzt. --> Konnte nun jemand OBWOHL ich das Passwort geändert hatte, in ebay ? Oder ist die Mail eine fake-mail um mich dazuzubringen mich bei ebay anzumelden und mein Passw einzugeben, um das wieder abzugreifen? 3) Was mach ich mit den anderen Rechnern, die hier bei mir im Haus hinter demselben Router hängen ? (Kinder) --- lass ich auf denen auch mal otl und malwarebytes laufen ? Kann ich da was kaputtmachen? 4) Ich arbeite grad mit einer 60Tages TestLizenz vom Norton. Installiere ich den nach dem Neustart wieder -- oder wäre was anderes besser ? Wäre schön, DU hast mir ein paar Antworten............ Viele Grüße Sissi |
sorry, du hast dir das sogenannte zero access (max++) rootkit eingefangen. dieses rootkit wird sehr stark weiter entwickeld im moment und ist quasi der nachfolger des tdss rootkits. das zero access rootkit gibts zwar schon ein paar jahre lang, aber war zuerst hauptsächlich in den usa aktiv, im letzten jahr hat sich das geendert und wir sehen verstärkt infektionen mit diesem rootkit. zu 1. ich würde dir, in zukunft, zu dem programm emsisoft raten, dies kostet 20 € (bei nem shop den ich verlinken werde) pro jahr und das hatt, im gegensatz zu norton, keine probleme eine zero access infektion zu verhindern. mit diesem programm kannst du die datensicherung prüfen. 2. kann ich dir nicht beantworten, kannst du die mail + header mal als datei anhängen? es kann auch sein das sich jemand mit dem account anmelden wollte da er dachte der account wäre noch immer in seiner hand. 3. normalerweise sollten die pcs im netzwerk sicher sein, aber du kannst ja mal komplett scans mit malwarebytes machen. 4. habe ich schon unter 2. beantwortet :-) ich werde dir dann noch weitere absicherungsmaßnamen nennen, aber erst wenn wir beim formatieren sind, möchte das alles in ruhe abklären :-) |
Danke Also dann mach ich mich heut mal dran, den Rechner neu aufzusetzen (stöhn) Mittlerweile hab ich auch den 1.Laptop gescanned --> da war drauf: a) Inf. Registry HKLM\SOFTWARE\Microsoft\Windows\Currentversion\Run|Windows Update (Backdoor.IRCBot) -> Daten: ssms.exe HKLM\SOFTWARE\Microsoft\Windows\Currentversion\RunServices|Windows Update (Backdoor.IRCBot) -> Daten: ssms.exe Die hat er angebl. beide erfolgreich gelöscht Und Avira hat den TR/Agent 188416.79 [trojan] gefunden - und in Quaratäne geschoben. Das ist ein Uralt-Laptop, den wir halt jetzt wieder in Betrieb genommen hatten, damit wir die Passwörter ändern können. Der hat noch Windows 2000 SP4 und wahrsch. einen 16Bit Processor. Ich hab von Avira zwar die aktuellen VirenDefinitionen runtergeladen, aber die neue PgmVersion von Avira konnte ich nicht installieren. Weisst Du ob emsisoft drauf laufen tät? Dann mach ich auch den platt und setz ihn neu auf. Wegen Formatieren: Der PC war ja vorinstalliert. Mein Mann hat dann gleich nach Anweisung ein Systemabbild gezogen und eine SystemReparatur-CD gebrannt. Wie gehe ich jetzt vor ? |
klingt so als wäre das gerät ebenfalls infiziert, passwörter müssen also noch mal geendert werden sobald das system neu gemacht wurde. womit habt ihr die sicherung des pcs gemacht? mit windows 7 backup? |
So, der PC ist jetzt neu aufgesetzt anhand des Systemabbild, das wir gleich nach dem Kauf gemacht haben. Ich hab nochmal die TestVersion von norton aktiviert und drüberlaufen lassen. Die Dateien auf die externe Festplatte hab ich immer mit robocopy gesichert. Weil da die letzte Sicherung vom 7.1.2012 war, hab ich alle meine Bilder seit diesem Datum und die aktuellen thunderbird/Firefox Dateien auf CD gebrannt. Der nächste Schritt wäre nun m.E. die externe Festplatte auf Viren zu scannen. --> Wie gehe ich da vor ??????? In einem anderen Threat hab ich schon gelesen, das ich autorun abschalten muss. Aber reicht das ? Ist folgendes Vorgehen das richtige : * Ich schalte autorun ab * hänge die Platte dran * und scanne sie mit Norton. * Alle infizierten Files schick ich in Quarantäne, die restlichen kann ich beruhigt zurückspielen auf meinen Rechner ? Nächste Frage: Und wie richte ich dann den PC optimal ein, damit mir das nicht mehr passiert: * was muss ich beachten fürs banking ? Ich überleg, das nur noch in virt.machine zu machen. Gut? * einen Account ohne Admin-Rechte zum Surfen Ideen hab ich viele. Aber gibt es vielleicht auch einfach ein "Kochrezept-Buch: Wie richte ich mir meinen PC sicher ein". Hast Du mir einen Link auf eine Seite, die das gut beschreibt? |
hi, erst mal den pc einrichten, dann werden die daten geprüft :-) als antimalware programm würde ich emsisoft empfehlen. diese haben für mich den besten schutz kostet aber etwas. http://www.trojaner-board.de/103809-...i-malware.html testversion: Meine Antivirus-Empfehlung: Emsisoft Anti-Malware und du kannst vor dem aktivieren der lizenz die 30 tage testzeitraum ausnutzen. kostenlos, aber eben nicht ganz so gut wäre avast zu empfehlen. http://www.trojaner-board.de/110895-...antivirus.html sag mir welches du nutzt, dann gebe ich konfigurationshinweise. bitte dein bisheriges av deinstalieren die folgende anleitung ist umfangreich, dass ist mir klar, sie sollte aber umgesetzt werden, da nur dann dein pc sicher ist. stelle so viele fragen wie nötig, ich arbeite gern alles mit dir durch! http://www.trojaner-board.de/96344-a...-rechners.html Starte bitte mit der Passage, Windows Vista und Windows 7 Bitte beginne damit, Windows Updates zu instalieren. Am besten geht dies, wenn du über Start, Suchen gehst, und dort Windows Updates eingibst. Prüfe unter "Einstellungen ändern" dass folgendes ausgewählt ist: - Updates automatisch Instalieren, - Täglich - Uhrzeit wählen - Bitte den gesammten rest anhaken, außer: - detailierte benachichtungen anzeigen, wenn neue Microsoft software verfügbar ist. Klicke jetzt die Schaltfläche "OK" Klicke jetzt "nach Updates suchen". Bitte instaliere zunächst wichtige Updates. Es wird nötig sein, den PC zwischendurch neu zu starten. falls dies der Fall ist, musst du erneut über Start, Suchen, Windows Update aufrufen, auf Updates suchen klicken und die nächsten instalieren. Mache das selbe bitte mit den optionalen Updates. Bitte übernimm den rest so, wie es im Abschnitt windows 7 / Vista zu lesen ist. aus dem Abschnitt xp, bitte den punkt "datenausführungsverhinderung, dep" übernehmen. als browser rate ich dir zu chrome: https://www.google.com/chrome?hl=de falls du nen andern nutzen willst, sags mir dann muss ich teile der nun folgenden anleitung Sandboxie Die devinition einer Sandbox ist hier nachzulesen: Sandbox Kurz gesagt, man kann Programme fast 100 %ig isuliert vom System ausführen. Der Vorteil liegt klar auf der Hand, wenn über den Browser Schadcode eingeschläust wird, kann dieser nicht nach außen dringen. Download Link: http://filepony.de/download-sandboxie/ anleitung: http://www.trojaner-board.de/71542-a...sandboxie.html ausführliche anleitung als pdf, auch abarbeiten: Sandbox Einstellungen | bitte folgende zusatz konfiguration machen: sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen. dort klicke auf sandbox einstellungen. beschrenkungen, bei programm start und internet zugriff schreibe: chrome.exe dann gehe auf anwendungen, webbrowser, chrome. dort aktiviere alles außer gesammten profil ordner freigeben. Wie du evtl. schon gesehen hast, kannst du einige Funktionen nicht nutzen. Dies ist nur in der Vollversion nötig, zu deren Kauf ich dir rate. Du kannst zb unter "Erzwungene Programmstarts" festlegen, dass alle Browser in der Sandbox starten. Ansonsten musst du immer auf "Sandboxed webbrowser" klicken bzw Rechtsklick, in Sandboxie starten. Eine lebenslange Lizenz kostet 30 €, und ist auf allen deinen PC's nutzbar. Weiter mit: Maßnahmen für ALLE Windows-Versionen alles komplett durcharbeiten Backup Programm: in meiner Anleitung ist bereits ein Backup Programm verlinkt, als Alternative bietet sich auch das Windows eigene Backup Programm an: Windows 7 Systemabbild erstellen (Backup) Dies ist aber leider nur für Windows 7 Nutzer vernünftig nutzbar. Alle Anderen sollten sich aber auf jeden fall auch ein Backup Programm instalieren, denn dies kann unter Umständen sehr wichtig sein, zum Beispiel, wenn die Festplatte einmal kaputt ist. Zum Schluss, die allgemeinen sicherheitstipps beachten, wenn es dich betrifft, den Tipp zum Onlinebanking beachten und alle Passwörter ändern bitte auch lesen, wie mache ich programme für alle sichtbar: Programme für alle Konten nutzbar machen - PCtipp.ch - Praxis & Hilfe surfe jetzt also nur noch im standard nutzer konto und dort in der sandbox. wenn du die kostenlose version nutzt, dann mit klick auf sandboxed web browser, wenn du die bezahlversion hast, kannst du erzwungene programm starts festlegen, dann wird sandboxie immer gestartet wenn du nen browser aufrufst. wenn du mit der maus über den browser fährst sollte der eingerahmt sein, dann bist du im sandboxed web browser |
Hi Markus, wow D A N K E Eine Frage hab ich gleich noch, bevor ich die Dokumente alle lese: ich hab mich gestern kurz mit einem Freund unterhalten. der hat mir als Virenscan G Data empfohlen. Das wäre besonders wenn man VM laufen lässt besonders ressourcenschonend. Da kosten 3PC 2 Jahre 95 Euro, bei emsisoft 3 PC 1 Jahr 90Euro. Kennst Du G Data? Ist emsisoft besser? |
kannst du mir mal genau sagen wie dein bedarf ist, vllt kann ich dir ne sonderaktion suchen. gdata ist besonders bei den scans sehr resourcen hungrig. und auch sonst braucht es meiner erfahrung nach viel speicher. hab grad mal geguckt, im arbeisspeicher benötigt emsi hier grad 12 mb |
.................... |
.......... |
ne, ich meinte eigendlich wie du gern die lizenz hättest. brauchst du mehr pc lizenzen oder mehr jahres lizenzen? zb nutze ich die windows firewall, dann bräuchtest du online amor nicht, denn ich denke du hattest nach dem security pack geschaut, so könntest du schon mal einiges einsparen. bedenken solltest du außerdem, dass die lizenzen bei erneuerung billiger werden, nach ablauf der frist sollten es beim ersten mal 25 % sein und das geht dann hoch bis 50 % und ich guck grad ob die im moment noch rabatt aktionen laufen haben. |
ja, die windows firewall hab ich auch aktiv ich dachte Deine Frage hat was mit den Resourcen zu tun.... ich möcht halt diese 4 Rechner absichern Was meinst Du mit der Unterscheidung PC-Lizenzen / Jahres-Lizenzen. Ich dachte, diese Viren-Pgm kauft man immer für eine bestimmte Zeit |
na du kannst ja zb auch sagen, obwohl ich grad nicht im kopf hab ob das in deren shop möglich ist, dass du 3 jahres lizenzen für 4 pcs haben willst, also menge 4 pcs laufzeit 3 jahre. da müsste man halt mal gucken was sich rechnet. wie gesagt, würde ich nicht das security pack nehmen, sondern emsisoft stand alone, die windows firewall sollte ausreichend sein. ich hab hier auch häufiger mal vms laufen und bemerke keinen einbruch wenn mein antimalware programm aktiev ist. |
hmmmmmmm 1 Jahres Lizenzen sind total ausreichend, weil man die wie du sagst, ja verlängern kann. Nur sind 3 von unseren PCs alte Gurken, die irgendwann ausgetauscht werden müssen. Es muss also eine Lizenz sein, die man von einem PC auf einen anderen umziehen kann. Wie ist'n das mit VM? So ne Box für sich hat ja erst mal keinen virenschutz. Das Virenprogramm dafür muss ja auch extra eingerichtet werden. Richtig? Kann ich dann da mit derselben Lizenz arbeiten, die auf dem Rechner eigentlich drauf ist ? Vielleicht ist die Frage auch blöd? Ich kenn bisher VM nur vom hörensagen.... |
wenn ich fragen darf, wozu benötigst du ne vm? also das tauschen der lizenzen von pc zu pc sollte kein problem machen, solange du sie nur jeweils auf einem pc nutzt. |
das wenn ich schon so genau wüsste. Mein Projektleiter hat gesagt, dass er mir ne VM einrichtet für die .net Entwicklung. Und er hat erzählt, dass er selber fürs onlineBanking und surfen je auch ne VM hat. Ich hab das bisher nicht hinterfragt, wusste nur, ich muss mich mit dem Thema beschäftigen. |
hi, ne vm fürs surfen und banking braucht man eigendlich nicht. für das surfen reicht die sandbox + die restlichen maßnamen aus. beim banking solltest du dich über den card reader, klasse 3 beraten lassen, dieser hat den vorteil, das aktieve keylogger nicht mitlesen können, da er ne eigene tastatur hatt. auch anzeigen am bildschirm fälschen wäre nutzlos, da eigenes display vorhanden. man nennt diese reader auch Komfort-reader. die banking software sollte direkt verbindungen zur bank anbieten, frage da nach HBCI bzw FinTS verfahren. dies bietet die möglichkeit einer besseren verschlüsselung netplanet - Sicherheit im Internet - Sicherheit im Online-Banking die banken bezuschussen geräte bzw software. der vorteil ist hier eigendlich ganz klar, in dem unwarscheinlichem falle das was passiert, kann man sagen, ich bin auf dem neuesten stand der technik, dass sollte günstig sein, wenn man geld zurück will :-)wenn du die vm nur für das arbeiten bekommst, ist da aauch kein extra schutz nötig. |
Hallo Markus ---- weiter gehts ------ Ich hab alle Windowsupdates installiert, bekomme aber bei 2 "wichtigen" "fehlgeschlagen": Sicherheitsupdate für Microsoft XML Core Services 4.0 Service Pack 2 für x64-Systeme (KB954430) Installationsstatus: Fehlgeschlagen Fehlerdetails: Code 643 Update für Microsoft XML Core Services 4.0 Service Pack 2 für x64-basierte Systeme (KB973688) Installationsstatus: Fehlgeschlagen Fehlerdetails: Code 643 2 weitere updates, die danach kamen, wurden wieder erfolgreich installiert. Wenn ich es manuell runterlade und installieren will, krieg ich den Fehler: "Fehler beim Öffnen der Protokolldatei der Installation. ..." Kannst Du damit was anfangen? Ich hab schon gegoogelt, bin aber nicht schlau geworden PS noch ne kleine Anmerkung - ich weiss, dass ihr nur privat-leuten helfen wollt. Das passt 100%. Auch wenn ich die VM von meinem ProjLeiter bekomme, ich krieg sie nur, um mir privat und zu eigenem Vergnügen .net beizubringen. Hat mit meinem Job nix zu tun. Nur hab ich das Gefühl, nach 20 Jahren reiner DB-Entwicklung muss ich aufpassen, dass ich mir ein 2.Standbein schaffe sollte. (Aber vielleicht wärs ja auch intelligent sich in die Bereinigung von infizierten PCs einzuarbeiten? Wenn ich mir überleg, wie schwer ICH mir tu -- und das obwohl ich "vom Fach" bin. "Otto-Normal-Verbraucher" ist doch da total aufgeschmissen....) |
hi, ja das würde sich lohnen, zumal man über die jahre eine zuname an trojanern sieht und ein mangelndes sicherheitsbewusstsein, oder sagen wir so, das bewusstsein ist vllt da, aber die leute wollen nichts dafür tun. aber weis jetzt nicht wie die verdienstmöglichkeiten da im vergleich sind. müsste man sich halt mal drüber informieren :-) kannst du mal unter systemsteuerung und software gucken ob Microsoft XML Core überhaupt instaliert ist? evtl musst du windows updates anzeigen lassen, bin mir da nicht ganz sicher. mach erst mal mit dem rest weiter, muss da noch mal nach forschen. |
weder unter software noch unter updates find ich irgendwas zu MS XML |
du könntest mal das fixit aus methode 1 probieren: Fehler "0x80070643" oder "0x643" bei dem Versuch, .NET Framework-Updates über Windows Update oder Microsoft Updates zu installieren |
mein Fehler mit den Updates ist weg. Ich musste nochmal nach neuen updates suchen und die installieren. Dann gings. In deiner Anweisung steht u.a. Bitte übernimm den rest so, wie es im Abschnitt windows 7 / Vista zu lesen ist. aus dem Abschnitt xp, bitte den punkt "datenausführungsverhinderung, dep" übernehmen. 1 --> Ich hab Windows7 64Bit. Damit hat sich das für mich erledigt. Richtig? Ist standardmässig aktiviert und ich kann es auch nicht ausschalten ? 2) --> Da steht auch: Dienste konfigurieren: Windows-Dienste sicher konfigurieren und abschalten (Windows 7/Vista/XP/2000) - Windows-Dienste sicher konfigurieren und abschalten (Windows 7/Vista/XP/2000) - www.ntsvcfg.de in der Anleitung über Services gehts aber nie um Windows 7. Muss ich bei W7 nix tun? 3) Autorun hab ich jetzt mal via regedit Services\Cdrom\autorun 0 abgeschaltet Das gpedit.msc hab ich nicht gefunden. Aber eine Anleitung wie man das nachinstallieren kann. Ist die Anleitung sauber? Kann ich nach der vorgehen? Oder brauch ich das gar nicht? gpedit.msc für Windows 7 Home Premium - Forum - COMPUTER BILD ... warte jetzt erst mal auf Deine Antworten. Du sagst ja, lieber 1x mehr als 1x zu wenig fragen. und mach morgen abend weiter. Danke erst mal bis hierher. Hab schon viel gelernt |
ja, das mit der dep hat sich erledigt. dann bleiben noch uac auf höchste stufe, und sehop aus dem abschnitt windows 7, und über das eingeschrenkte (standard) konto nachdenken. 2. bei windows 7 belasse es so, wie gesagt, aus dem abschnitt xp wäre nur die dep interessant gewesen. 3. du kannst noch mal in der systemsteuerung gucken ob die einstellung passt, wo du die einstellung findest steht im original artikel oder du kannst es auch nach der anleitung von computer bild nachinstalieren. |
guten Abend, Markus. Hab jetzt Norton deinstalliert und mich für EMSI entschieden. Du wolltest konfigurationshinweise schicken...... |
jawoll. hattest du als browser chrome genommen, da müsste ich auch noch einiges sagen. emsisoft öffnen, einstellungen klicken. geplanter scan. wähle starten um, ich persönlich hab monatlich, kannst aber auch wöchendlich einstellen. uhrzeit, und bei monatlich ebenfalls datum wählen. unsichtbar, falls du das scan fenster nicht sehen möchtest. und verpasste scans nachholen. auto update: intervall, täglich, stündlich von 00.00 bis 23.59 heißt jede stunde updates. einstellung: update am antimalware network teilnemen. die andern beiden haken, beta updates und zusätzliche sprachen, nicht setzen. rest bleibt. klicke jetzt auf wächter: dort auf wächter. verhaltensanalyse aktivieren, alles selektieren. jetzt auf alarme: aktiviere dort comunety basierte alarm reduktion. unter anderem dafür gibt es das antimalware network. die comunety basierte alarm reduktion betrifft die verhaltensanalyse. emsisoft gibt, bei einigen programmen, meldungen raus, weil das verhalten des programmes dies notwendig macht. da manche user sich damit nicht auskennen, was keine schande ist, :-) wird hier geprüft, wie viele nutzer haben programm x erlaubt oder blockiert. hier haben wir im moment 90 % eingestellt, also wenn 90 % sagen, das programm ist io, wird ne erlauben regel angelegt, wenn sie sagen, programm x ist bösartig, automatisch blockiert. wenn du dir das allein zutraust, musst du den haken nicht setzen. wenn zb nur 70 % aller user sagen programm x ist gut oder bösartig, wird dir dies in einer grafik angezeigt jetzt auf datei wächter. standard atkion für erkannte objekte, alarmieren. surf schutz: hier alles auf blockieren mit info. wenn es eine seite gibt, die versehens blockiert wird, kanns du die direkt über das popup erlauben was es bei der blockierung gibt, oder über host regeln. wenn dir diese info popups nicht gefallen musst du alles auf unsichtbar blockieren stellen, aber drann denken, zu prüfen wenn du ne seite hast, die nicht geladen wird, ob emsi sie geblockt hatt. das wäre es, hoffe es war verständlich. |
Ja, hab Chrome installiert und emsisoft entsprechend konfiguriert |
sehr gut, die verhaltensanalyse ist vllt am anfang ein wenig gewöhnungsbedürftiger, da es ein paar meldungen mehr als sonst gibt, keine angst, es sind nicht viel, aber die comunety bewertung sollte bei der entscheidungsfindung helfen, und die meldungen sind eig auch recht verständlich. adblock für chrome: http://filepony.de/download-adblock_chrome/ damit sollte das leben werbefreier von statten gehen. ghostery: http://filepony.de/download-ghostery_chrome/ hier mal ne kurze erklärung: https://www.datenschutzzentrum.de/tr...-tracking.html chrome sicher konfigurieren: Sicher surfen mit Google Chrome | Verbraucher sicher online |
ok, auch Chrome eingerichtet. das einzige was mir jetzt noch fehlt, ist glaub ich Sandbox und dann die Überprüfung meiner Daten auf der externen Platte. Oder hast Du mir noch weitere Aufgaben? Wie schauts eigentlich aus mit PDF readern? Ich hab mal gehört, ADOBE ist ziemlich unsicher. Was soll ich mir da installieren? Ah und noch was: in einem anderen Threat hab ich von Dir was gelesen über Panda USB Vaccine. Soll ich das auch installieren? |
ja, steht ja eigendlich hier drinn. http://www.trojaner-board.de/96344-a...-rechners.html ich geb dir jetzt noch mal ne checkliste ok? - windows updates instalieren (wichtige und optionale) - windows updates konfigurieren. - dep aktivieren. - sehop aktivieren. - uac auf höchste stufe. - sandbox instalieren und nach pdf anleitung konfigurieren - chrome instalieren und nach anleitung konfigurieren - emsisoft instalieren und nach anleitung konfigurieren - autorun deaktivieren. - panda vaccine instalieren. - file hippo instalieren. - secunia instalieren. - paragon instalieren. - nicht vergessen bei der bank wegen card reader und banking software anzufragen. adobe reader ist eigendlich ok. adobe reader: Adobe - Adobe Reader herunterladen - Alle Versionen haken bei mcafee security scan raus nehmen bitte auch mal den adobe reader wie folgt konfigurieren: adobe reader öffnen, bearbeiten, voreinstellungen. allgemein: nur zertifizierte zusatz module verwenden, anhaken. internet: hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc. es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht. bei javascript den haken bei java script verwenden raus nehmen bei updater, automatisch instalieren wählen. übernehmen /ok |
Hallo Markus. Wenn ich in der sandbox ein pdf ausm web runterlade - und das auch in der Sandbox anschauen will (a) um die Gefahr zu minimieren (b) weil ich das pdf auch nur 1x lesen will, danach nicht mehr brauch, mit der Sandbox also auch wieder löschen kann -- dann krieg ich den Fehler: Aufgrund eines Problem mit Ihrer Systemkonfiguration kann Adobe Reader nicht im geschützten Modus geöffnet werden. Soll Adobe Reader mit deaktiviertem geschützten Modus geöffnet werden? Was ist das falsch konfiguriert -- oder kann ich bestätigen, dass AdobeRe immer in deaktiviertem gesch. Mode laufen darf? Noch ne 2.Frage: Bei dem o.g. Popup hab ich dann unten auf den Link "Weitere informationen zum geschützten Modus und inkompatiblen Systemkonfigurationen" geklickt. --- doch dann hat sich in meiner Sandbox die Seite im InternetExplorer 9 geöffnet - und nicht in Chrome, obwohl der doch als Standard konfiguriert ist. Was muss ich da noch zusätzlich einstellen, damit der IE 9 gar nicht mehr verwendet wird? 3.Frage: Und weil das das erste mal war, dass IE9 aufgemacht wurde, wurde ich auch nach Config gefragt: "Empfohlene Sicherheits- und Kompatibilitätseinstellungen verwenden (SmartScreen Filter)" -- oder "Empfohlene Einstellungen nicht verwenden" Was ist da die richtige Antwort? |
hi, gibts die fehlermeldung des adobes auch außerhalb der sandbox? internet explorer konfigurieren: Sicher surfen mit dem Internet Explorer | Verbraucher sicher online wegen der frage, warum der ie sich öffnet, kann ich dir nicht beantworten, einige hersteller arbeiten nur mit dem ie, evtl. liegt es daran. deswegen muss dieser ja auch, unteranderem, aktuell gehalten werden. wenn du in zukunft die sandboxie vollversion nutzen solltest, kannst du erzwungene programmstarts konfigurieren, dann starten alle browser die du da auswählst immer in der sandbox. |
Hi Markus, sobald ich Adobe die Erlaubnis gebe in "deaktiviertem geschützen Modus zu laufen, funktionierts. Und ausserhalb der Sandbox funktionierts ganz normal. Und noch ne andere Frage: wenn ich von GMX die Chat-Funktion nutzen will, muss ich firefox oder IE nutzen, bei Chrome wird das wohl nicht unterstützt. Aber ich hab ja für diesen Fall IE installiert. - Aber wie soll ich ihn nun konfigurieren (die 3.Frage meiner letzten Nachricht) Und es gibt auch erfreuliche News: meine externe Sicherung vom 7.1. war lt. Emsisoft und Malwarebytes komplett sauber. Meine Daten sind also alle gerettet. |
nutze die empfohlenen einstellungen, weitere anleitung findest du in dem link. du musst dann in der sandbox unter konfiguration, programm und internet zugriff die iexplore.exe eintragen und bei anwendung, webbrowser, internet explorer, alles anhaken außer gesammten profil ordner freigeben. das mit der datensicherung ist erfreulich :-) das die adobe sandbox nicht funktioniert ist ja kein beinbruch, du bist ja in der sandbox, da kann man das verkraften. ist dir be secunia und file hippo aufgefallen das sie englische updates erstellen, bei programmen wie browser, reader, musst du dann einfach die hersteller seite in den favoriten des browsers speichern und die updates beim hersteller laden, bei java, quicktime, flash ists egal ob die updates deutsch oder englisch sprachig sind. |
Zu secunia und file hippo hätte ich da noch so ne generelle Frage: Eigentlich hab ich ein ziemlich ungutes Gefühl dabei, dass es da nun Stellen gibt, die das komplette Bild von meinem Rechner haben. Die jedes Programm kennen, das installiert ist. Bin ich damit nicht gläserner als es eigentlich gut ist? |
naja, dann lasse eines der beiden weg, ich würde dann eher file hippo behalten. und was sollten diese stellen denn damit anfangen können? diese services nutzen so viele leute, ich glaub kaum das es die interessiert, was einzelne leute auf ihren pcs haben. |
ok, ich hab jetzt file hippo (und auch secunia ) installiert. Nun hat mir file hippo gesagt, mir fehlten 4 updates Einer davon ist windows live essentials 2011 (mit windows live mesh, messenger companion, family safety, bla bla. Brauch ich das wirklich? Was ist deine Meinung? Soll ich mich mit all den Programmen mal auseinander setzen -- oder muss ich da noch so ein paar Komponenten deinstallieren, die nur resourcen ziehen, die aber kein Mensch braucht. gibts da ne positiv-liste mit dingen, die mein PC haben sollte -- und den Dingen die man runterschmeissen kann, weil sie echt nice-to-have sind? da ist noch was: in dem Link: http://www.trojaner-board.de/96344-a...-rechners.html zeigt der file-hippo link zu http://www.trojaner-board.de/register.php?referrerid=1 und nicht zur download seite |
komisch, das hat schon mal wer gesagt, aber bei mir geht der link, muss mir das mal angucken. schau mal unter systemsteuerung, software, ob dort windows live instaliert ist, falls ja, und du nutzt es nicht, dann weg damit, kann sein das es beim updaten mit instaliert wurde, müsste man dann gegebenenfalls ausblenden. ne positiv liste gibtss nicht wenn gewünscht könnten wir uns deine software liste mal ansehen. |
Was ist das nun wieder ? Grad als ich den Rechner neu gebootet hab (weil der Lüfter die ganze Zeit auf voll-Leistung lief, obwohl 0% CPU verbraucht wurden, kam von Emsi diese Meldung hoch: Dateiname: C:\Program Files\Hewlett-Packard\HP MediaSmart\SmartMenu.exe Programm versucht Maus- oder Tastatur-Aktivitäten zu simulieren was möchten Sie tun? erlauben, blockieren, ..... Und was ist das richtige? Ich bin übrigens noch an dem Status, dass ich all die Aktionen durchgeführt hab die in Deiner Liste standen. Und das einzige ZusatzProgramm das ich bisher installiert hab, ist OpenOffice. Gesurft wird über Chrome in der Sandbox. Ich KANN mir eigentlich noch gar nix eingefangen haben. Wegen Windows Live: Ich find 4 Programme mit "Windows Live" * Essentials * ID Sign-in-Assistant * Sync * Uploadtool Soll ich die alle 4 deinstallieren ? Diese Details gibt mir emsi noch: Beschreibung: SmartMenu Firma: Information nicht verfügbar Version: 3, 1, 1, 12 Copyright: Copyright (C) 2009 Hewlett-Packard Development Company, L.P. All Rights Reserved. Geladene Module: C:\Program Files\Hewlett-Packard\HP MediaSmart\SmartMenu.exe C:\Windows\SysWOW64\ntdll.dll C:\Windows\SysWOW64\kernel32.dll C:\Windows\SysWOW64\KERNELBASE.dll C:\Windows\System32\d2d1.dll C:\Windows\SysWOW64\msvcrt.dll C:\Windows\SysWOW64\user32.dll C:\Windows\SysWOW64\gdi32.dll C:\Windows\SysWOW64\lpk.dll C:\Windows\SysWOW64\usp10.dll C:\Windows\SysWOW64\advapi32.dll C:\Windows\SysWOW64\sechost.dll C:\Windows\SysWOW64\rpcrt4.dll C:\Windows\SysWOW64\sspicli.dll C:\Windows\SysWOW64\CRYPTBASE.dll C:\Windows\System32\DWrite.dll C:\Windows\System32\version.dll C:\Windows\System32\winmm.dll C:\Windows\SysWOW64\shell32.dll C:\Windows\SysWOW64\shlwapi.dll C:\Windows\SysWOW64\ole32.dll C:\Windows\SysWOW64\oleaut32.dll C:\Windows\winsxs\x86_microsoft.vc90.crt_1fc8b3b9a1e18e3b_9.0.30729.4940_none_50916076bcb9a742\msvcp90.dll C:\Windows\winsxs\x86_microsoft.vc90.crt_1fc8b3b9a1e18e3b_9.0.30729.4940_none_50916076bcb9a742\msvcr90.dll C:\Windows\System32\imm32.dll C:\Windows\SysWOW64\msctf.dll C:\Program Files (x86)\Emsisoft Anti-Malware\a2hooks32.dll C:\Windows\System32\uxtheme.dll C:\Windows\SysWOW64\clbcatq.dll C:\Windows\System32\msxml6.dll C:\Windows\System32\userenv.dll C:\Windows\System32\profapi.dll C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_41e6975e2bd6f2b2\comctl32.dll C:\Windows\SysWOW64\setupapi.dll C:\Windows\SysWOW64\cfgmgr32.dll C:\Windows\SysWOW64\devobj.dll C:\Windows\System32\propsys.dll C:\Windows\System32\ntmarta.dll C:\Windows\SysWOW64\Wldap32.dll C:\Windows\System32\apphelp.dll C:\Windows\SysWOW64\gameux.dll C:\Windows\winsxs\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17514_none_72d18a4386696c80\GdiPlus.dll C:\Windows\SysWOW64\xmllite.dll C:\Windows\SysWOW64\crypt32.dll C:\Windows\SysWOW64\msasn1.dll C:\Windows\SysWOW64\wer.dll C:\Windows\System32\shdocvw.dll C:\Windows\System32\linkinfo.dll C:\Windows\System32\ntshrui.dll C:\Windows\System32\srvcli.dll C:\Windows\System32\cscapi.dll C:\Windows\System32\slc.dll C:\Windows\System32\cryptsp.dll |
hi, das kannst du erlauben. hattest du die konfiguration von emsisoft schon gemacht? wie gesagt müsstest du da auch ne entscheidungshilfe sehen was du auswählen kannst. bei windows live können alle runter. wir können ja, wenn du willst, vor dem backup, noch mal deine software liste durchgehen. lade den CCleaner standard: CCleaner Download - CCleaner 3.15.1643 falls der CCleaner bereits instaliert, überspringen. instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen. hinter, jedes von dir benötigte programm, schreibe notwendig. hinter, jedes, von dir nicht benötigte, unnötig. hinter, dir unbekannte, unbekannt. liste posten. |
Danke ja, ich hatte schon Empfehlungen bekommen 73% grün dieses Verhalten erlaubt 10% gelb 15% rot Aber ich hab oft genug bei "Wer wird Millionär" gesehen, dass auch bei 99% Wahrscheinlichkeit die Antwort falsch sein kann. Darf ich denn einfach in Zukunft, wenn ich beim Googlen nur verunsichert werde, bevor ich was erlaube, geschwind posten? |
ja, kannst du, wie ich ja gesagt hatte :-) ich weis, solche meldungen sind erst mal gewöhnungsbedürftig, aber die meldung zeigt dir ja zb auch welches programm etwas machen will, das ist ja schon mal ein anhaltspunkt. wie gesagt, kannst mir auch noch mal die ccleaner liste zeigen, dann können wir das vorinstalierte zeugs evtl. ein wenig ausdünnen :-) |
CCleaner-Liste in meinem letzten Posting |
deinstaliere: Bing HP Games PDF Complete : ich kenne keine alternative, evtl. mal im programm gucken wie lange das lauffähig ist. deinstaliere: PhotoNow, falls du das nicht brauchst, kannst es auch über ccleaner direkt deinstalieren. CyberLink , falls unnötig, weg DVD Menu Pack : ebenfalls HP Advisor HP MediaSmart : alle HP Odometer LabelPrint LightScribe Magic Desktop Movie Theme Pack MusicStation Power2Go PowerDirector |
Hallo Markus. Danke für die Liste. Schaff mich grad da Punkt für Punkt durch Ich hab ja geschrieben, ich brauch den IE9 weil ich die ChatFunktion von GMX nutze und die im Chrome nicht angeboten wird. Ich möcht da auch die Soundbenachrichtigung aktivieren. Allerdings sagt mir IE "um Soundbenachrichtigungen zu aktivieren, benötigen sie den Adobe Flash Player". Der ist ja mit der aktuellen Version Adobe Flash Player 11 ActiveX 11.1.102.55 installiert. Was muss ich da noch aktivieren, dass IE9 den kennt? |
hmm versuche die instalation mal direkt über den internet explorer: Adobe - Adobe Flash Player installieren |
Ah! Danke. Jetzt tuts |
na das ist doch schon mal was :-) |
schon wieder ne Frage: FileHippo ist in meiner Autostart (msconfig Systemstart angehakt) Aber müsste ich den dann nicht auch in der InfoLeiste in der TaskLeiste sehen? Wenn ich auf Systemsteuerung - Alle Systemsteuerungselemente - Infobereichsymbole geh, steht da für FileHippo.com "Symbol und Benachrichtigungen anzeigen" --- aber angezeigt wird nix ?? |
ist das im admin konto so? wie siehts im taskmanager aus, wird es angezeigt? |
ah, habs rausgefunden. Es reicht nicht, FileHippo über msconfig als Autostart anzugeben, sondern in den FileHippo-Settings selber muss man setzen "Run upd.Checker when Windows starts" |
hmm bei mir war das automatisch, aber ich werde es hinzufügen zur anleitung, danke. |
Hallo Markus, ich hab die vergangenen Tage dazu genutzt, die Programme nachzuinstallieren, mit denen ich gewohnt bin zu arbeiten. Ich hab in den vergangenen Tagen aber auch über Secunia und FilHippe mehrere neue Versionen von Chrome und thunderbird installiert bekommen. Und jedesmal sind danach all die Erweiterungen weg, die ich eingestellt hatte (Ghostery, Adblock, JavaScript....) HAst Du mir einen tipp, wie ich das verhindern kann ? Muss ich eigentlich all die Erweiterung usw in Chrome installieren, während ich chrome in der Sandbox geöffnet hab, oder als Admin, damit es für alle Benutzer wirkt ? Irgendwie ist die Sandbox für mich immer noch so ein bisschen eine BlackBox... Thunderbird hat mir der Secunia install einfach in Englisch installiert ohne nachzufragen. In dem Fall ist mir das jetzt egal, aber prinzipiell würd ich mir mehr Eingreif-Möglichkeit wünschen in das was das passiert. Fällt Dir dazu was ein? HAb ich was falsch eingestellt? Schönen Abend Dir |
hi, die adons immer außerhalb der sandbox instalieren. gehe mal auf secunia und dort auf settings enable automatic program updates haken raus, dann wird nichts mehr automatisch geupdatet. die erweiterungen in thunderbird, hast du die außerhalb der sandbox instaliert? welche probleme gibts noch mit der sandbox? |
Hi Markus, Problem mit Sandbox siehe anhang |
sandbox meldung als text posten bitte |
Ahhhhhhhhh, habs selber rausgefunden. Das ist aber tricky. Ich hab meinen Rechner mehrere Tage laufen lassen -- immer nur in Standby gefahren. hatte nie Probleme mit chrome und Sandboxie. Heute hab ich ihn neu gebootet. Danach liess sich chrome in der Sandbox nicht mehr mit dem Internet verbinden, obwohl ich chrome.exe als erlaubtes Programm eingetragen hab. Nun hab ich gesehen, dass sich durch den Reboot das häkchen bei "Einstellungen / Internetzugriff / Fehlermeldung SBIE1307 wenn Zugriff verweigert wurde" von selber gesetzt hatte Da steht dann aber als Erklärung drunter "wird diese Feature aktiviert, haben in diese Sandbox installierte Programme niemals Zugriff auf das internet, selbst dann nicht, wenn ihr Name mit auf der Liste steht" Dieses Häkchen muss ich wohl bei der Kostenlosen Sandbox-Version jedesmal aufs neue rausnehmen. komisch war nur, dass sich Firefox in der der Box mit dem Internet verbinden konnte, nur Chrome nicht. ........ das meinte ich mit den Problemchen die ich immer wieder mal mit Sandbox hab, die das Arbeiten damit etwas ungemütlich machen. Ich kann mir vorstellen, dass viele an dieser Stelle aufgeben und halt doch wieder ohne Sandbox arbeiten.......... |
hmm eigendlich sollte das nicht passieren. tritt das bei jedem neustart auf oder nur wenn du den pc tagelang im standby hast und dann irgendwann runter fährst. stromsparender wäre es eig ihn auszuschalten :d |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:17 Uhr. |
Copyright ©2000-2025, Trojaner-Board