|
Exploit EXP/CVE - Weisser Bildschirm "Warten auf Verbindung" Guten Tag, Ich habe auch das hier bereits mehrfach beschriebene Problem des weissen Bildschirms mit "Warten auf Verbindung", das keine weitere Aktion über Maus oder Tastatur zulässt. Ich habe diese Phänomen allerdings nur bei einem Benutzer unter Windows 7 Home Premium (Ver. 6.1.7601), so dass ich über Neustart und als Administrator nach wie vor auf alle Daten zugreifen und auch Software installieren konnte. Nach dem ersten Auftreten habe ich über Avira einen vollständigen Scan durchführen lassen und vier Viren gefunden: [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840 [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507 [FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Loader.Gen [FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/Visa.G Jedoch wurden nur drei in das Quarantäne-Verzeichnis verschoben, zu EXP/CVE-2012-0507 gab es keinen weiteren Hinweis im Protokoll. Aufgrund der Hinweise auf eine Sicherheitslücke mit älteren Javaversionen, habe ich JAVA ver. 6.18 deinstalliert und die neueste JAVA-Version 7 installiert. Das Problem mit dem weißen Bildschirm bei dem einen Benutzer blieb jedoch erhalten. Die von Euch beschriebenen Analysetools (dds, gmer) habe ich installiert und die entsprechenden log-files sind ebenso wie die aus Avira angehängt. An die Analyse mit OTLPENet habe ich mich noch nicht herangewagt, da dies im Forum immer nur bei PC's verwendet wurde, bei denen keine Programme mehr gestartet werden konnten. Gibt es eine Möglichkeit, den "Benutzer" zu reparieren oder ist es das einfachste, die Daten über Admin zu sichern und den beschädigten Benutzer komplett zu löschen. Für Eure Hilfe bereits im voraus besten Dank Beste Grüße Robbo |
hi mache die analyse mit und poste die logs, dankeOTLPENet |
Guten Abend, ich habe OTLPE auf die CD gebrannt und den Rechner von der CD aus gebootet. Zuerst blauer Bildschrim. Nach Umstellung im bios auf "ide" lief der REATOGO-X-PE desktop hoch, dann allerdings keine Fragen nach remote registry etc. Bei der Auswahl eines Laufwerks bricht der scan mit "kein windows 2000 oder höher" ab, so dass ich nun kein otl.log file erzeugen kann. Kann man das OTL-tool ggf. auch unter windows 7 von der Festplatte aus starten? danke Robbo |
hi, klappe mal bei der laufwerks auswahl alles nacheinander auf, bis du den ordner windows finest, da drauf klicken, dann gehts los. |
Guten Abend Markus, danke, hat geklappt, anbei das log file. habe aber aus versehen, den haken bei "load all remaining users" drin gelassen. wenn das bei der analyse hinderlich ist, starte ich den vorgang nochmal (hätte mir vorher von der anleitung einen ausdruck machen sollen :stirn:). (nachtrag 22:13h: habe eben nachgelesen, dass es mehrere log-files sein müssten - ich führe den scan mit den korrekten parametern nochmal durch und lade dann die anderen logfiles dazu) kannst du mir noch einen hinweis geben, wie groß das risiko ist, bei einem backup den virus "mitzusichern", obwohl alle scans "no viruses found" ausgeben. ich würde mir ungern meine sicherungskopien infizieren. danke für deine unterstützung gruss robbo |
habe den scan jetzt mit dem deaktivierten haken nochmal durchgeführt: beim drüberscrollen entdecke ich keine großen unterschiede in der struktur des log-files und das file ist nur 1kB kleiner. habe aber nur eine otl.txt gefunden (habe mit der desktopsuche kompletten PC durchsuchen lassen). Zitat:
danke + gruss robbo |
hi auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort rein: Code: :OTLdieses speicherst du auf nem usb stick als fix.txt nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist. • Klicke nun bitte auf den Fix Button. es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick. wenn dies nicht funktioniert, bitte den fix manuell eintragen. dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen, log posten bitte. falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten! Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.
|
Hi, danke für den fix, aber bevor ich starte habe ich noch eine verständnisfrage: warum 2. pc? Zitat:
den input beim scan habe ich direkt von der festplatte reingeladen. danke + gruss Robbo |
du führst doch otl von cd aus, du musst das ja für das betroffene konto machen, also dann fix auf nen stick kopieren |
Hallo Markus, vielen Dank für deine kompetente, zügige und professionelle Unterstützung! Upload habe ich ausgeführt. Ich habe aber keine Rückmeldung erhalten, ob erfolgreich ageschlossen wurde. Soll ich den Ordner movedfiles nun löschen (enthält ja infizierte Dateien)? Mein user ist nun wieder zugänglich. Ich mußte die fix.txt allerdings über edit von der Festplatte aus einfügen, weil das mit dem stick nicht funktionierte. Habe allerdings immer noch Probleme: Beim Ausführen der Funktion "Benutzer wechseln" wird der Bildschirm schwarz und nichts geht mehr. Ich bin jetzt sehr verunsichert, inwieweit mein Rechner nun noch für online banking geeignet ist. Die Beiträge zeigen deutlich, dass ich zumindest meine Sicherheitsvorkehrungen verbessern muss und auch die Kosten hierfür nicht scheuen sollte (freeware ist hier auf dauer nicht "billiger":stirn:). Hier würde ich mich an das halten, was du LPit am 31.03.12 emfohlen hast (s Zitat untern). Unklar bin ich mir jedoch noch, ob ich meinen Rechner "plattmachen" muss und was genau darunter zu verstehen wäre. Danke für deine Empfehlung, damit ich wieder sicher sensible Daten transferieren kann. Danke + Gruß Robbo Zitat:
|
guten morgen, habe gestern noch malware laufen lassen und nun andere trojaner gefunden, die ich vorher laut scan nicht hatte. habe ich mir hier während der reparatur etwas eingefangen? anbei die log files: gestern abend: Zitat:
Zitat:
danke Robbo |
na bei uns hast du dir die sicher nicht eingefangen :-) du hast aber einmal vollständig und einmal quick scan ausgeführt. danke für den upload, führe aber keine scans auf eigene faus durch. moved files bleibt erst mal. Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!Downloade dir bitte Combofix von einem dieser Downloadspiegel Link 1 Link 2 WICHTIG - Speichere Combofix auf deinem Desktop
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort. Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten Zitat:
|
Hi, ich hoffe, ich habe jetzt keinen mist gebaut :headbang::
computer verhält sich normal, scheint alles zu funktionieren, sogar der benutzerwechsel geht wieder soll ich combofix nochmal starten? danke + gruss Robbo |
ja, versuche es mal im abgesicherten modus mit netzwerk, starte neu, drücke f8 wähle abges.modus mit netzwerk, melde dich im betroffenen account an. wenn combofix nen neustart verlangt, im normalen modus unter dem selben nutzernamen anmelden, log posten |
war gar nicht so einfach bis ans log-file zu kommen:
|
kopire combofix auf nen stick. starte in den abgesicherten modus mit eingabeaufforderung, melde dich im betroffenen konto an. tippe: d:\combofix.exe enter falls das nicht klappt e:\combofix.exe enter wenn ein aktiever av-schutz angezeigt wird, mit ok bestätigen, wenn cf nen neustart verlangt, tu das, aber ins betroffene konto, dann log posten. |
danke, hat geklappt: anbei das neue log-file vom beroffenen konto aus - gruss Robbo |
#wenn du dich wieder im betroffenen konto anmelden kannst, mache folgendes: Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code: activex
|
Guten Abend, ich kann mich seit dem Fix mit OTLPENet.exe über CD wieder auf das betroffene Konto einloggen. Das Ergebnis des Scans mit OTL von der Festplatte vom betroffenen Konto aus habe ich angefügt. Aufgefallen ist mir jedoch, dass im logfile nur Pfade aufgeführt sind, die den admin "Robbo" enthalten und nicht das Problemkonto "Robert", obwohl ich unter Robert eingeloggt bin (Standarduser). Danke und Gruß Robbo |
lade den CCleaner standard: CCleaner Download - CCleaner 3.17.1689 falls der CCleaner bereits instaliert, überspringen. instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen. hinter, jedes von dir benötigte programm, schreibe notwendig. hinter, jedes, von dir nicht benötigte, unnötig. hinter, dir unbekannte, unbekannt. liste posten. |
Guten Abend, habe CC installiert, dabei wurde auch google chrome mitinstalliert, ich hoffe das war ok. bei einigen programmen war ich mir nicht sicher, da ich zwar das paket benutze (z.B. Adobe, apple itunes etc.), aber nicht weiss, ob ich jedes unterprogramm bzw. jede zusatzanwendung hierzu benötige. danke + gruss robbo |
deinstaliere: ZoneAlarm: genau richtig erkannt. WiseCleaner Windows Live : alle die du nicht nutzt, weg WEB.DE : beide VoiceOver TuneUp Spelling Dictionaries Safari: ist ein browser, kann weg. Microsoft Works Microsoft Silverlight MEDION Lara Croft Google Toolbar Google Chrome: würde ich dir empfehlen ab sofort als browser, dazu aber später. CyberLink : alle Corel Bing AVG Audials ALDI : alle Adobe Shockwave Adobe Flash Player alle Adobe - Adobe Flash Player installieren neueste version laden adobe reader: Adobe - Adobe Reader herunterladen - Alle Versionen haken bei mcafee security scan raus nehmen bitte auch mal den adobe reader wie folgt konfigurieren: adobe reader öffnen, bearbeiten, voreinstellungen. allgemein: nur zertifizierte zusatz module verwenden, anhaken. internet: hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc. es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht. bei javascript den haken bei java script verwenden raus nehmen bei updater, automatisch instalieren wählen. übernehmen /ok deinstaliere: öffne ccleaner analysieren ccleaner starten, pc neustarten, testen wie der pc läuft |
hallo markus, danke für deine hilfe, insbesondere übers wochenende!
danke + gruss robbo |
hi, das mit dem ccleaner passt so. bitte die 2 erweiterungen für chrome instalieren + den dritten link mit den sicherheitshinweisen umsetzen: adblock für chrome: http://filepony.de/download-adblock_chrome/ damit sollte das leben werbefreier von statten gehen. ghostery um tracking zu verhindern: http://filepony.de/download-ghostery_chrome/ sicher surfen mit chrome: Sicher surfen mit Google Chrome | Verbraucher sicher online pc absichern: als antimalware programm würde ich emsisoft empfehlen. diese haben für mich den besten schutz kostet aber etwas. http://www.trojaner-board.de/103809-...i-malware.html testversion: Meine Antivirus-Empfehlung: Emsisoft Anti-Malware insbesondere wenn du onlinebanking, einkäufe, sonstige zahlungsabwicklungen oder ähnlich wichtiges, wie zb berufliches machst, also sensible daten zu schützen sind, solltest du in sicherheitssoftware investieren. vor dem aktivieren der lizenz die 30 tage testzeitraum ausnutzen. kostenlos, aber eben nicht ganz so gut wäre avast zu empfehlen. http://www.trojaner-board.de/110895-...antivirus.html sag mir welches du nutzt, dann gebe ich konfigurationshinweise. bitte dein bisheriges av deinstalieren die folgende anleitung ist umfangreich, dass ist mir klar, sie sollte aber umgesetzt werden, da nur dann dein pc sicher ist. stelle so viele fragen wie nötig, ich arbeite gern alles mit dir durch! http://www.trojaner-board.de/96344-a...-rechners.html Starte bitte mit der Passage, Windows Vista und Windows 7 Bitte beginne damit, Windows Updates zu instalieren. Am besten geht dies, wenn du über Start, Suchen gehst, und dort Windows Updates eingibst. Prüfe unter "Einstellungen ändern" dass folgendes ausgewählt ist: - Updates automatisch Instalieren, - Täglich - Uhrzeit wählen - Bitte den gesammten rest anhaken, außer: - detailierte benachichtungen anzeigen, wenn neue Microsoft software verfügbar ist. Klicke jetzt die Schaltfläche "OK" Klicke jetzt "nach Updates suchen". Bitte instaliere zunächst wichtige Updates. Es wird nötig sein, den PC zwischendurch neu zu starten. falls dies der Fall ist, musst du erneut über Start, Suchen, Windows Update aufrufen, auf Updates suchen klicken und die nächsten instalieren. Mache das selbe bitte mit den optionalen Updates. Bitte übernimm den rest so, wie es im Abschnitt windows 7 / Vista zu lesen ist. aus dem Abschnitt xp, bitte den punkt "datenausführungsverhinderung, dep" übernehmen. als browser rate ich dir zu chrome: Installation von Google Chrome für mehrere Nutzerkonten - Google Chrome-Hilfe anleitung lesen bitte falls du nen andern nutzen willst, sags mir dann muss ich teile der nun folgenden anleitung Sandboxie Die devinition einer Sandbox ist hier nachzulesen: Sandbox Kurz gesagt, man kann Programme fast 100 %ig isuliert vom System ausführen. Der Vorteil liegt klar auf der Hand, wenn über den Browser Schadcode eingeschläust wird, kann dieser nicht nach außen dringen. Download Link: Sandboxie Download - Sandboxie 3.68 anleitung: http://www.trojaner-board.de/71542-a...sandboxie.html ausführliche anleitung als pdf, auch abarbeiten: Sandbox Einstellungen | bitte folgende zusatz konfiguration machen: sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen. dort klicke auf sandbox einstellungen. beschrenkungen, bei programm start und internet zugriff schreibe: chrome.exe dann gehe auf anwendungen, webbrowser, chrome. dort aktiviere alles außer gesammten profil ordner freigeben. Wie du evtl. schon gesehen hast, kannst du einige Funktionen nicht nutzen. Dies ist nur in der Vollversion nötig, zu deren Kauf ich dir rate. Du kannst zb unter "Erzwungene Programmstarts" festlegen, dass alle Browser in der Sandbox starten. Ansonsten musst du immer auf "Sandboxed webbrowser" klicken bzw Rechtsklick, in Sandboxie starten. Eine lebenslange Lizenz kostet 30 €, und ist auf allen deinen PC's nutzbar. Weiter mit: Maßnahmen für ALLE Windows-Versionen alles komplett durcharbeiten anmerkung zu file hippo. in den settings zusätzlich auswählen: Run updateChecker when Windows starts Backup Programm: in meiner Anleitung ist bereits ein Backup Programm verlinkt, als Alternative bietet sich auch das Windows eigene Backup Programm an: http://www.trojaner-board.de/82962-w...en-backup.html Dies ist aber leider nur für Windows 7 Nutzer vernünftig nutzbar. Alle Anderen sollten sich aber auf jeden fall auch ein Backup Programm instalieren, denn dies kann unter Umständen sehr wichtig sein, zum Beispiel, wenn die Festplatte einmal kaputt ist. Zum Schluss, die allgemeinen sicherheitstipps beachten, wenn es dich betrifft, den Tipp zum Onlinebanking beachten und alle Passwörter ändern bitte auch lesen, wie mache ich programme für alle sichtbar: Programme für alle Konten nutzbar machen - PCtipp.ch - Praxis & Hilfe surfe jetzt also nur noch im standard nutzer konto und dort in der sandbox. wenn du die kostenlose version nutzt, dann mit klick auf sandboxed web browser, wenn du die bezahlversion hast, kannst du erzwungene programm starts festlegen, dann wird sandboxie immer gestartet wenn du nen browser aufrufst. wenn du mit der maus über den browser fährst sollte der eingerahmt sein, dann bist du im sandboxed web browser |
Hallo Markus, danke für die Hinweise und Anleitung. Ich werde jetzt etwas Zeit brauchen, um das alles umzusetzen, und bin ab morgen 3 Tage beruflich unterwegs. Daher bitte den thread nicht schließen, wenn ich mich erst am Samstag wieder melden sollte. Danke + Gruss Robbo |
kein ding. bis dann |
Hallo Markus, soweit bin ich gekommen und habe bereits fragen hierzu, bevor ich weitermache: Zitat:
1. Frage: es wird empfohlen, passwörter bzgl. der besseren verwaltung abzuspeichern. Ist dies nicht unsicher, da dann alle Passwörter an einer stelle gespeichert sind inkl. einer zuordnung zu den verschiedenen webaccounts? Ich habe dies vorerst nicht getan 2. Frage: Autofill inkl. Kreditkartennummer - ist das ebenfalls sicher? Zitat:
4. Frage: Eigenartig ist, dass ich kein update machen kann. Ich werde gleich nach der installation aufgefordert, die vollversion zu kaufen, da die testlizenz abgelaufen sei. Soll ich dies tun, oder ist hier bei der installation etwas schief gelaufen? Ich hatte aus sicherheitsgründen bei der installation von emisoft die verbindung zum internet getrennt. ich vermute, der emisoft-installer konnte dann den temporären lizenzschlüssel nicht laden und denkt jetzt, die lizenz sei abgelaufen. blöd, dass sich das emisoft auch noch merkt und eine erneute installation von emisoft nichts brachte. 5. Frage: bin ich jetzt ohne schutz, da ich mein AV deinstalliert habe? Sowohl AV vor der Deinstallation als auch Emitect nach der installation haben malware entdeckt (mittleres risiko). Ich habe diese in quarantäne packen lassen, kann mir diese jetzt aber nicht anschauen, da emisoft nicht läuft und AV deinstalliert ist. Was tun? |
1. wenn du dir alle passwörter merken kannst, ausschalten. 2. genau das selbe. 3. emsisoft: gerne :-) emsisoft öffnen, einstellungen klicken. geplanter scan. wähle starten um, ich persönlich hab monatlich, kannst aber auch wöchendlich einstellen. uhrzeit, und bei monatlich ebenfalls datum wählen. unsichtbar, falls du das scan fenster nicht sehen möchtest. und verpasste scans nachholen. auto update: intervall, täglich, stündlich von 00.00 bis 23.59 heißt jede stunde updates. einstellung: update am antimalware network teilnemen. die andern beiden haken, beta updates und zusätzliche sprachen, nicht setzen. rest bleibt. klicke jetzt auf wächter: dort auf wächter. verhaltensanalyse aktivieren, alles selektieren. jetzt auf alarme: aktiviere dort comunety basierte alarm reduktion. unter anderem dafür gibt es das antimalware network. die comunety basierte alarm reduktion betrifft die verhaltensanalyse. emsisoft gibt, bei einigen programmen, meldungen raus, weil das verhalten des programmes dies notwendig macht. da manche user sich damit nicht auskennen, was keine schande ist, :-) wird hier geprüft, wie viele nutzer haben programm x erlaubt oder blockiert. hier haben wir im moment 90 % eingestellt, also wenn 90 % sagen, das programm ist io, wird ne erlauben regel angelegt, wenn sie sagen, programm x ist bösartig, automatisch blockiert. wenn du dir das allein zutraust, musst du den haken nicht setzen. wenn zb nur 70 % aller user sagen programm x ist gut oder bösartig, wird dir dies in einer grafik angezeigt jetzt auf datei wächter. standard atkion für erkannte objekte, alarmieren. surf schutz: hier alles auf blockieren mit info. wenn es eine seite gibt, die versehens blockiert wird, kanns du die direkt über das popup erlauben was es bei der blockierung gibt, oder über host regeln. wenn dir diese info popups nicht gefallen musst du alles auf unsichtbar blockieren stellen, aber drann denken, zu prüfen wenn du ne seite hast, die nicht geladen wird, ob emsi sie geblockt hatt. das wäre es, hoffe es war verständlich. 4. wir haben hier nen emsisoft mitarbeiter. schreib den mal an: http://www.trojaner-board.de/member.php?u=101744 dann frag ihn nach nem 30 tage test key, verweise auf deinen thread. 5. was wurde gefunden? |
1. - 3. danke. anleitung verständlich.:daumenhoc nur eine frage hierzu: Zitat:
4. ich habe eine PM geschrieben (du warst auf cc. ich hoffe das war ok, bitte rückmeldung, wenn du bei verzweigungen zum thread nicht mit drauf sein willst. ich will dich und dein postfach nicht unnötig belasten:pfeiff:). ich habe inzwischen temporären schlüssel erhalten, emisoft nun installiert und nach deiner anleitung eingestellt (log des 1. smart scan als anhang). fühle mich jetzt schon besser geschützt:singsing: 5. das ist ja leider mein problem, das ich das nicht mehr genau nachvollziehen kann. :confused: habe mit malware quickscan und scan durchgeführt. beidesmal nichts gefunden. ich kann mich nur noch grob an den pfad erinnern, der enthielt "hkeycurrent.../.../hjack/...". Den namen habe ich mir dummerweise nicht notiert und habe zu schnell weitergeklickt und nach der deinstallation von AV und emisoft kann ich die entsprechenden quarantäne-files auch nicht mehr finden. werde das nächste mal die meldung in ein file speichern. a) das neu installierte emisoft hat allerdings Trace.Registry.lockscreen!E1 gefunden und eine meldung augegeben. ich habe diesen in quarantäne stellen lassen (s. log). laut protokoll, war das auch die malware, die er gestern gefunden hatte. soll ich das nun vollständig entfernen lassen? Die meldung von AV war soweit ich mich erinnern kann etwas anders, kann nun nicht mehr sagen, ob es dieselbe ursache hatte. b) sind die alten log / quarantäne files ggf. noch irgenwo auf der festplatte "vesteckt" und man kann danach suchen? c) kann es sein, dass emisoft und AV gar nicht auf neue malware, sondern auf die alten quarantäne files reagiert haben? 6. habe windows updates jetzt durch. bei den optionalen wird ein microsoft silverlight update optional empfohlen. hier bin ich jetzt unsicher, da du einerseits empfiehlst alle optionalen updates zu installieren Zitat:
Zitat:
danke + gruss Robbo |
hi, solange das objekt von emsisoft beanstandet wird, du also keine aktion ausführst, ist es geblockt. ich finde es besser, wenn der nutzer sieht was da passiert und selbst entscheidet. suchen kann man nach den logs nicht sie werden bei der deinstalation gelöscht. kann sein das sie quarantäne dateien gefunden haben. ^silverlight kannst du ausblenden und musst es nicht instalieren. starte mal bitte neu und scanne noch mal mit emsi. |
Hi, quick, smart oder full scan? gruss |
Liste der Anhänge anzeigen (Anzahl: 1) Hi, anbei der full scan mit emisoft von heute und eine übersicht, was ich in quarantäne gestellt habe. den scan von gestern habe ich auch noch gefunden, enthält allerdings dieselbe meldung. Soll ich diese files nun endgültig löschen? Wäre der PC danach "clean"? gruss Robbo |
hmm der erstellt bei dir immer nen autostart eintrag. tritt der bei nem erneuten full scan erneut auf? |
Hi, 1) habe den scan nochmal durchgeführt (s. anhang). fund ist immer noch da. Wie bekomme ich das aus autostart raus? 2) bei der absicherung meines PC nach deiner anleitung bin ich inzwischen zu 50% durch. SEHOP zu aktivieren führt mich an meine grenzen, gelang mir aber:Boogie:. bei einstellungen der "dienste" komme ich jedoch nicht weiter: Zitat:
a) automatisierte lösung: gibt es hier inzwischen ein commandfile für windows 7? b) manuelle lösung: Die Anleitung für eine manuelle Umsetzung, die ich auf der seite hxxp://ntsvcfg.de/windows7.html "How To Make Your Windows 7 More Safe And Secure (for Windows 7, Vista, XP & 2000) - ntsvcfg.de" gefunden habe ist auf englisch und da bin ich mir ich bei der zuordnung zu den deutschen einstellungen nicht immer 100%ig sicher. Gibt es hier eine deutsche übersetzung oder soll ich mein system vorübergehend auf englisch umstellen um 1:1 die einstellungen übernehmen zu können. danke + gruss Robbo |
hi, poste mir noch mal ein neues otl log. das mit den diensten so belassen wie es ist. Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code: activex
|
Hi, anbei das neue OTL log file. das file extra.txt konnte ich auf der festplatte leider nicht finden. hab hier vermutlich bei den einstellungen im OTL etwas falsch gemacht. update: habe in den einstellungen nochmal nachgelesen - habe den scan mit den angegebene einstellungen nochmal laufen lassen - neues OTL file ebenfalls im upload. kann leider wieder kein extra file erzeugen, was mache ich falsch? by the way: welcher unterschied besteht zwischen den programmenOTL und OTL PE? danke + gruss Robbo |
kannst du den emsisoft scan noch mal im abgesicherten modus als admin probieren. neustarten, f8 drücken abgesicherter modus wählen, als admin anmelden. dann neustarten als normaler nutzer und gucken ob der schlüssel entfernt wurde, mit einem erneuten scan. |
guten abend, 1) scan im abgesicherten modus als admin brachte keine meldung (logfile von 22:06h) 2) erneuter scan als benutzer bringt dieselbe meldung wie vorher mit hinweis auf mittleres risiko (logfile von 22:45h) :confused: gruss Robbo |
hmm, dann setzen wir das system einmal komplett neu auf und sichern es dann nach anleitung ab. an daten kannst du alles sichern außer komplette instalationen. weist du wie man formatiert? |
guten abend, 1) das hört sich ja nicht gut an - war dann alles umsonst, was wir bisher zusammen probiert haben?:heulen: 2) neu formatieren habe ich noch nie gemacht - ich weiss nur, dass mein rechner eine re-/neuinstallationsroutine hat, bei der er vermutlich auf eine partitionierung der festplatte ("D-Laufwerk") zugreift. ich habe keine installations CD's zu dem rechner bekommen 3) kann ich ungehindert ein back up der daten machen, ohne den virus irgendwo mitzusichern? gruss Robbo |
1. leider kommt sowas manchmal vor. 2. genau die ist das? steht evtl. im handbuch wie das geht, wenn nicht mal hersteller und gerätetypen des pcs nennen. 3. kannst daten gefahrlos sichern. |
ok, dann fange ich jetzt damit an, meinen rechner neu aufzubauen: ich habe einen medion rechner von aldi süd mit Intel(R) Core(TM) i3 CPU 530@ 2.93Ghz 4.0GB RAM; 32 Bit Betriebssystem Windows 7 Home Premium von 2009 Service Pack 1 ich würde wie folgt vorgehen: 1) daten sichern 2) system neu installieren 3) emisoft + google chrome nach anleitung installieren -> ich hoffe ich kann den temporären schlüssel von emisoft nochmal verwenden 4) mit cc cleaner entsprechend deiner empfehlung alles aus der grundinstallation entfernen, was ich nicht benötige 5) rechner nach deiner anleitung einstellen und absichern 6) gesicherte daten wieder aufspielen 7) scan mit emisoft und OTL fahren 8) files posten bin ab sonntag für eine woche beruflich unterwegs - melde mich nächstes Wochenende wieder. besten Dank für deine Unterstützung gruß Robbo |
ja, passt so. wenn ich es nicht sehe nächste woche, kurze private nachicht. |
Hallo Markus, bin wieder da. Habe den PC soweit bis Punkt 5 (bis auf die Sandbox) neu aufgebaut und alle tools installiert. PC ist laut emisoft clean. Nur jetzt hänge ich beim Wiederaufspielen der Sicherung:headbang:: Auf einer externen Festplatten hatte ich vor der Neuinstallation von Windows 7 ein Systemabbild erstellt. Nun findet die Systemwiederherstellung das Systemabbild auf der externen Festplatte nicht. Ich habe die Systemwiederherstellung durch 'Systemsteuerung/Wiederherstellung/Andere Sicherung für die Wiederherstellung verwenden' versucht. Es wird gemeldet, dass kein Systemabbild gefunden wurde. Eine Explorer-Funktion zum Suchen des Systemabbilds in den angeschlossenen Laufwerken ist nicht vorhanden. Dies geht nur zum Durchsuchen vom Netzwerk in dem wiederum keine externen Festplatten angezeigt werden. Im Explorer ist die externen Festplatte und das 'WindowsImageBackup' jedoch zu finden. Warum die Systemwiederherstellung jedoch das Systemabbild im Ordner 'WindowsImageBackup' nicht erkennt ist mir völlig unverständlich. Hast Du hier einen Rat, wie ich die gesicherten Daten wieder einlesen kann - der Verlust wäre bitter, da die zweite Sicherung (eine 1:1 Kopie der wichtigsten Daten) nicht alle files, wie z.B. die oulook.pst mit den gespeicherten e-mails und Kontakten enthält ?:confused: Besten Dank Robbo |
du hast ne sicherung des ganzen systems gemacht? das ist doch falsch, warum sicherst du das alte system, spielst das neue system auf und willst dann wieder das alte system einbinden? oder hast du nur wichtige daten mit der sicherung gesichert? |
hi Markus, danke, dass du so prompt antwortest Ich mich in meinem letzten beitrag vermutlich unpräzise ausgedrückt und Backup mit Systemabbild gleichgesetzt: Ich habe mit der Funktion 'Sicherung einrichten' unter 'Sichern und Wiederherstellen' nur die persönlichen Daten unter 'Benutzer' gesichert, nicht das gesamte System. Die Neuinstallation des Systems habe ich mit der F11-Funktion beim Hochfahren vorgenommen und dabei alle Dateien von der Festplatte entfernt. Sämtliche Updates seit 2009 habe inzwischen nachgezogen. Die Menüführung unter 'Systemsteuerung -> Sichern und Wiederherstellen -> Eigene Daten wiederherstellen' sieht seit der Neuinstallation allerdings ein wenig anders aus, als ich es in Erinnerung habe. Kann mich aber auch täuschen, die Sicherung liegt nun bereits zwei Wochen zurück Auf der externen Festplatte heißt der Ordner aber trotzdem 'WindowsImageBackup' und lässt sich über Sichern und Wiederherstellen nicht einlesen. Gibt es einen Trick, die Datei für die Funktion 'Eigene Daten wiederherstellen' sichtbar zu machen? Danke + Gruss Robbo |
hmm evtl. erst mal alle windows updates einspielen? |
hatte ich bereits gemacht - windows 7 ist auf dem neuesten stand |
du hast ein komplettes system image gezogen, von dem alten verseuchtem system, du solltest aber die wichtigen daten sichern, soweit ich weis knn man es so nicht einspielen. |
Hallo Markus, hier bin ich wieder - frisch erholt aus dem Urlaub :-) Inzwischen ist es mir gelungen mit VHD attach 3.20 hxxp://www.jmedved.com/vhdattach/ einzelne dateien aus dem image zurückzuspielen, so dass ich jetzt so gut wie alle dateien wieder auf meinem rechner habe. Nur die gespeicherten e-mails aus den alten outlook express dateien einzuspielen ist mir nicht gelungen, da ich beim upgedateten windows 7 nun standardmäßig windows live mail eingestellt ist. Gibt es hier eine Möglichkeit die alten Daten einzulesen? -> soll ich hierzu besser ein neues Thema aufmachen? Ansonsten läuft der rechner nun stabil mit e-mail und web-browser in sandbox und emisoft als antimalware. bisher keine probleme -alles im grünen bereich. Wären ich somit mit dem neuaufbau fertig? Nochmals :dankeschoen: für Deine Unterstützung. mit bestem Gruß Robbo |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:24 Uhr. |
Copyright ©2000-2025, Trojaner-Board