GVU Trojaner mit Webcam (64 bit System, Windows 7)
 

Hallo liebe Leute,
ich habe einen Windows 7 laptop mit 4 accounts (meiner, meine Frau, meine Kinder, Administrator = User1).
Beim Öffnen meines Accounts konnte ich zunächst Programme ausführen. Dann kam ein Screen mit "GVU" und "Bundesministerium" Logos. Offensichtlich der o.g. Trojaner. Nachdem ich hier die Anleitungen gelesen habe, habe ich folgende Schritte (im Administrator-Account) ausgeführt und bitte Euch nun um weitere Handlungsempfehlungen. Jetzt schon einmal ein herzliches Dankeschön für Eure Hilfsbereitschaft.

1. Scan mit Malwarebytes Anti-Malware ausgeführt - einmal vollständig, einmal Quickscan. Das Ergebnis war jeweils gleich.
Ein Screenshot und das Logfile sind im Anhang
mbam-log-2012-06-29 (17-27-16).zip

Ich kam jedoch nicht in das Quarantäneverzeichnis von Malwarebytes und musste dann jedes Mal auf „Verlassen“ klicken. Die infizierten Dateien sind also noch an ihrem Platz. Auf das angegebene Verzeichnis habe ich keinen Zugriff, es ist gesperrt.

2. Defogger ausgeführt („Disable“ + „OK“, läuft nun im Hintergrund)

3. OTL.exe auf Desktop gespeichert und Quick Scan (alle Benutzer) durchgeführt.
Die erzeugten Textfiles sind im Anhang OTL-Textfiles.zip.

Ich habe bisher keine weiteren Schritte durchgeführt. Als ich vorhin in meinen befallenen Account gewechselt habe, erschien der Screen von GVU noch kurz, dann verschwand er und ich hatte nur einen leeren Windowsdesktop (ohne Explorerleiste, ohne Icons). Über den Task-Manager habe ich diesen Account dann geschlossen.

Über Eure Empfehlungen zu weiter erforderlichen Schritten freue ich mich.

Viele Grüße,
Euer "Halbwissender" DAU

Ergänzung:
Soeben habe ich noch einmal zwischen den Accounts gewechselt: In den Accounts schlägt Malware-Bytes nun sofort an. Die Meldung habe ich angehängt (Malwarebytes-Block.jpg). Nun konnte ich dort auch auf "Quarantäne" klicken. Die übrigen Programme funktionieren dann, das Fenster von GVU erscheint nicht mehr. ... Kann aber so natürlich keine Dauerlösung sein. Ich will das "Ding" runter haben :-).

hi
also kannst du den betroffenen user im moment starten, oder ist da nen leerer desktop?

Nachdem Malware und Antivir (Avira) den Schädling erkennen, bekomme ich wieder den normalen Desktop und habe auch wieder ZUgriffsrechte auf den Ablageort der Schädlings-Exe - bei allen Accounts (auch dem ursprünglich betroffenen).
Ich habe aber noch nichts gelöscht.

Hi, noch eine Info:
Die gefundene „er_00_0_I.exe“ wurde von Antivir als Programm „TR/Drop.Injector.fgfc.1“ bezeichnet.
LG

Noch eine Ergänzung: Ich ´vermute, dass sich die MAlware gestern (28.06.)eingenistet hat, denn erst nach dem Rechnerneustart heute morgen (29.06.) hatte ich das Problem. Hierzu ist mir die folgende Datein in C:\Programdata aufgefallen: "l_0_00_re.pad", die wohl erst gestern erstellt wurde und deren Funktion ich nicht "ergoogeln" kann.
Ist vielleicht aber jetzt unnötige Panik.
Warte jetzt definitiv erst mal Eure Meinung ab.
Viele Grüße

hi, kannst du mir mal folgendes hochladen:
hi
für eine weitere analyse benötige ich mal folgendes.
c:\Users\name\AppData\LocalLow\Sun\Java\Deployment\cache
dort rechtsklick auf den ordner cache, diesen mit winrar oder einem anderen programm packen, und im upload channel hochladen bitte
Trojaner-Board Upload Channel
wenn fertig kurz bescheid geben
den malwarebytes fund löschen.

Ich habe die Datei hochgeladen, zusätzlich noch die Datei "deployment.properties" aus dem übergeordenten Ordner "Deployment".
Mir fällt die Uhrzeit vieler Dateien unter dem Ordner "cache" auf: 17.40 Uhr am 28.06.. Diese Zeit taucht auch bei der Datei in C:\Programdata "l_0_00_re.pad" auf. Diese ergibt rückwärts den Namen der identifizierten Malware "er_00_0_i.exe". Ich habe die Datei auch mit hochgeladen (als Zip).

Werde nun mit Malwarebytes den Fund löschen.

DANKE!
DANKE!

Ergebnis Malware: siehe Screenshot
Dann habe ich mir das Antivir log angeschaut:
"Die identifizierte Datei konnte nicht in Quarantäne verschoben werden"
HIer der Bericht:


Avira Free Antivirus
Erstellungsdatum der Reportdatei: Freitag, 29. Juni 2012 21:06

Es wird nach 3816284 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Professional
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : USER1-PC

Versionsinformationen:
BUILD.DAT : 12.0.0.1125 41829 Bytes 02.05.2012 16:34:00
AVSCAN.EXE : 12.3.0.15 466896 Bytes 09.05.2012 07:38:35
AVSCAN.DLL : 12.3.0.15 66256 Bytes 09.05.2012 07:38:35
LUKE.DLL : 12.3.0.15 68304 Bytes 09.05.2012 07:38:35
AVSCPLR.DLL : 12.3.0.14 97032 Bytes 09.05.2012 07:38:35
AVREG.DLL : 12.3.0.17 232200 Bytes 10.05.2012 18:57:15
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 10:07:39
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 18:53:39
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 17:51:14
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 18:11:41
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 15:35:41
VBASE006.VDF : 7.11.34.117 2048 Bytes 29.06.2012 15:35:41
VBASE007.VDF : 7.11.34.118 2048 Bytes 29.06.2012 15:35:41
VBASE008.VDF : 7.11.34.119 2048 Bytes 29.06.2012 15:35:41
VBASE009.VDF : 7.11.34.120 2048 Bytes 29.06.2012 15:35:41
VBASE010.VDF : 7.11.34.121 2048 Bytes 29.06.2012 15:35:41
VBASE011.VDF : 7.11.34.122 2048 Bytes 29.06.2012 15:35:41
VBASE012.VDF : 7.11.34.123 2048 Bytes 29.06.2012 15:35:41
VBASE013.VDF : 7.11.34.124 2048 Bytes 29.06.2012 15:35:41
VBASE014.VDF : 7.11.34.125 2048 Bytes 29.06.2012 15:35:41
VBASE015.VDF : 7.11.34.126 2048 Bytes 29.06.2012 15:35:41
VBASE016.VDF : 7.11.34.127 2048 Bytes 29.06.2012 15:35:41
VBASE017.VDF : 7.11.34.128 2048 Bytes 29.06.2012 15:35:41
VBASE018.VDF : 7.11.34.129 2048 Bytes 29.06.2012 15:35:41
VBASE019.VDF : 7.11.34.130 2048 Bytes 29.06.2012 15:35:41
VBASE020.VDF : 7.11.34.131 2048 Bytes 29.06.2012 15:35:41
VBASE021.VDF : 7.11.34.132 2048 Bytes 29.06.2012 15:35:41
VBASE022.VDF : 7.11.34.133 2048 Bytes 29.06.2012 15:35:41
VBASE023.VDF : 7.11.34.134 2048 Bytes 29.06.2012 15:35:41
VBASE024.VDF : 7.11.34.135 2048 Bytes 29.06.2012 15:35:41
VBASE025.VDF : 7.11.34.136 2048 Bytes 29.06.2012 15:35:41
VBASE026.VDF : 7.11.34.137 2048 Bytes 29.06.2012 15:35:41
VBASE027.VDF : 7.11.34.138 2048 Bytes 29.06.2012 15:35:41
VBASE028.VDF : 7.11.34.139 2048 Bytes 29.06.2012 15:35:41
VBASE029.VDF : 7.11.34.140 2048 Bytes 29.06.2012 15:35:41
VBASE030.VDF : 7.11.34.141 2048 Bytes 29.06.2012 15:35:41
VBASE031.VDF : 7.11.34.148 13824 Bytes 29.06.2012 15:35:41
Engineversion : 8.2.10.102
AEVDF.DLL : 8.1.2.8 106867 Bytes 01.06.2012 19:11:33
AESCRIPT.DLL : 8.1.4.28 455035 Bytes 21.06.2012 18:22:23
AESCN.DLL : 8.1.8.2 131444 Bytes 27.01.2012 19:02:23
AESBX.DLL : 8.2.5.12 606578 Bytes 14.06.2012 17:20:32
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 22:16:06
AEPACK.DLL : 8.2.16.22 807288 Bytes 21.06.2012 18:22:15
AEOFFICE.DLL : 8.1.2.40 201082 Bytes 28.06.2012 15:35:38
AEHEUR.DLL : 8.1.4.58 4993399 Bytes 28.06.2012 15:35:38
AEHELP.DLL : 8.1.23.2 258422 Bytes 28.06.2012 15:35:36
AEGEN.DLL : 8.1.5.30 422261 Bytes 14.06.2012 17:18:40
AEEXP.DLL : 8.1.0.58 82292 Bytes 28.06.2012 15:35:38
AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 22:46:01
AECORE.DLL : 8.1.25.10 201080 Bytes 31.05.2012 18:23:45
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 22:46:01
AVWINLL.DLL : 12.3.0.15 27344 Bytes 09.05.2012 07:38:34
AVPREF.DLL : 12.3.0.15 51920 Bytes 09.05.2012 07:38:35
AVREP.DLL : 12.3.0.15 179208 Bytes 09.05.2012 07:38:35
AVARKT.DLL : 12.3.0.15 211408 Bytes 09.05.2012 07:38:34
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 09.05.2012 07:38:34
SQLITE3.DLL : 3.7.0.1 398288 Bytes 09.05.2012 07:38:35
AVSMTP.DLL : 12.3.0.15 63440 Bytes 09.05.2012 07:38:35
NETNT.DLL : 12.3.0.15 17104 Bytes 09.05.2012 07:38:35
RCIMAGE.DLL : 12.3.0.15 4447952 Bytes 09.05.2012 07:38:34
RCTEXT.DLL : 12.3.0.15 98512 Bytes 09.05.2012 07:38:34

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4fec85c7\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, +ISO 9660,
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Freitag, 29. Juni 2012 21:06

Der Suchlauf nach versteckten Objekten wird begonnen.
C:\Users\Dirk\AppData\Local\Temp\er_00_0_l.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Injector.fgfc.1

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamgui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pdf24.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ONENOTEM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SSScheduler.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OTL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Defogger.exe' - '1' Modul(e) wurden durchsucht
Modul ist OK -> <C:\Users\User1\Downloads\Defogger.exe>
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Die Datei existiert nicht!
[WARNUNG] Der Prozess <Defogger.exe> konnte nicht beendet werden. Mögliche Ursache: Systemfehler [87]: Falscher Parameter.
Durchsuche Prozess 'mbamgui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pdf24.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SSScheduler.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StarMoneyOnlineUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aavus.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_11_3_300_262.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_11_3_300_262.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Users\***\AppData\Local\Temp\er_00_0_l.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Injector.fgfc.1
[HINWEIS] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[HINWEIS] Die Datei existiert nicht!
[HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-3349264492-686821453-4030865468-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Programs> wurde erfolgreich repariert.
[HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-3349264492-686821453-4030865468-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Programs> wurde erfolgreich repariert.
[HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-3349264492-686821453-4030865468-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Start Menu> wurde erfolgreich repariert.
[HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-3349264492-686821453-4030865468-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Start Menu> wurde erfolgreich repariert.
[HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-3349264492-686821453-4030865468-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup> wurde erfolgreich repariert.
[HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-3349264492-686821453-4030865468-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup> wurde erfolgreich repariert.


Ende des Suchlaufs: Freitag, 29. Juni 2012 21:22
Benötigte Zeit: 15:37 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

16 Verzeichnisse wurden überprüft
11083 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
11081 Dateien ohne Befall
101 Archive wurden durchsucht
1 Warnungen
2 Hinweise
17853 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Hallo und Entschuldigung: DIe Datei war bereits in Malwarebytes Quarantäne und daher gesperrt. Ich konnte sie über Malwarebytes nun löschen (siehe Screenshot).
Der neue Antivir Suchlauf läuft noch (auch dort war die Datei in Quarantäne, habe sie auch dort gelöscht).

hi, danke hab die infektionsquelle gefunden denke ich
poste dann das avira log bitte

Antivir läuft immer noch, ich mache einen kompletten suchlauf. Bis jetzt habe ich 68 (!!) Funde, alles in den riesigen outlook.pst dateien vermute ich. Ich poste das komplette log morgen. Danke schon mal für deinen Einsatz!

Hallo,
der vollständige AV Scan ist jetzt über Nacht durchgelaufen und ich bin ziemlich schockiert.
Antivir hat einige Schädlinge in Isolierhaft genommen (habe sie noch nicht gelöscht). Einer ist evtl. noch aktiv (vielleicht hat der das Türchen für den Rest geöffnet?):
D:\+++\Outlook_+++\Outlook.pst
[FUND] Ist das Trojanische Pferd TR/Cridex.EB.5
[WARNUNG] Die Datei wurde ignoriert.
Der vollständige Scan ist im Anhang. +++ und *** sind zwei verschiedene Accounts (kein Administrator).

hatt das nen grund das die pst auf d: liegt, ist das ne sicherung oder die original outlook datei
hast du schon mal den spam ordner geleert, alle unnötigen mails gelöscht + den papierkorb?
dann mal komprimieren:
Komprimieren von PST- und OST-Dateien in Outlook, um gelöschte Elemente zu entfernen und Speicherplatz freizugeben

Hallo,
ich versuche, "sicherungswürdige" User-Daten alle auf D unterzubringen und C nur für Anwendungen zu nutzen.
Die Schritte "Leeren der gelöschten Mails und der Junk-Mails" sowie "Komprimieren" habe ich ausgeführt. Die Datei habe ich dann noch einmal von Avira checken lassen: Sie ist jetzt sauber (log im Anhang).

hi, solange d: eine eigene festplatte ist, bringt das was, wenn d: nur ne partition ist, ists sinnlos, was machst du wenn die festplatte mal kaputt ist?
lade den CCleaner standard:
CCleaner Download - CCleaner 3.20.1750
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Hi, ist natürlich nur eine Partitionsaufteilung mit C und D. Du hast natülich Recht, macht bei Crash der Festplatte keinen Unterschied. Ich werde das aber trotzdem aus Gründen der Übersichtlichkeit so beibehalten.
Die Liste der installierten Programme habe ich beigefügt.

deinstaliere:
Adobe Flash Player alle
Adobe - Adobe Flash Player installieren
neueste version laden
adobe reader:
Adobe - Adobe Reader herunterladen - Alle Versionen
haken bei mcafee security scan raus nehmen

bitte auch mal den adobe reader wie folgt konfigurieren:
adobe reader öffnen, bearbeiten, voreinstellungen.
allgemein:
nur zertifizierte zusatz module verwenden, anhaken.
internet:
hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc.
es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht.
bei javascript den haken bei java script verwenden raus nehmen
bei updater, automatisch instalieren wählen.
übernehmen /ok



deinstaliere:
Google Earth
Java
Download der kostenlosen Java-Software
downloade java jre, instalieren

deinstaliere:
McAfee
Winamp: beide
öffne ccleaner analysieren, ccleaner starten, pc neustarten testen wie der pc läuft

Hallo,
ich habe alles wie beschrieben ausgeführt und den Rechner neu gestartet:
Alle Accounts laufen ohne Probleme, das neue Malwarebytes - Log ist ebenfalls sauber. Ein Avira Quickscan ebenfalls. Den ausführlichen Scan habe ich allerdings nun nach einer Stunde abgebrochen.
Soll ich mit Ccleaner auch die Registry säubern?

finger weg von der registry :-)
wenn dort was gelöscht wird, was gebraucht wird ist im schlimmsten fall der pc nicht mehr bootbar.
pc absichern:
als antimalware programm würde ich emsisoft empfehlen.
diese haben für mich den besten schutz kostet aber etwas.
http://www.trojaner-board.de/103809-...i-malware.html
testversion:
Meine Antivirus-Empfehlung: Emsisoft Anti-Malware
insbesondere wenn du onlinebanking, einkäufe, sonstige zahlungsabwicklungen oder ähnlich wichtiges, wie zb berufliches machst, also sensible daten zu schützen sind, solltest du in sicherheitssoftware investieren.
vor dem aktivieren der lizenz die 30 tage testzeitraum ausnutzen.

kostenlos, aber eben nicht ganz so gut wäre avast zu empfehlen.
http://www.trojaner-board.de/110895-...antivirus.html

sag mir welches du nutzt, dann gebe ich konfigurationshinweise.
bitte dein bisheriges av deinstalieren
die folgende anleitung ist umfangreich, dass ist mir klar, sie sollte aber umgesetzt werden, da nur dann dein pc sicher ist. stelle so viele fragen wie nötig, ich arbeite gern alles mit dir durch!

http://www.trojaner-board.de/96344-a...-rechners.html
Starte bitte mit der Passage, Windows Vista und Windows 7
Bitte beginne damit, Windows Updates zu instalieren.
Am besten geht dies, wenn du über Start, Suchen gehst, und dort Windows Updates eingibst.
Prüfe unter "Einstellungen ändern" dass folgendes ausgewählt ist:
- Updates automatisch Instalieren,
- Täglich
- Uhrzeit wählen
- Bitte den gesammten rest anhaken, außer:
- detailierte benachichtungen anzeigen, wenn neue Microsoft software verfügbar ist.
Klicke jetzt die Schaltfläche "OK"
Klicke jetzt "nach Updates suchen".
Bitte instaliere zunächst wichtige Updates.
Es wird nötig sein, den PC zwischendurch neu zu starten. falls dies der Fall ist, musst du erneut über Start, Suchen, Windows Update aufrufen, auf Updates suchen klicken und die nächsten instalieren.
Mache das selbe bitte mit den optionalen Updates.
Bitte übernimm den rest so, wie es im Abschnitt windows 7 / Vista zu lesen ist.
aus dem Abschnitt xp, bitte den punkt "datenausführungsverhinderung, dep" übernehmen.
als browser rate ich dir zu chrome:
Installation von Google Chrome für mehrere Nutzerkonten - Google Chrome-Hilfe
anleitung lesen bitte
falls du nen andern nutzen willst, sags mir dann muss ich teile der nun folgenden anleitung


Sandboxie
Die devinition einer Sandbox ist hier nachzulesen:
Sandbox
Kurz gesagt, man kann Programme fast 100 %ig isuliert vom System ausführen.

Der Vorteil liegt klar auf der Hand, wenn über den Browser Schadcode eingeschläust wird, kann dieser nicht nach außen dringen.
Download Link:
Sandboxie Download - Sandboxie 3.72

anleitung:
http://www.trojaner-board.de/71542-a...sandboxie.html
ausführliche anleitung als pdf, auch abarbeiten:
Sandbox Einstellungen |

bitte folgende zusatz konfiguration machen:
sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen.
dort klicke auf sandbox einstellungen.
beschrenkungen, bei programm start und internet zugriff schreibe:
chrome.exe
dann gehe auf anwendungen, webbrowser, chrome.
dort aktiviere alles außer gesammten profil ordner freigeben.
Wie du evtl. schon gesehen hast, kannst du einige Funktionen nicht nutzen.
Dies ist nur in der Vollversion nötig, zu deren Kauf ich dir rate.
Du kannst zb unter "Erzwungene Programmstarts" festlegen, dass alle Browser in der Sandbox starten.
Ansonsten musst du immer auf "Sandboxed webbrowser" klicken bzw Rechtsklick, in Sandboxie starten.
Eine lebenslange Lizenz kostet 30 €, und ist auf allen deinen PC's nutzbar.

Weiter mit:
Maßnahmen für ALLE Windows-Versionen
alles komplett durcharbeiten
anmerkung zu file hippo.
in den settings zusätzlich auswählen:
hide beta updates.
Run updateChecker when Windows starts

Backup Programm:
in meiner Anleitung ist bereits ein Backup Programm verlinkt, als Alternative bietet sich auch das Windows eigene Backup Programm an:
http://www.trojaner-board.de/82962-w...en-backup.html
Dies ist aber leider nur für Windows 7 Nutzer vernünftig nutzbar.
Alle Anderen sollten sich aber auf jeden fall auch ein Backup Programm instalieren, denn dies kann unter Umständen sehr wichtig sein, zum Beispiel, wenn die Festplatte einmal kaputt ist.

Zum Schluss, die allgemeinen sicherheitstipps beachten, wenn es dich betrifft, den Tipp zum Onlinebanking beachten und alle Passwörter ändern
bitte auch lesen, wie mache ich programme für alle sichtbar:
Programme für alle Konten nutzbar machen - PCtipp.ch - Praxis & Hilfe
surfe jetzt also nur noch im standard nutzer konto und dort in der sandbox.
wenn du die kostenlose version nutzt, dann mit klick auf sandboxed web browser, wenn du die bezahlversion hast, kannst du erzwungene programm starts festlegen, dann wird sandboxie immer gestartet wenn du nen browser aufrufst.
wenn du mit der maus über den browser fährst sollte der eingerahmt sein, dann bist du im sandboxed web browser

Hallo,
habe mich für Emsisoft entschieden und erst einmal die Testversion installiert. Den Rest arbeite ich wie von Dir beschrieben nun ab.
Ist mein Rechner tatsächlich so verseucht?
Beste Grüße und ein großes DANKESCHÖN mal zwischendurch an Dich!!

Hier der Zwischenstand der bisher durchgeführten Schritte (noch kein Neustart, da der Emsisoft Scanner noch läuft):
1. Emsisoft installiert, Detailtest läuft noch
Der Scanner hat bereits den ersten Fund in einem der Standardbenutzeraccounts (siehe Screenshot).
2. Windows-Updates (optionale eingeschlossen) durchgeführt: 22 empfohlene und 0 optionale werden aktualisiert.
3. Benutzerkonten: 3 Konten sind bereits alle als Standardbenutzer eingerichtet (habe kein Passwort vergeben). Für den Admin-Account habe ich nun ein Passwort eingesetzt.
4. SEHOP aktiviert (automatisch mit Microsoft Fix it 50096)
5. UAC Benutzerkonten: Regler auf höchste Stufe eingestellt
6. Folgenden Schritt konnte ich NICHT ausführen:
Dienste konfigurieren:
Windows-Dienste sicher konfigurieren und abschalten (Windows 7/Vista/XP/2000) - www.ntsvcfg.de

Anleitung steht hier als Download zur verfügung.
hxxp://ntsvcfg.de/svc2kxp.zip
Lies den Abschnitt über die svc2kxp.md

Wähle die 2. Methode da diese die sicherste ist.
Je weniger Dienste der PC nach außen anbietet, desto besser.
Prüfe bitte, nachdem Du das Tool gestartet hast, ob die automatischen Updates für Windows sowie der intelligente Hintergrundtransferdienst (BITS) aktiv sind.


Start --> Ausführen --> services.msc (eingeben) --> OK

Suche die beiden Dienste und kontrolliere ob der Starttyp der Dienste auf Automatisch gestellt ist. Ist dies nicht der Fall, wähle den Dienst aus: Rechtsklick --> Eigenschaften --> Starttyp automatisch.

Das selbe gilt für die Windows-Firewall.

Mein Problem: Im ZIP war eine *.txt Datei (Hier habe ich die unten beschriebene 2. Methode nicht gefunden). Die zweite Datei im ZIP Ordner war eine *.cmd Datei, die ich nicht ausführen konnte (siehe Screenshot unten)

Ich warte jetzt als nächstes ab, bis der Scanner durchgelaufen ist und starte dann neu.
Avira habe ich übrigens noch nicht deaktiviert / deinstalliert. Ich mache das, sobald Emsisoft eingerichtet ist.

Hier der Zwischenstand der bisher durchgeführten Schritte (noch kein Neustart, da der Emsisoft Scanner noch läuft):
1. Emsisoft installiert, Detailtest läuft noch
Der Scanner hat bereits den ersten Fund in einem der Standardbenutzeraccounts (siehe Screenshot).
2. Windows-Updates (optionale eingeschlossen) durchgeführt: 22 empfohlene und 0 optionale werden aktualisiert.
3. Benutzerkonten: 3 Konten sind bereits alle als Standardbenutzer eingerichtet (habe kein Passwort vergeben). Für den Admin-Account habe ich nun ein Passwort eingesetzt.
4. SEHOP aktiviert (automatisch mit Microsoft Fix it 50096)
5. UAC Benutzerkonten: Regler auf höchste Stufe eingestellt
6. Folgenden Schritt konnte ich NICHT ausführen:
Dienste konfigurieren:
Windows-Dienste sicher konfigurieren und abschalten (Windows 7/Vista/XP/2000) - Windows-Dienste sicher konfigurieren und abschalten (Windows 7/Vista/XP/2000) - www.ntsvcfg.de

Anleitung steht hier als Download zur verfügung.
hxxp://ntsvcfg.de/svc2kxp.zip
Lies den Abschnitt über die svc2kxp.md

Wähle die 2. Methode da diese die sicherste ist.
Je weniger Dienste der PC nach außen anbietet, desto besser.
Prüfe bitte, nachdem Du das Tool gestartet hast, ob die automatischen Updates für Windows sowie der intelligente Hintergrundtransferdienst (BITS) aktiv sind.


Start --> Ausführen --> services.msc (eingeben) --> OK

Suche die beiden Dienste und kontrolliere ob der Starttyp der Dienste auf Automatisch gestellt ist. Ist dies nicht der Fall, wähle den Dienst aus: Rechtsklick --> Eigenschaften --> Starttyp automatisch.

Das selbe gilt für die Windows-Firewall.

Mein Problem: Im ZIP war eine *.txt Datei (Hier habe ich die unten beschriebene 2. Methode nicht gefunden). Die zweite Datei im ZIP Ordner war eine *.cmd Datei, die ich nicht ausführen konnte (siehe Screenshot unten)

Ich warte jetzt als nächstes ab, bis der Scanner durchgelaufen ist und starte dann neu.
Avira habe ich übrigens noch nicht deaktiviert / deinstalliert. Ich mache das, sobald Emsisoft eingerichtet ist.

Scanner ist jetzt durch. keine weiteren Infekte. Die 3 gefundenen habe ich in Quarantäne verschoben. Die Einstellungen sind wie im u.a. Screenshot (Installende Emsisoft). Das Log ist in der ZIP datei (Quarantine...zip)
Ich starte jetzt den Rechner neu

poste bitte das emsisoft log keine screenshots

Ich hatte das log von Emsisoft noch oben ergänzt.
Mittlerweile habe ich Avira deinstalliert und erneut gebootet.
Google Chrome ist für alle Benutzer installiert.
Die Datenausführungsverhinderung (DEP) habe ich noch nicht gemacht. Ist das unbedingt notwendig?
Ein neuer Smartscan mit Emsisoft hatte keine Anzeigen mehr.

dienste konfigurieren brauchst du nicht, bitte aus dem abschnitt xp nur das machen, was auch da steht,
sorry dep ist bei x64 sowieso aktiv.

chrome konfig:
adblock für chrome:
http://filepony.de/download-adblock_chrome/
damit sollte das leben werbefreier von statten gehen.
ghostery um tracking zu verhindern:
http://filepony.de/download-ghostery_chrome/
sicher surfen mit chrome:
http://www.verbraucher-sicher-online...-google-chrome

Hallo Markus
habe nun auch die addons adblock und ghostery installiert.
Meine FastScans auf Viren sind alles sauber.
Gruß
Dirk

Hi,
vielen Dank für die 1a Hilfe bis hierher. Kann ich denn jetzt sicher sein, dass der PC "sauber" ist, wenn die Logs alle o.k. sind?

mach mal nen vollständigen scan mit emsi.
sollte auch sauber sein.

Hier das Scanergebnis:
Emsisoft Anti-Malware - Version 6.6
Letztes Update: 04.07.2012 17:07:50

Scan Einstellungen:

Scan Methode: Detail Scan
Objekte: Rootkits, Speicher, Traces, C:\, D:\
Archiv Scan: An
ADS Scan: An

Scan Beginn: 04.07.2012 17:55:09


Gescannt 607188
Gefunden 0

Scan Ende: 04.07.2012 18:48:50
Scan Zeit: 0:53:41

dann hätten wirs.

Auf diesem Wege noch einmal herzlichen Dank für die detaillierten Anleitungen und deine Zeit!!
Alles Gute

dir auch, halte dich an alle tipps, mache backups, und du bist bei software problemen bzw trojanern auf keine hilfe mehr angewiesen