Trojaner-Board - habe schon wieder den Bundestrojaner / BKA Virus !

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - habe schon wieder den Bundestrojaner / BKA Virus ! (https://www.trojaner-board.de/106261-habe-schon-bundestrojaner-bka-virus.html)

habe schon wieder den Bundestrojaner / BKA Virus !

Hallo,

Also ich bin langsam am verzweifeln, ich habe jetzt zum 2ten mal in folge den BKA Virus. Nur das er diesesmal optisch anders aussieht als beim erstenmal, also warscheinlich eine etwas andere form.

Da ich jetzt innerhalb einer woche ihn nun zum 2ten mal habe, denke ich doch das ich hilfe brauche.

Also um genauzuwerden es ist der PC meines Vaters, ich hatte ihn zumglück
noch nicht.

Das erstemal hab ich den Virus beseitigt indem ich erstmal im Abgesicherten Modus + Netzwerktreiber gestartet habe und Norton Power Eraser durchlaufen habe lassen, keine Ahnung ob er was gefunden hat.

Danach hab ich direkt von einer DVD "Avira Rescue Disk 10" oder wie das heißt durchlaufenlassen, der hatte mehrere fünde das weiß ich (hat auch etwas gedauert).

Danach Disk wieder entfernt und ganz normal windows gebootet => keine Probleme mehr.

Dann war der Trojaner heute wieder da, nur halt optisch anders aber im prinzip das gleiche.

Ich will jetzt nicht wieder selbst rumstümpern da ich keine Lust habe jetzt alle 5 tage den Virus neu zu bekämpfen !

Hier noch ein Screenshot des Virus:
http://img412.imageshack.us/img412/1547/img1916o.jpg

Eventuell kennt ja jemand diese "Edition" !

Bitte um hilfe !

hi
kommst du in den abgesicherten modus mit netzwerk und kannst dort arbeiten?
falls ja:
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die
OTL.exe
.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg
Textbox.

Code:

activex

netsvcs

msconfig

%SYSTEMDRIVE%\*.

%PROGRAMFILES%\*.exe

%LOCALAPPDATA%\*.exe

%systemroot%\*. /mp /s

/md5start

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

explorer.exe

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\system32\*.dll /lockedfiles

%USERPROFILE%\*.*

%USERPROFILE%\Local Settings\Temp\*.exe

%USERPROFILE%\Local Settings\Temp\*.dll

%USERPROFILE%\Application Data\*.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Kopiere
nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Hallo, also irgendwie hängt das Tool bei mir immer,
Also es geht ne Zeit dann bleibt es ewig bei getting folder structure stehen.

Also in den Abgesichteren Modus komm ich aber alles ohne probleme rein,
was soll ich nun tun ?

Edit:
nachdem es ewig hängt kommt noch "out of memory" aufeinmal ne meldung !

ok dann hiermit weiter

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
Tool

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Hinweis:
Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

Hat geklappt,
hier das Logfile:

[quote]
Combofix Logfile:

Code:

ComboFix 11-12-15.02 - Liwa 15.12.2011  15:03:24.1.4 - x64 NETWORK

Microsoft Windows 7 Ultimate   6.1.7600.0.1252.49.1031.18.6135.5056 [GMT 1:00]

ausgeführt von:: c:\users\Liwa\Desktop\ComboFix.exe

SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

 * Neuer Wiederherstellungspunkt wurde erstellt

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\program files (x86)\LP

c:\program files (x86)\LP\053D\C59.exe.vir

c:\program files (x86)\LP\CDE7\16C.exe

c:\program files (x86)\LP\CDE7\65D5.tmp

c:\program files (x86)\LP\CDE7\CE84.tmp

c:\program files (x86)\LP\CDE7\E0DD.tmp

c:\program files (x86)\LP\CDE7\F46C.tmp

c:\program files (x86)\LP\CDE7\F814.tmp

c:\programdata\NOTEPAD.EXE-x.txt

c:\programdata\RUNDLL32.EXE-x.txt

c:\users\Liwa\AppData\Roaming\70EC5

c:\users\Liwa\AppData\Roaming\70EC5\599C.0EC

c:\users\Liwa\AppData\Roaming\70EC5\6CCCD.exe

c:\users\Liwa\AppData\Roaming\Adobe\plugs

c:\users\Liwa\AppData\Roaming\Adobe\plugs\mmc10.exe

c:\users\Liwa\AppData\Roaming\Adobe\plugs\mmc216.exe.vir

c:\users\Liwa\AppData\Roaming\Adobe\plugs\mmc2618149.txt.vir

c:\users\Liwa\AppData\Roaming\Adobe\shed

c:\users\Liwa\AppData\Roaming\Adobe\shed\thr1.chm

c:\users\Liwa\AppData\Roaming\conhost.exe.vir

c:\users\Liwa\AppData\Roaming\dwm.exe.vir

c:\users\Liwa\AppData\Roaming\Hiife\avcya.exe

c:\users\Liwa\AppData\Roaming\iexplore.exe.vir

c:\users\Liwa\AppData\Roaming\java.exe.vir

c:\users\Liwa\AppData\Roaming\Microsoft\CDE7\16C.exe

c:\users\Liwa\AppData\Roaming\Microsoft\conhost.exe.vir

c:\users\Liwa\AppData\Roaming\Microsoft\hostrun.exe.vir

c:\users\Liwa\AppData\Roaming\Microsoft\lvvm.exe.vir

c:\users\Liwa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\0.695183065778234.exe.lnk

c:\users\Liwa\AppData\Roaming\wmplayer.exe.vir

c:\users\Liwa\Documents\avira_free_antivirus_de.exe

.

.

(((((((((((((((((((((((   Dateien erstellt von 2011-11-15 bis 2011-12-15  ))))))))))))))))))))))))))))))

.

.

2011-12-15 14:07 . 2011-12-15 14:07        --------        d-----w-        c:\users\UpdatusUser\AppData\Local\temp

2011-12-15 14:07 . 2011-12-15 14:07        --------        d-----w-        c:\users\Default\AppData\Local\temp

2011-12-12 18:38 . 2011-12-12 18:38        --------        d-----w-        c:\users\Liwa\AppData\Roaming\Avira

2011-12-12 18:36 . 2011-12-09 11:40        27760        ----a-w-        c:\windows\system32\drivers\avkmgr.sys

2011-12-12 18:36 . 2011-12-09 11:40        130760        ----a-w-        c:\windows\system32\drivers\avipbb.sys

2011-12-12 18:36 . 2011-12-09 11:40        97312        ----a-w-        c:\windows\system32\drivers\avgntflt.sys

2011-12-12 18:36 . 2011-12-12 18:36        --------        d-----w-        c:\programdata\Avira

2011-12-12 18:36 . 2011-12-12 18:36        --------        d-----w-        c:\program files (x86)\Avira

2011-12-12 16:48 . 2011-12-12 16:58        --------        d-----w-        c:\users\Liwa\AppData\Local\NPE

2011-12-12 16:48 . 2011-12-12 16:48        --------        d-----w-        c:\programdata\Norton

2011-12-12 16:40 . 2011-12-12 16:57        --------        d-----w-        c:\program files (x86)\C599C

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MediaGet2"="c:\users\Liwa\AppData\Local\MediaGet2\mediaget.exe" [2011-12-11 8104680]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]

"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]

"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2011-12-09 258512]

.

c:\users\Liwa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

OpenOffice.org 3.3.lnk - c:\program files (x86)\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 5 (0x5)

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableUIADesktopToggle"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"HideSCAHealth"= 1 (0x1)

.

S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [x]

S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2011-06-06 64952]

S2 AntiVirSchedulerService;Avira Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2011-12-09 86224]

S2 cpuz135;cpuz135;c:\windows\system32\drivers\cpuz135_x64.sys [x]

S2 nvUpdatusService;NVIDIA Update Service Daemon;c:\program files (x86)\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe [2011-05-25 2214504]

S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2011-05-20 378472]

S3 e1kexpress;Intel(R) PRO/1000 PCI Express Network Connection Driver K;c:\windows\system32\DRIVERS\e1k62x64.sys [x]

.

.

Inhalt des "geplante Tasks" Ordners

.

.

--------- x86-64 -----------

.

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"LoadAppInit_DLLs"=0x0

.

------- Zusätzlicher Suchlauf -------

.

uLocal Page = c:\windows\system32\blank.htm

uStart Page = hxxp://google.de/

mLocal Page = c:\windows\SysWOW64\blank.htm

uInternet Settings,ProxyServer = http=127.0.0.1:60141

TCP: DhcpNameServer = 192.168.2.1

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

Wow6432Node-HKCU-Run-{946FFEC3-9C4C-54C2-0ECA-D5C43D63A9BD} - c:\users\Liwa\AppData\Roaming\Hiife\avcya.exe

Wow6432Node-HKCU-Run-conhost - c:\users\Liwa\AppData\Roaming\Microsoft\lvvm.exe

Wow6432Node-HKCU-Run-{95D9E86D-7223-11DF-8AF2-806E6F6E6963} - c:\users\Liwa\AppData\Roaming\Microsoft\hostrun.exe

Wow6432Node-HKCU-Run-16C.exe - c:\users\Liwa\AppData\Roaming\Microsoft\CDE7\16C.exe

Wow6432Node-HKLM-Run-C59.exe - c:\program files (x86)\LP\053D\C59.exe

Wow6432Node-HKLM-Run-16C.exe - c:\program files (x86)\LP\CDE7\16C.exe

.

.

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10r_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10r_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Shockwave Flash Object"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10r.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]

@="0"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]

@="ShockwaveFlash.ShockwaveFlash.10"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10r.ocx, 1"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="ShockwaveFlash.ShockwaveFlash"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Macromedia Flash Factory Object"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10r.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]

@="FlashFactory.FlashFactory.1"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10r.ocx, 1"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="FlashFactory.FlashFactory"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe

c:\program files (x86)\OpenOffice.org 3\program\soffice.exe

c:\program files (x86)\OpenOffice.org 3\program\soffice.bin

.

**************************************************************************

.

Zeit der Fertigstellung: 2011-12-15  15:11:26 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2011-12-15 14:11

.

Vor Suchlauf: 10 Verzeichnis(se), 311.740.174.336 Bytes frei

Nach Suchlauf: 14 Verzeichnis(se), 311.522.488.320 Bytes frei

.

- - End Of File - - EE07FE212E13958E4E847085DF7655FE

--- --- ---

Was soll ich nun tun ?

öffne mal bitte computer c: qoobox rechtsklick quarantain, mit winrar zip oder anderem pack programm packen und hochladen:
http://www.trojaner-board.de/54791-a...ner-board.html

Erledigt, hoffe du hast es empfangen, stand jedenfalls erfolgreich da :)
Wie soll ich weiter fortfahren ?

Edit:
Auf dem Desktop befinden sich 2 "desktop.ini" datein, hat das was zu bedeuten, ich hab die da jednefalls nicht erstellt !

die kannst du löschen, datei habe ich, danke

machst du mit dem pc onlinebanking einkäufe sonstige zahlungsabwicklungen oder ähnlich wichtiges wie zb berufliches?

Eigentlich nicht ist der PC meines Vaters aber er macht
eigentlich zum Großteil nur Aktienkurse und Email eventuell mal Paypal aber soweit ich weiß zurzeit nicht.

Warum ?
Wie gehts jetzt weiter?
Soll ich den Quarantine ordner löschen oder desktop.ini´s ?

also, dieses gerät ist mit diversen trojanern und backdoor programmen befallen, darunter auch welche die es auf die finanzen abgesehen haben, zb klau von paypal zugang.
dieses system ist nicht mehr vertrauenswürdig.
es muss formatiert und windows neu instaliert, und dann abgesichert werden, ich werde dir alles erklären.
1. autorun deaktivieren:
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de
sichere jetzt bilder dokumente filme musik (persönliches) auf einen externen datenträger.
2. formatieren und windows neu instalieren.
falls du nicht weist wie dies geht, erkläre ich es dir, sag mir ob du eine windows cd, recovery cd oder recovery partition nutzt.
falls letzteres hersteller und gerätetypen nennen.
3. die neue instalation absichern, anleitung bekommst du von mir.
4. alle passwörter endern.

Hallo ich werde die Festplatte gründlich mit HD Shredder formatieren und
dann windows Komplett neu installieren.

Nach der Neuinstallation würde ich Kaspersky auf den Rechner installieren,
reicht das aus ?

ich würde nicht zu kaspersky raten sondern zu emsisoft.
die haben meiner meinung nach den besten schutz faktor und das programm kostet bis zum 17.12 noch 8 €.
die lizenz kann man sich ja kaufen und den test zeitraum von 30 tagen trotzdem nutzen.
in den folgejahren kostet es zwar ein wenig mehr ist aber jeden € wert und man kann ja zb gleich mehrjahreslizenzen nehmen dann kommt man billiger weg.
du musst dir aber klar machen, ein antimalware programm ist kein garant für schutz, es ist nur ein baustein.
folgende anleitung sollte komplett umgesetzt werden damit man geschützt ist
dann sichern wir jetzt mal das system ab:
ok, erst mal anmerkungen:

die folgende anleitung ist umfangreich, dass ist mir klar, sie sollte aber umgesetzt werden, da nur dann dein pc sicher ist. stelle so viele fragen wie nötig, ich arbeite gern alles mit dir durch!
- als antimalware empfehle ich emsisoft.
dieses ist zwar eine bezahl software, aber sie bietet meiner meinung nach den besten schutz.
du kannst es 30 tage lang testen, und ich kenne shops wo man es für 9 € bekommt was eig sehr günstig ist.
bei den kostenlosen würde ich zu avast greifen, zwar nicht ganz so gut, aber ok.
- wenn du onlinebanking machst, lasse dich von deiner bank beraten, ein card reader, klasse 3 (komfort reader) + starmoney um onlinebanking zu machen.
kostet zwar was, die banken zahlen da aber dazu, sollte sich also in grenzen halten.
-
als browser rate ich dir zu chrome:
https://www.google.com/chrome?hl=de
falls du nen andern nutzen willst, sags mir dann muss ich teile der nun folgenden anleitung anpassen.

http://www.trojaner-board.de/96344-a...-rechners.html
Starte bitte mit der Passage, Windows Vista und Windows 7
Bitte beginne damit, Windows Updates zu instalieren.
Am besten geht dies, wenn du über Start, Suchen gehst, und dort Windows Updates eingibst.
Prüfe unter "Einstellungen ändern" dass folgendes ausgewählt ist:
- Updates automatisch Instalieren,
- Täglich
- Uhrzeit wählen
- Bitte den gesammten rest anhaken, außer:
- detailierte benachichtungen anzeigen, wenn neue Microsoft software verfügbar ist.
Klicke jetzt die Schaltfläche "OK"
Klicke jetzt "nach Updates suchen".
Bitte instaliere zunächst wichtige Updates.
Es wird nötig sein, den PC zwischendurch neu zu starten. falls dies der Fall ist, musst du erneut über Start, Suchen, Windows Update aufrufen, auf Updates suchen klicken und die nächsten instalieren.
Mache das selbe bitte mit den optionalen Updates.
Bitte übernimm den rest so, wie es im Abschnitt windows 7 / Vista zu lesen ist.
aus dem Abschnitt xp, bitte den punkt "datenausführungsverhinderung, dep" übernehmen.

Als nächstes kommen wir zu dem Antimalware Programm.
Dieses ist ein wichtiger Bestandteil des Sicherheitskonzeptes, deswegen sollte man sich gut überlegen, welche Wahl man trifft.
Bei den kostenlosen Scannern halte ich Persönlich Avast! für die beste Wahl.
Als kostenpflichtiges würde ich Emsisoft empfehlen
Meine Antivirus-Empfehlung: Emsisoft Anti-Malware
Weitere Vertreter .
kaspersky:
Kaspersky Lab: Antivirus software
Symantec (Norton)
Symantec - AntiVirus, Anti-Spyware, Endpoint Security, Backup, Storage Solutions

Browserwahl:
Da wir häufig mit dem Browser arbeiten, ist diese Wahl natürlich ebenfalls wichtig, die wichtigen Vertreter befinden sich in dem Verlinktem Thema.
ich würde zu chrome greifen:
https://www.google.com/chrome?hl=de

Sandboxie
Die devinition einer Sandbox ist hier nachzulesen:
Sandbox
Kurz gesagt, man kann Programme fast 100 %ig isuliert vom System ausführen.

Der Vorteil liegt klar auf der Hand, wenn über den Browser Schadcode eingeschläust wird, kann dieser nicht nach außen dringen.
Download Link:
http://filepony.de/download-sandboxie/
anleitung:
http://www.trojaner-board.de/71542-a...sandboxie.html
ausführliche anleitung als pdf, auch abarbeiten:
http://filepony.de/download-sandboxie/
bitte folgende zusatz konfiguration machen:
sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen.
dort klicke auf sandbox einstellungen.
beschrenkungen, bei programm start und internet zugriff schreibe:
chrome.exe
dann gehe auf anwendungen, webbrowser, chrome.
dort aktiviere alles außer gesammten profil ordner freigeben.
Wie du evtl. schon gesehen hast, kannst du einige Funktionen nicht nutzen.
Dies ist nur in der Vollversion nötig, zu deren Kauf ich dir rate.
Du kannst zb unter "Erzwungene Programmstarts" festlegen, dass alle Browser in der Sandbox starten.
Ansonsten musst du immer auf "Sandboxed webbrowser" klicken bzw Rechtsklick, in Sandboxie starten.
Eine lebenslange Lizenz kostet 30 €, und ist auf allen deinen PC's nutzbar.

Weiter mit:
Maßnahmen für ALLE Windows-Versionen
alles komplett durcharbeiten
Backup Programm:
in meiner Anleitung ist bereits ein Backup Programm verlinkt, als Alternative bietet sich auch das Windows eigene Backup Programm an:
Windows 7 Systemabbild erstellen (Backup)
Dies ist aber leider nur für Windows 7 Nutzer vernünftig nutzbar.
Alle Anderen sollten sich aber auf jeden fall auch ein Backup Programm instalieren, denn dies kann unter Umständen sehr wichtig sein, zum Beispiel, wenn die Festplatte einmal kaputt ist.

Zum Schluss, die allgemeinen sicherheitstipps beachten, wenn es dich betrifft, den Tipp zum Onlinebanking beachten und alle Passwörter ändern
bitte auch lesen, wie mache ich programme für alle sichtbar:
Programme für alle Konten nutzbar machen - PCtipp.ch - Praxis & Hilfe
surfe jetzt also nur noch im standard nutzer konto und dort in der sandbox.
wenn du die kostenlose version nutzt, dann mit klick auf sandboxed web browser, wenn du die bezahlversion hast, kannst du erzwungene programm starts festlegen, dann wird sandboxie immer gestartet wenn du nen browser aufrufst.
wenn du mit der maus über den browser fährst sollte der eingerahmt sein, dann bist du im sandboxed web browser

Hallo, Ok also ich werd das mal durcharbeiten.
Als erstes Werd ich jetzt eh mal die Festplatte formatieren ordnetlich.
Installier ich wieder Windows 7 Ultimate 64bit drauf.

Als Virenschutz werde ich Kaspersky Installieren da ich:
A: Das selbst auf meinem PC nutze und sehr zufrieden bin
B: noch eine Lizenz die noch fast ein Jahr läuft über habe

Onlinebanking wird wie schon gesagt nicht gemacht, ab und an wird Paypal
mal benutzt sonst aber nichts.

Als Browser wird der IE benutzt werden, will meinem Vater da nichts
neues mehr zumuten bin eh froh das er so zurechtkommt
(Wenn ich jetzt sage das er denkt das man GMX installieren muss dann sollte alles klar sein, oder ?)

Werd das jetzt alles mal machen, falls fragen auftauchen meld ich mich,
Ahja Sandbox installier ich dann ebenfalls :)

Edit:
Aber wozu genau die Sandbox, wenn der PC sicher ist braucht es das doch nicht?
Und war jetzt dieser BKA virus auslöser für das ganze ?

woran machst du denn fest das der pc sicher ist, nur weil kaspersky instaliert ist, ist der pc doch lange noch nicht sicher...
wie gesagt mir persönlich sagt kaspersky nicht zu, lässt zu viel malware durch.
ich denke die ganzen infektionen sind unabhängig von einander.
sandboxie:

sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen.
dort klicke auf sandbox einstellungen.
beschrenkungen, bei programm start und internet zugriff schreibe:
iexplore.exe

der pc ist sicher, wenn die tipps umgesetzt werden, wozu unter anderem die sandbox gehört.
zu den update checkern möchte ich noch ne anmerkung machen.
sie suchen englisch sprachige updates.
das ist häufig kein problem, beim flash palyer, java usw.
bei programmen wie adobe reader, wo man auf die nutzeroberfläche zugreift schon.
du solltest dann also im ie unter favoriten, einen punkt "instalationen" oder ähnlich, erstellen und dort seiten wie adobe.com speichern, das dein schwigervater, wenn für diese programme updates gezeigt werden, darauf zugreifen kann und die dann laden und instalieren kann.

Du hast recht ich vergas das es was anders ist wenn ich den PC führe oder mein Vater also was Viren usw... angeht.

Werde dann aufjedenfall die Sandbox installieren.
Es gibt doch sicher noch eine andere möglichkeit die direkt beim Hochfahren / Windowstart auszuführen? Irgeneinen Registry eintrag oder etwas in der art ?

Edit:
Das Problem war das garkein virenschutz installiert war auf dem PC von meinem vater, daher denke ich sind auch die ganzen viren draufgekommen... !!!