|
Bundeskriminalamt-Virus legt meinen Laptop lahm Hallo an alle, ich habe mir gestern fantastischerweise diesen Bundeskriminalamt-Virus eingefangen:headbang: . Seitdem läuft hier nichts mehr so wie es soll. Direkt nach dem Hochfahren poppt eine Seite mit dem allseits bekannten Bild und Logos vom BKA auf. Der Taskmanager lässt sich nicht starten, der Antivirus-Guard (Regenschirm) ist auch nicht in der Taskleiste zu finden. Wenn ich einen kompletten Systemscan starte, gibt es kein Luke Filewalker-Fenster, obwohl mein Leppi rechnet ohne Ende. Spybot hat ein bischen Malware gelöscht, aber das Problem besteht immer noch. Ich habe alle wichtigen Dateien auch auf einer externen Festplatte. Wenn ich den Leppi plattmachen müsste, wäre das total ärgerlich, aber durchaus noch zu verkraften (wäre nicht das erste Mal). Aber vielleicht könnt ihr mir den Zirkus ersparen? Achja, ich habe Windows XP Professional 2002, ServicePack 3. Mein Leppi ist uralt, keine Ahnung ob 64 oder 32 Bit. Wo steht das? Ich habe ihn partitioniert (Laufwerk C und D). Ich hoffe, dass zumindest D: gerettet werden kann. Danke schonmal im Voraus. Leeloo |
hi, schaun wir mal :-) Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten: Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD. Lade  OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
Bebilderte Anleitung: OTLpe-Scan
|
Hey, ich denke, ich könnte das mit meinem (infizierten) Leppi brennen. Oder verändert der Virus auch diese Dateien? |
ich denke du kannst mit dem gerät nicht mehr arbeiten? falls doch benötigen wir die otl cd gar nicht und können wie folgt weiter machen Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code: activex
|
Oh man, sorry, irgendwie bringt einen der Link auf das falsche Programm. Hab jetzt endlich odt.exe und auch Fenster, die wie hier aussehenhttp://www.trojaner-board.de/85104-o...oldtimer.html. So, Log kommt hoffentlich gleich. |
Ach und sorry, hatte mich offenbar nich so klar ausgedrückt. Irgendwie geht der Leppi schon, aber nich so richtig wie er soll. Muss meistens mehrmals reseten und kann eben verschiedene wichtige Programme nicht nutzen (wie eben der Taskmanager, Antivirus etc.). Aber ich komm noch ins Netz, kann auch drucken oder Word benutzen. Wenigstens was |
Hey, soo und hier die Logs. Ich hoffe, du wirst daraus schlauer. |
hi versuch mal folgendes, dieses programm laden, und auf nen stick kopieren: Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde! Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.
tippe dort: d:\combofix.exe enter falls das nicht klappt: e:\combofix.exe usw bis du das richtige laufwerk hast. dann, falls ne meldung über aktives antimalware programm erscheint, auf ok klicken. wenn das programm fertig ist, in den normalen modus gehen, sollte wieder laufen, und log posten |
Hey, sooo, also, folgende Probleme treten auf: Wenn ich im abgesichterten Modus bin, fragt er mich erstmal, von welchem Konto ich starten möchte ("Administrator" oder "Ich"). Allerdings besitze ich auf meinem Leppi nur ein Konto, nämlich "Ich", und das IST das Admin-Konto. Entsprechend verunsichert bin ich, von welchem Konto aus ich das Combofix starten soll. Ist vielleicht nur mein Ich-Konto infiziert oder beide und es wird aber nur ein Konto "bereinigt"? Problem zwei: wenn ich im abgesicherten Modus das Combofix starte, will der natürlich die Wiederherstellungskonsole installieren (wie in der Hilfe beschrieben) Zitat:
|
ne im abgesicherten modus, und lasse die konsole weg. |
Hey Markus, hier der log, ohne konsole, unter dem Adminkonto (interessanterweise hatte das jedesmal nen anderen Namen - habs ja heute mehrfach probiert). Der Log wurde nicht auf dem Desktop gespeichert. Musste erst etwas suchen. Bisher sehe ich noch keine Veränderung, wie andere Forumuser berichteten. Habe immernoch den Virus-Desktop über meinem eigenen Desktop, den ich dann nur ganz kurz beim hoch- und runterfahren sehe. |
hi von desktop stand da ja auch nichts. versuch mal folgendes: malwarebytes: Downloade Dir bitte Malwarebytes
|
Hey, das Programm hatte ich gestern schonmal durchlaufen lassen, nachdem das bei euch auch vielen anderen Usern empfohlen wurde. Das ist der Log davon. Er hatte vier Sachen gefunden und auch gelöscht. Seitdem habe ich meinen normalen Desktop wieder, auch Avira und der Taskmanager gehen wieder. Juhuu! :dankeschoen: Avira hat sogar schon erfolgreich zwei weitere Trojaner entdeckt. Soweit so gut. Allerdings habe ich auf wundersame Weise bei C:\Dokumente und Einstellungen\ jetzt plötzlich fünf der sonst üblichen zwei Ornder (nämlich: "Ich", "All Users" (das sind die normalen), dann "Administrator", "Administrator.PETER-SILIE" und "Administrator.PETER-SILIE.000"). Ich frage mich, wo die letzten drei herkommen, von mir jedenfalls nicht. Liegt das daran, dass ich mehrfach (nämlich 4 mal) in den abgesichteren Modus rein bin? Da hatte er ja schon jedesmal einen neuen dieser Ordner angewählt. Oder ist das vom BKA-Virus und sollte dringend entfernt werden? Und, die Frage aller Fragen: bin ich damit jetzt virenfrei? Hast du einen Tipp zwecks optimierter Sicherheitseinstellungen? Avira und Spybot mit wöchentlichem Scan nebst Update reichen offenbar nicht aus.:confused: Tausend Dank für deine Hilfe!!! |
öffne mal avira, berichte, poste die berichte mit den funden. falls es guard meldungen waren, avira, ereignisse, fundmeldungen posten. die nutzerordner sind normal so. |
Hm, das is ja interessant. 3 gefunden, aber nur zwei gelöscht. Hmmhmmhmmm. Sehr eigenartig. |
hi, das war ein archiv gewesen, deswegen 3 funde, aber nur 2 löschungen lade den CCleaner standard: CCleaner Download - CCleaner 3.14.1616 falls der CCleaner bereits instaliert, überspringen. instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen. hinter, jedes von dir benötigte programm, schreibe notwendig. hinter, jedes, von dir nicht benötigte, unnötig. hinter, dir unbekannte, unbekannt. liste posten. |
Uih und hier der Guard: 8 Meldungen, davon dann aber manche doch zugelassen. Krass, da denkt man, der piept dann immer, wenn was schlimmes is und dann sowas. |
ok, danke. weiter mit dem ccleaner. wir müssen aufräumen und sicherheitslücken schließen |
Bitte sehr! Der ganze doppelte Schnulli von Microsoft könnte von mir aus ja raus, aber ohne den gehts nich ne?:rolleyes: |
deinstaliere: Active@ ISO Burner für otl hast du das genutzt denke ich Adobe AIR deinstaliere: Adobe Flash Player alle Adobe - Andere Version des Adobe Flash Player installieren neueste version laden adobe reader: Adobe - Adobe Reader herunterladen - Alle Versionen haken bei mcafee security scan raus nehmen bitte auch mal den adobe reader wie folgt konfigurieren: adobe reader öffnen, bearbeiten, voreinstellungen. allgemein: nur zertifizierte zusatz module verwenden, anhaken. internet: hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc. es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht. bei javascript den haken bei java script verwenden raus nehmen bei updater, automatisch instalieren wählen. übernehmen /ok deinstaliere: Citavi DivX beide dm-DIGI Java Download der kostenlosen Java-Software downloade java jre instaliere es deinstaliere: KONICA anmerkung: Microsoft Visual C++ sind verschiedene versionen, alle nötig. öffne ccleaner, analysieren, bereinigen. neustarten, testen ob es noch probleme gibt |
Soo, alles ausgeführt. Und bisher kann ich keine Probleme feststellen. Supi! |
ok dann hätten wirs :-) |
Wow, fantastisch!!! Tausend Dank:dankeschoen: Und sogar D: wurde gerettet ;) Ich dachte schon, ich muss mal wieder alles neu aufsetzen. War schon am überlegen, ob die Anschaffung eines Leppis vom angebissenen Obst nicht vielleicht doch mal ins Auge gefasst werden sollte. Aber teuer, teuer, teuer die Dinger. Vielen Dank dir und dem Board! :taenzer: |
nö, du musst nur den pc besser absichern: als antimalware programm würde ich emsisoft empfehlen. diese haben für mich den besten schutz kostet aber etwas. http://www.trojaner-board.de/103809-...i-malware.html testversion: Meine Antivirus-Empfehlung: Emsisoft Anti-Malware und du kannst vor dem aktivieren der lizenz die 30 tage testzeitraum ausnutzen. kostenlos, aber eben nicht ganz so gut wäre avast zu empfehlen. http://www.trojaner-board.de/110895-...antivirus.html sag mir welches du nutzt, dann gebe ich konfigurationshinweise. bitte dein bisheriges av deinstalieren die folgende anleitung ist umfangreich, dass ist mir klar, sie sollte aber umgesetzt werden, da nur dann dein pc sicher ist. stelle so viele fragen wie nötig, ich arbeite gern alles mit dir durch! http://www.trojaner-board.de/96344-a...-rechners.html bitte arbeite die passage xp ab. als browser rate ich dir zu chrome: https://www.google.com/chrome?hl=de falls du nen andern nutzen willst, sags mir dann muss ich teile der nun folgenden anleitung Sandboxie Die devinition einer Sandbox ist hier nachzulesen: Sandbox Kurz gesagt, man kann Programme fast 100 %ig isuliert vom System ausführen. Der Vorteil liegt klar auf der Hand, wenn über den Browser Schadcode eingeschläust wird, kann dieser nicht nach außen dringen. Download Link: http://filepony.de/download-sandboxie/ anleitung: http://www.trojaner-board.de/71542-a...sandboxie.html ausführliche anleitung als pdf, auch abarbeiten: Sandbox Einstellungen | bitte folgende zusatz konfiguration machen: sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen. dort klicke auf sandbox einstellungen. beschrenkungen, bei programm start und internet zugriff schreibe: chrome.exe dann gehe auf anwendungen, webbrowser, chrome. dort aktiviere alles außer gesammten profil ordner freigeben. Wie du evtl. schon gesehen hast, kannst du einige Funktionen nicht nutzen. Dies ist nur in der Vollversion nötig, zu deren Kauf ich dir rate. Du kannst zb unter "Erzwungene Programmstarts" festlegen, dass alle Browser in der Sandbox starten. Ansonsten musst du immer auf "Sandboxed webbrowser" klicken bzw Rechtsklick, in Sandboxie starten. Eine lebenslange Lizenz kostet 30 €, und ist auf allen deinen PC's nutzbar. Weiter mit: Maßnahmen für ALLE Windows-Versionen alles komplett durcharbeiten Backup Programm: in meiner Anleitung ist bereits ein Backup Programm verlinkt, als Alternative bietet sich auch das Windows eigene Backup Programm an: Windows 7 Systemabbild erstellen (Backup) Dies ist aber leider nur für Windows 7 Nutzer vernünftig nutzbar. Alle Anderen sollten sich aber auf jeden fall auch ein Backup Programm instalieren, denn dies kann unter Umständen sehr wichtig sein, zum Beispiel, wenn die Festplatte einmal kaputt ist. Zum Schluss, die allgemeinen sicherheitstipps beachten, wenn es dich betrifft, den Tipp zum Onlinebanking beachten und alle Passwörter ändern bitte auch lesen, wie mache ich programme für alle sichtbar: Programme für alle Konten nutzbar machen - PCtipp.ch - Praxis & Hilfe surfe jetzt also nur noch im standard nutzer konto und dort in der sandbox. wenn du die kostenlose version nutzt, dann mit klick auf sandboxed web browser, wenn du die bezahlversion hast, kannst du erzwungene programm starts festlegen, dann wird sandboxie immer gestartet wenn du nen browser aufrufst. wenn du mit der maus über den browser fährst sollte der eingerahmt sein, dann bist du im sandboxed web browser |
Hey! Soo, hat etwas gedauert, hier der Bericht: AV durch Avast ersetzt Sandboxie installiert und angewendet Benutzerkonten erstellt Browser bleibt erstmal FF, bin gegenüber Chrome irgendwie skeptisch. Hatte es vor einiger Zeit mal mit Opera probiert, aber das war nich so der Hit. Läuft Chrome tatsächlich rund? Dachte, das war noch in der Testphase. Alles upgedatet, bereinigt, defragmentiert etc. Backups erstellt Läuft alles soweit gut. Bisher keine Probleme feststellbar. |
chrome ist schon lange sehr gut. schau ihn dir mal an, sag mir dann bescheid, dann muss ich dir entweder noch ein paar kleinigkeiten zu chrome sagen oder zum firefox + sandboxie |
Hey, SandboxieChrome läuft auf dem Adminkonto gut. Aber auf meinem Userkonto passiert gar nichts, wenn ich das starten will. Es hängt sich alles auf, wenn ich das versuche. Der Leppi rechnet, aber es passiert nichts. Chrome geht auch ohne Sandbox nicht. FF hingegen geht sowohl mit als auch ohne Sandbox. Mach ich was verkehrt? |
meld dich mal als admin an C:\Users\adminkonto\AppData\Local\Google\Chrome dort mal rechtsklick auf User Data und kopieren dann navigiere zu C:\Users\nutzerkonto\AppData\Local\Google rechtsklick, einfügen, evtl. nachfrage bestätigen. dann noch mal im nutzerkonto chrome probieren |
Hey, im Ordner AppData ist nichts drin. Kann also auch nix kopieren. |
öffne mal computer, dort extras ordner optionen, ansicht. erweiterungen bei bekannten typen ausblenden, off geschützte dateien ausblenden, off, nachfrage bestätigen. bei versteckte dateien und ordner, ausgeblendete dateien und ordner anzeigen, anhaken. dann übernehmen ok. und noch mal gucken ob du jetzt in dem ordner was findest |
Hey, versteckte Dateien hab ich schon immer angezeigt, den Rest hab ich gemacht, wie du geschrieben hast. Das Ergebnis ist das gleiche - leerer Ordner. Irgendwie will er nich. Hab Chrome auch doppelt installieren müssen, beim Admin und auf dem Userkonto. Dort hatte er nämlich nichts vom Admin-Chrome gefunden. Liegts vielleicht daran? Aber selbst dann müsste er Chrome ja wenigstens starten. |
hmm deinstaliere es noch mal und führe die instalation im admin konto erneut aus, rechtsklick, als admin starten. |
Done, gleiches Resultat. Als Admin gehts mit Sandbox, als User stürzt alles ab. Auch wenn ich Chrome ohne Box starten will. Der Ordner App Data ist nach wie vor leer. Ich seh schon, Chrome hat einfach keinen Bock hier zu laufen.^^ |
mach mal nen rechtsklick auf den ordner und guck mal auf die datei größe. eig kann er nicht leer sein :-) |
Hm, sorry, da muss ich dich enttäuschen: 0 Byte. Der Ordner ist leer. Scheint ungewöhnlich zu sein. :) |
jo ist es. firefox funktioniert aber? dann machen wirs halt mit dem ff |
Hey, sorry, hatte ein paar Tage Vollstress. Also FF. Von mir aus gerne! |
hi, aus meiner anleitung für den ff noch noscript und adblock instalieren. unter firefox extras einstellungen gucken das er der standard browser ist sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen. dort klicke auf sandbox einstellungen. beschrenkungen, bei programm start und internet zugriff schreibe: firefox.exe plugin-container.exe die freigaben unter anwendung webbrowser firefox, wie beim chrome machen. dann sandboxie kontrol, konfiguration, bearbeiten, evtl. nachfrage bestätigen. unter dem eintrag defauld box OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\prefs.js OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\bookmarks.html OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\sessionstore.js OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\adblockplus\patterns.ini eintragen, schließen, bestätigen. rest wie gehabt. klicke dann sandboxed web browser, firefox müsste starten, mit nem ramen. |
Done, gelber Rahmen ist da. |
das klingt doch gut, dann sollten wirs haben. |
Supi, was lange währt, wird endlich gut. Vielen Dank für deine Hilfe! |
kein problem. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:03 Uhr. |
Copyright ©2000-2025, Trojaner-Board