|
Live Security Platinum auf eigener Webseite und Festplatte Hi! Keine Ahnung wer zuerst infiziert war, die Webseite oder meine Festplatte. Bekannte bekamen bei deren Aufruf Warnungen, ich nicht. Der Nutzung von IE auf XP und dem Internetzugang als Admin habe ichs wohl zu verdanken (werde ich ändern). Antivir hat sich diesmal nicht gerührt, hingegen: Am 08.07 wurde von Antivir der Winwebsec.A.21 gefunden (Logdatei im Anhang), welches wohl ähnlich wie LSP ist. Die Festplatte habe ich mit Malewarebytes bearbeitet, und nochmal mit Emsisoft, wie unter http://www.trojaner-board.de/116774-...entfernen.html empfohlen. Antivir wurde ebenfalls fündig. Log-Dateien ebenfalls anbei. Sehe ich das richtig, dass ich Antivir versehentlich 2x geöffnet habe (sh. Antivir1-...txt und Antivir2 -...txt), und 2 Suchläufe parallel liefen, bei denen jedesmal etwas anderes (im gleichen Dateienstrang) gefunden wurde? Komisch... Ich trau mich kaum als Admin ins Internet. Lasse morgen nochmal OTL durchlaufen. Morgen will ich die Webseite neu hochladen (per Gastkonto, mit Mozilla und neuem Passwort). Die Dateien auf der Festplatte sollten doch o.k. sein, nachdem sie nun mehrfach gescannt wurden, oder? Gelöscht habe ich meine infizierten Werke schon, damit sich nicht noch weitere anstecken, aber was ist mit den Ordnern, die vom Provider zugefügt wurden, also auf gleicher Ebene wie die httpdocs, liegen, mit der ich eigentlich nur zu tun habe? Angeschrieben habe ich ihn deswegen schon. Weitere Tips und Antworten würden mich erfreuen und danke für die Hilfe soweit Müde Grüße s. OTL hat zwar fertig gescannt, aber nichts gemeldet. Ich habe auch nichts bereinigen lassen - sollte ich? Soll ich die Logs trotzdem posten? |
hi otl logs posten hast du noch die infizierten files von deiner homepage? falls ja File-Upload.net - Ihr kostenloser File Hoster! dort hochladen, link als private nachicht an mich |
Hallo Markus, > FESTPLATTE: OTL scheint sich aufgelöst zu haben, auch die extra abgespeicherten Log-Dateien finde ich nicht mehr. Mache das nochmal (klicke nur "Scanne alle Benutzer" an). Vorher hatte ich nochmal Luke Skywalker gebeten, er fand 39 Warnungen, 2 Hinweise und 3 versteckte Objekte. Quickscan mit Malwarebytes war fehlerfrei. > SERVER / WEBSEITE: Die Webseitendateien habe ich schon gelöscht. (Ich gehe davon aus, dass auf dem Server die Infektion stattfand und du diese Dateien haben wolltest). Habe dann mein Passwort geändert, diverse Updates, IE deinstalliert ... . Der Server-Betreiber hat die seinerseits angelegten Dateien überprüft (httpsdocs, ... die meisten seien eh schreibgeschützt). Die Nacht habe ich die (nunmehr virengescannten) Dateien wieder hochgeladen. Nun bin ich aber gespannt auf deine Rückmeldung ... |
hi Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!Downloade dir bitte Combofix von einem dieser Downloadspiegel Link 1 Link 2 WICHTIG - Speichere Combofix auf deinem Desktop
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort. Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten Zitat:
|
Habe fertig. Keine Registrierungsschlüssel-Meldung nach Neustart. Konnte keinen Wiederherstellungspunkt setzen (spannend). Und - oooh- ich kann nun den "Benutzer wechseln", nicht mehr nur "abmelden" wie zuvor - fein fein! |
Ergänzung: Soeben gab es noch 6 Funde von Luke Skywalker: 3x EXP/CVE-2012-1723 und 3 Hinweise - s. Log. Die Aufforderung zum Scannen kam von Antivir, als ich Msconfig ausführen und diverse Autostart-Dienste abstellen wollte, da mein Rechner immer ewig zum Hochfahren braucht. Hatte den Diagnosesystemstart (nur die wichtigsten Dienste o.ä. ausgewählt). Ansonsten habe ich zwischenzeitlich ältere Java-Versionen deinstalliert, ebenso einiges aus dem Think-Vantage-Paket - falls das samit zu tun haben kann. Schönes Wochenende! |
bitte mache keine spielereien im system, msconfig kann man später bearbeiten download tdss killer: http://www.trojaner-board.de/82358-t...entfernen.html Klicke auf Change parameters • Setze die Haken bei Verify driver digital signatures und Detect TDLFS file system • Klick auf OK und anschließend auf Start scan - bei funden erst mal immer skip wählen, log posten |
Liste der Anhänge anzeigen (Anzahl: 1) O.k. lasse die Dienste erst so. Ich kann tdsskiller.exe nicht runterladen / öffnen - s. Foto anbei. |
Ergänzung: Hatte die Idee, das Programm anderswo/-wie zu beschaffen: Die log-datei mit vielen Funden anbei. |
poste deie fundmleung noch mal als klartext, bzw versuche den download erneut |
Moin Markus, habe den Download von deinem Link oben nochmals versucht - dasselbe Problem (s. Screenshot oben), also kann nicht runtergeladen werden. Habe den tdsskiller jetzt nochmal von dieser Seite geholt: hxxp://support.kaspersky.com/de/faq/?qid=207620123 ... ... ausgeführt und finde nichts, was du sonst meinen könntest (kopiere nochmals die Report-Datei in den Editor - s. Anhang). Ich weiß leider nicht, was du mit "Klartext" meinst. Oder soll ich den Inhalt als Code mit # einfügen? :confused: Danke soweit, lG S. |
Ich hatte die Sicherheitsstufe bei den Internetoptionen (Systemsteuerung) auf ganz hoch eingestellt (hab ich endlich rausgefunden). Konnte nun von eurer Seite den tdsskiller.exe-Download durchführen, aber mit dem gleichen Ergebnis, daher kein Anhang. |
danke, sieht doch schon mal gut aus. lade den CCleaner standard: CCleaner Download - CCleaner 3.20.1750 falls der CCleaner bereits instaliert, überspringen. instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen. hinter, jedes von dir benötigte programm, schreibe notwendig. hinter, jedes, von dir nicht benötigte, unnötig. hinter, dir unbekannte, unbekannt. liste posten. |
Schön, dass es soweit gut aussieht :) Habe deine Anweisungen ausgeführt - s. Anhang. |
hi bitte noch mal, notwendig etc steht mitten in der programm beschreibung |
Ich hoffe, so ist es nun zu deiner Zufriedenheit!? |
wunderbar deinstaliere: Adobe Flash Player alle Adobe - Adobe Flash Player installieren neueste version laden adobe reader: Adobe - Adobe Reader herunterladen - Alle Versionen haken bei mcafee security scan raus nehmen bitte auch mal den adobe reader wie folgt konfigurieren: adobe reader öffnen, bearbeiten, voreinstellungen. allgemein: nur zertifizierte zusatz module verwenden, anhaken. internet: hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc. es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht. bei javascript den haken bei java script verwenden raus nehmen bei updater, automatisch instalieren wählen. übernehmen /ok deinstaliere: Diskeeper Avira : entweder emsisoft, oder avira, nur eines mit aktievem wächter, wobei ich dir zur vollversion von emsisoft rate Google Updater Integrated Camera: wenn du keine webcam nutzt MP3 Player PC-Doctor Spybot : behalte lieber malwarebytes und scanne nach update öffne ccleaner, analysieren starten. öffne otl, cleanup, nach neustart testen wie der pc läuft |
Vielen Dank, lieber Markus, für deine Empfehlungen. Ich habe das soweit alles durch. Anschließend gab es noch diverse Systemfehlermeldungen, aber inzwischen läßt sich das Gerät normal runter und wieder hochfahren. Bei Gelegenheit werde ich noch deine weiteren Tipps zur Absicherung des Rechners beherzigen, die du hier zusammengestellt hast: http://www.trojaner-board.de/96344-a...-rechners.html Insbesondere die Dienste will ich mir mal vorknöpfen, da er immer noch recht lange zum hochfahren braucht. |
hi welche fehlermeldungen gabs denn? |
Hallo wiedermal, hab sporadisch ein paar Notizen gemacht, für den Fall dass du fragst. Die Meldungen lauteten in Etwa: "Die Anwendung ... konnte nicht richtig initialisiert werden" beim Runterfahren des eingeschränkten Benutzerkontos. Oder "Das System wurde runtergefahren. Der Fehler wurde evt. durch die Datei rdbss.sys o.ä. erzeugt." Mehrmals kam der blaue Bildschirm mit weißer Schrift. 2x Checkdisk (CHDSK?) o.ä. vor dem Systemstart (auch blau-weiß - sagt dir das was?) Dann kam nach dem Hochfahren: "Das System wird nach einem schwerwiegenden Fehler wieder ausgeführt". Vor deinen letzten Empfehlungen hatte ich beim "Neustart" (nicht beim Runter- und wieder rauffahren) meist nur einen dunklen Hintergrund - konnte dann nur ganz ausmachen und nochmal hochfahren. Das Problem scheint nach den letzten Änderungen behoben (Neustart funzt nun). Im Anhang noch ein paar Problemberichte in einer Datei, die ich am 18.07. bekam. P.S. Vielleicht war es z.T: auch meine Schuld, weil ich IE8 wieder deinstalliert habe. Filehippo ist der Ansicht, ich soll IE8, den Windows Mediaplayer und den Windows Live-Messenger updaten. Muss ich das tun? Secunia PSI lief in der Zeit auch nicht richtig. Habs inzw. nochmal installiert, aber da steht nur "Loading" im Begrüßungsfenster und es geht nicht weiter. |
natürlich musst du das tun. die meldungen kommen nicht von der sandbox. am besten wäre es, dass gerät zu formatieren und neu aufzusetzen der pc muss neu aufgesetzt und dann abgesichert werden 1. Datenrettung:
ich werde außerdem noch weitere punkte dazu posten. 4. alle Passwörter ändern! 5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen. 6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen. |
Sodele, diese Woche nehme ich mir die Zeit. Zu Pkt 1: Die Dateien habe ich in der Form gesichert, dass ich sie einfach auf eine alte ext. Festpl. kopiert habe. Kontrollieren würde ich sie dann, bevor ich sie nach dem Neuaufsetzen zurückspiele (scanne die ext. Platte gleich nochmal mit Avast). FRAGE 1: Wo verstecken sich die Hardware-Treiber - reicht es, wenn ich erstmal den Ordner "Drivers" kopiere /sichere? Oder bekomme ich hier das Wichtigste?: hxxp://support.lenovo.com/de_DE/downloads/default.page? Künftig würde ich dann Backups auf eine neue ext. FP machen, die ich schon besorgt habe. Ich hab noch eine Acronis-CD (True Image Home 10), die ich dazu gern nutzen würde. Zu Pkt 2: Ich habe ein Lenovo ThinkPad R61i (8932) Etwa Mitte der Woche bekomme ich eine Windows XP-CD von 2005 (mit Seriennummer), die ich nutzen kann. Von Lenovo habe ich ja keine bekommen :( Ich erwäge die Platte so zu partitionieren, dass ich 40 GB für XP(Ntfs), 15 GB für Ubuntu (ext4) und den Rest als gemeinsame Datenpartition anlege. (aktuell: C:/ 143 GB (Ntfs) und 5 GB Service-Partition (FAT32)) FRAGE 2: Gibt es Einwände gegen meine Erwägungen? FRAGE 3: Welches Dateisystem (FAT/Ntfs...) müsste ich der Daten-Partition zuweisen? FRAGE 4: Was fehlt sonst noch / muss ich beachten? |
Hallo Markus, Ich habe inzw. Ubuntu auf Desktop-CD kennengelernt und komme immer mehr zu dem Schluss, XP abzuschießen, zumal ich dort mit Kompozer offenbar auch meine Webseite bearbeiten kann. Bei ubuntuusers.de gibt es ja gute Hilfen zur Installation. Mir ist noch nicht ganz klar, ob ich die Recovery-Partition dann noch brauche (evt. wegen der Hardwaretreiber?) aber die 5GB kann ich ja einfach lassen und nur C: formatieren. Ansonsten - wenn es von deiner Seite dazu nix mehr gibt - schau ich immer gern wieder mal rein, was sicherheitstechnisch zu verbessern ist und bedanke mich soweit erstmal herzlich für deinen Support und das Überprüfen der Logdateien ... . Schöne Grüße S. P.S. Ob das so hinhaut, wie ich mir das vorstelle ist natürlich noch eine andere Frage (aufgeregt sei). |
hi die treiber nicht mit sichern, die kannst du ja von der oben genannten page sichern. bei windows immer ntfs als datei system wählen. die rec. partition kann dann auch weg und das system dann wie folgt absichern: als antimalware programm würde ich emsisoft empfehlen. diese haben für mich den besten schutz kostet aber etwas. http://www.trojaner-board.de/103809-...i-malware.html testversion: Meine Antivirus-Empfehlung: Emsisoft Anti-Malware insbesondere wenn du onlinebanking, einkäufe, sonstige zahlungsabwicklungen oder ähnlich wichtiges, wie zb berufliches machst, also sensible daten zu schützen sind, solltest du in sicherheitssoftware investieren. vor dem aktivieren der lizenz die 30 tage testzeitraum ausnutzen. kostenlos, aber eben nicht ganz so gut wäre avast zu empfehlen. http://www.trojaner-board.de/110895-...antivirus.html sag mir welches du nutzt, dann gebe ich konfigurationshinweise. bitte dein bisheriges av deinstalieren die folgende anleitung ist umfangreich, dass ist mir klar, sie sollte aber umgesetzt werden, da nur dann dein pc sicher ist. stelle so viele fragen wie nötig, ich arbeite gern alles mit dir durch! http://www.trojaner-board.de/96344-a...-rechners.html passage xp abarbeiten als browser rate ich dir zu chrome: Installation von Google Chrome für mehrere Nutzerkonten - Google Chrome-Hilfe anleitung lesen bitte falls du nen andern nutzen willst, sags mir dann muss ich teile der nun folgenden anleitung Sandboxie Die devinition einer Sandbox ist hier nachzulesen: Sandbox Kurz gesagt, man kann Programme fast 100 %ig isuliert vom System ausführen. Der Vorteil liegt klar auf der Hand, wenn über den Browser Schadcode eingeschläust wird, kann dieser nicht nach außen dringen. Download Link: Sandboxie Download - Sandboxie 3.72 anleitung: http://www.trojaner-board.de/71542-a...sandboxie.html ausführliche anleitung als pdf, auch abarbeiten: Sandbox Einstellungen | bitte folgende zusatz konfiguration machen: sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen. dort klicke auf sandbox einstellungen. beschrenkungen, bei programm start und internet zugriff schreibe: chrome.exe dann gehe auf anwendungen, webbrowser, chrome. dort aktiviere alles außer gesammten profil ordner freigeben. Wie du evtl. schon gesehen hast, kannst du einige Funktionen nicht nutzen. Dies ist nur in der Vollversion nötig, zu deren Kauf ich dir rate. Du kannst zb unter "Erzwungene Programmstarts" festlegen, dass alle Browser in der Sandbox starten. Ansonsten musst du immer auf "Sandboxed webbrowser" klicken bzw Rechtsklick, in Sandboxie starten. Eine lebenslange Lizenz kostet 30 €, und ist auf allen deinen PC's nutzbar. Weiter mit: Maßnahmen für ALLE Windows-Versionen alles komplett durcharbeiten anmerkung zu file hippo. in den settings zusätzlich auswählen: hide beta updates. Run updateChecker when Windows starts Backup Programm: in meiner Anleitung ist bereits ein Backup Programm verlinkt, als Alternative bietet sich auch das Windows eigene Backup Programm an: http://www.trojaner-board.de/82962-w...en-backup.html Dies ist aber leider nur für Windows 7 Nutzer vernünftig nutzbar. Alle Anderen sollten sich aber auf jeden fall auch ein Backup Programm instalieren, denn dies kann unter Umständen sehr wichtig sein, zum Beispiel, wenn die Festplatte einmal kaputt ist. Zum Schluss, die allgemeinen sicherheitstipps beachten, wenn es dich betrifft, den Tipp zum Onlinebanking beachten und alle Passwörter ändern bitte auch lesen, wie mache ich programme für alle sichtbar: Programme für alle Konten nutzbar machen - PCtipp.ch - Praxis & Hilfe surfe jetzt also nur noch im standard nutzer konto und dort in der sandbox. wenn du die kostenlose version nutzt, dann mit klick auf sandboxed web browser, wenn du die bezahlversion hast, kannst du erzwungene programm starts festlegen, dann wird sandboxie immer gestartet wenn du nen browser aufrufst. wenn du mit der maus über den browser fährst sollte der eingerahmt sein, dann bist du im sandboxed web browser passwort sicherheit: jeder dienst benötigt ein eigenes, mindestens 12-stelliges passwort bei der passwort verwaltung und erstellung hilft roboform Passwort Manager, Formular Ausfueller, Passwort Management | RoboForm Passwort Manager anleitung: RoboForm-Bedienungsanleitung: Passwort-Manager, Verwalten von Passwörtern und persönlichen Daten |
Von der Sicherheitsseite habe ich das meiste ja schonmal durchgehabt (Secunia, fikehippo, autorun deaktivieren, alternat. Browser, automat. Updates, eingeschränktes Nutzerkonto, kein StarMoney) - das schult, aber das meiste bezieht sich ja auf Windows - nicht dass es bei Linux keine Parallelen gäbe, aber ich will Ubuntu erstmal für meine Zwecke installiert kriegen. Ich denke, dass ich morgen Ubuntu von der Desktop-CD installiere und vorher oder währenddessen C: komplett formatiere - dann sind die doppelten av's eh weg und dann sollten auch alle Schädlinge erstmal vernichtet sein!? Für die weitere Prävention will ich mich dann hier durcharbeiten: hxxp://wiki.ubuntuusers.de/Sicherheit und hier hxxp://wiki.ubuntuusers.de/Programme_abschotten avast werde ich dort vorausstichtlich verwenden. GoogleChrome vielleicht ... bei diesem und Chromium ist die sandbox unter Ubuntu wohl immer aktiv. (URL: hxxp://wiki.ubuntuusers.de/Chromium siehe Tabelle ziemlich weit unten). Mit PartedMagic habe ich beim Backup machen nun auch Erfolg gehabt :) Sichere Passworterstellung geht klar. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:54 Uhr. |
Copyright ©2000-2025, Trojaner-Board