XP Internet security 2010 & Trojaner-BNK.WIN.32.Keylogger.gen
 

Hallo,

habe seit heute folgendes Problem:

während des Surfens durch Netz hat sich plötzlich ein Fenster (XP Internet security 2010) geöffnet mit dem Hinweis der Trojaner "Trojaner-BNK.WIN.32.Keylogger.gen" wäre im System. Habe nix angeklickt, da ich malware defense geschgädigter war und trotzdem öffbet sich nun kontinuierlich ein Fenster mit Warnungen!

CCleaner ist durch, leider lässt sich malwarebytes nicht öffnen (war schon auf dem Rechner wg oben genanntem Trojaner, habe versucht die exe datei umzubenennen, aber kein Erfolg!)

Hier das HijachThis Log:

Vielen Dank für Eure Hilfe, OLT Protokoll folgt!

Hier OLT:

hier nun Antivir mit den agressiven Einstellungen:

und Avenger:

und RSIT:

Und das Info File von RSIT:

Hi,

wenn nicht bereits erfolgt, CF deinstallieren:
Start->Ausführen combofix /uninstall

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet!

Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß!

Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen.

Danach bitte MAM updaten und Komplettscann/alles bereinigen lassen...

Klicken ist für eine Infektion nicht notwendig, es reicht präparierte Seiten anzusurfen (dreive-by-download)...

chris

CF ist durch, unten das Log File. MAM läuft, werds dann posten!

Gibt es eine Möglichkeit sich gegen diese Drive By Downloads zu schützen? Kann ja nicht sein, dass ich mich immer wieder mit dem Mist infiziere, wäre auch bereit mir das etwas kosten zu lassen... Die Seiten, auf denen ich kurz vor der Infizierung war, waren sicher nicht die des Bundestags oder Google, aber auch keine üblen Warez Seiten, auf denen man so was erwartet!

Vielen Dank weiterhin für Deine Hilf, Chris!!

Hi,

Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

chris

Ps.: Prüfe mal das hier ;o):
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\av.exe
Muss leider weg... bin ab 16:30 uhr wieder da...

Hi,

für Antivirus 2010 folge diesem Link hier:
http://www.trojaner-board.de/82357-a...tml#post499986

chris

Hallo chris,

habe deine Anweisungen versucht umzusetzen ;) leider scant gmer meinen pc jetzt seit ca 20 Std! Kann na nicht normal sin, oder? Gibt's da ne moeglichkeit, den Scan abzubrechen, oder zerrockts mir dann mit großer Wahrscheinlichkeit mein system? Habe naemlich vergessen, mein Internet zu kappen und befuerchte, dass es daran liegt! Es scant zwar nach wie vor, aber ca 3 Dateien pro Minute :(

habe mir auch die anweisungen bezgl der av.exe angeschaut! Kann es tatsaechlich sein, dass man einfach nur ein addon im IE loeschen muss, damit av weg geht?

Vielen Dank!

Hi,

bist Du dem Link gefolgt und hast Du alles abgeargeitet?
Dann bitte ein neues OTL-Log...
Kann sein dass Du eine neu Variante hast...

chris

Was meinst du zu dem gmer scan? Kann ich den Scan abbrechen? Wenn noetig auch mit gewalt? Oder muss ich den noch n Tag laufen lassen?

Hi,

Scann abbrechen, versuche es im abgesicherten Modus (F8 beim Booten).
Zeigt GMER bereits Modifikationen an?
Es gibt Fälle, da kommt der Fakescanner mit dem TDSS-Rotkit "einher"...

chris

Servus!

Habe gestern Abend den scan im abgesicherten gestartet, der laeuft aber nach wie vor! Was waere denn eine normale Dauer für den Scan?

Habe auch noch jetzt zusaetzlich das Problem, dass ich nicht mehr ins Netz komme! Der pc stellt zwar eine Verbindung mit dem Router her, jedoch komm ich nicht ins netz! -> verbindungsprobleme... Koennte das am virus liegen?

Gruß

Hi,

da ist was faul, nur sehen tu ich noch nichts...
Stoppe GMER und mache das hier:

TDSS-Killer
Download und Anweisung unter: http://www.trojaner-board.de/82358-tdsskiller-google-umleitungen-tdss-tdl3-alureon-rootkit-entfernen.html#post640150
Entpacke alle Dateien!

Start.bat erstellen:
Start->alle Programme->Zubehör->Editor und kopiere folgenden Text rein:

• Speichern als: start.bat

• abspeichern unter : Dateityp: alle Dateien

• speichere die Datei im Ordner wo auch TDSSKiller.exe steht

• Doppelklick start.bat

TDSSKiller.exe wird gestartet und ein Log erzeugen(report.txt).
Wenn TDSSKiller fertig ist poste den Inhalt der report.txt.

chris

servus,

hier das LOG:

Hi,

das Log ist sauber, kein TDSS...


Bitte folgende Files prüfen (die "***" durch den richtigen Pfad ersetzen!):

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Ersetzte bitte unten im Script die "***" durch den richtigen Pfad!:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://saved.im/mzi3ndg3nta0/aven.jpg

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

b]Open-command für exe zurücksetzen[/b]
Speichere den nachfolgenden Text über den Editor (Start->Ausführen notepad)
auf dem Desktop unter dem Namen SetExe.reg (wichtig : nicht unter der Erweiterung "TXT").
Dann mit Doppelklick auf die Datei ausführen, Abfrage abnicken!
Danach bitte noch mal MAM probieren!

chris

Sers Chris,

habe das problem, dass solange ich nur eingeschränkte konnektivitaet mit dem Internet habe, ich keinen online Scan durchführen kann... Hast du ne Idee, wieso ich da nach gmer Probleme hab? Andere Rechner kommen problemlos ins netz ueber meinen meinen Router!

Habe av.exe manuell in die antivir Quarantäne verschoben, hat aber nix geändert! Soll ich's wieder rausholen falls die online scans fuer mich wieder moeglich sind?

Gruß j.

Hi,

kann eigentlich nicht sein, GMER installiert nur einen Treiber und entfernt nichts von selbst...

Wie ist der Stand, hast Du das Avengerscript durchgeführt und das Script mit den Reg.-Einträgen? Lässt sich MAM aufrufen?
Nach dem Reg.-Script bitte neu booten!

chris

ahhhh, Hilfe Chris...

habe das Log mit Avenger nach Deinen Vorgaben erstellt, und das script hat wohl erfolgreich die av.exe gekillt.

Habe jetzt aber das problem, dass ich keine exe datei mehr öffnen kann... bei allen dateien fragt er nach dem Programm, mit dem ich es öffnen will...

hier das log:
vielen dank, ich hoffe du kannst mir schnell helfen...

ps: Malwarebytes lässt sich natürlich ebenfalls nicht starten -> .exe

Puhhh, entwarnung, habbe die exe dateien mit hilfe von http://forum.chip.de/windows-xp/xp-keine-exe-dateien-mehr-oeffnen-673490.html wieder hinbekommen, waren wohl ein paar reg eintragungen, die von dem virus/trojaner verändert wurden.

meinst du, das selbe problem könnte auch für meine Internet connection zutreffen? wenn ja, hast du ne idee, wie man da was finden kann?

malwarebytes läuft, allerding mit der version von vorgestern, weil ich doch kein internet hab! werd mir die aktuelle mal unter http://www.malwarebytes.org/mbam/database/mbam-rules.exe runterladen, allerdings weiß ich auch nicht, ob diese version neuer ist!!

Gruß J.

hier das mbam (version von vor 2 Tagen) Log:

Hi,

die Datei von Chip ist mehr oder weniger das gleiche was ich vorher gepostet hatte... Musstest Du die regedit.exe in regedit.com umbenennen damit es läuft?

Da er das Internet umbiegt wäre mir neu, erstelle bitte noch ein OTL-Log mal sehen ob ich was finden kann.

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop
* Doppelklick auf die OTL.exe
* Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
* Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
* Unter Extra Registry, wähle bitte Use SafeList
* Klicke nun auf Run Scan links oben
* Wenn der Scan beendet wurde werden 2 Logfiles erstellt
* Poste die Logfiles hier in den Thread.

chris

servus,

die änderungen der registry hat ein .reg datei durchgeführt, die dort steht. Hätte sonst wohl den weg mit .com gehen muessen, ist aber ja auch nix anderes...

konnte das otl extra log nicht finden, wo versteckt sich das denn?

hier das otl log:

Hi,

die Saubacke ist noch da...

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Anleitung Avenger (by swandog46)

1.) Ladet das Tool Avenger und speichere es auf dem Desktop:
(Alternativ umbennant von hier:http://www.file-upload.net/download-2170195/av_en_ger_le.exe.html)

http://saved.im/mzi3ndg3nta0/aven.jpg

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

3.) Schliesst alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach Ausführen des Avengers wird das System neu gestartet.

4.) Um Avenger zu starten klicke auf -> Execute
Dann bestätigt mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest ihr hier einen Report von Avenger -> C:\avenger.txt
Öffnet die Datei mit dem Editor und kopiert den gesamten Text in Euren Beitrag hier am Trojaner-Board.

Nun bitte sofort MAM starten, Fullscann und alles bereinigen lassen, Log posten:
Startet MAM immer noch nicht, in das Installationsverzeichnis von MAM wechseln und die EXE von MAM (mbam.exe)
auf z. B. test.exe umbenennen und durch Doppelklick starten. Nach Beendigung des Scanns (und MAM) nennt ihr sie
auf den ursprünglichen Namen (mbam.exe) zurück.

chris

sers

kann ja immer noch nicht online gehen... arbeite gerade von einem mac aus, daher 2 fragen:

1. kann ich die dateien einfach auf nen stick kopieren, und dann über den mac hochladen, also gehe ich richt in der annahme, dass ich den mac nicht infiziere?

2. infiziere ich dadurch "manuell" mmeinen stick? (autostart ist standardmässig unterdrückt, deshalb bilde ich mir ein, dass es noch trotz mehrfachen anschließens noch sauber ist)

dannach werd ich dann avenger durchlaufen lassen!

Gruß J.

Hier schon mal der Scan der av.exe, habs einfach so gemacht, wie oben angekündigt:

und die isdelete.exe:

Hi,

da ich keinen Startpunkt für die av.exe gefunden habe, versuchen wir mal den einfachen weg:
Lösche die Datei av.exe und leere dann den Papierkorb (auf keinen Fall Doppelklicken/Ausführen!). Geht das, dann läuft sie auch nicht, geht das nicht, dann gibt es einen versteckten Startpunkt...

Den Mac dürftest Du mit den Sachen nicht infizieren können (unix-derivat), den stick auch nicht. Nur vom PC aus halt unter Windows die Dateien nicht ausführen!

Prevx:
http://www.prevx.com/freescan.asp
Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters...

chris

hey,

bevor ich das gleich versuche, hier das avanger und das mbam log

Avenger:

glaub, jetzt ist sie weg - jedenfalls in den lokalen einstellungen nicht mehr!!

und mbam:

PS: bei meinem Internet tut sich immernoch nix... habe jetzt schon so einiges probiert! kann es sich wirklich nicht um einen Virus/trojaner handeln? habe hier auch jemanden gefunden, dem es scheinbar ähnlich geht -> http://www.trojaner-board.de/81877-t...end-hilfe.html

PPS: Prex findet mit der suchroutine, die jetzt ca 4 tage alt ist, nix!

Hi,

für ein Trojaner wäre das Verhalten das internet abzuklemmen sehr seltsam, da er darüber ja kommuniziert. Prüfe ob ein im Proxy im IE eingestellt ist und falls ja, ob es das richtige ist
http://www-stl.htw-saarland.de/stl/msie-proxy-einstellungen.html

chris

bin gerade nicht zu hause, aber ich geh eigendlich mit firefox ins internet! könnten trotzdem die ie proxy einstellungen schuld sein?

Hi,

kontrolliere bei beiden die Proxyeinstellungen...
und schau mal, ob du in der Systemsteuerung im Menü "Internetoptionen" -> Verbindungen -> Lan Einstellungen/Erweitert einen Proxyserver angegeben hast.
Wenn ja: entfernen (wenn Du Dir nicht sicher bist ob das der richtige Proxyserver ist)

Sonst probieren ob Du über Einstellungen->Netzwerkverbindungen Rechtsklick auf die Verbindung die nicht tut->Reparieren...kannst..



chris

Servus,

also Proxy hab ich nur den, den Du mir oben empfohlen hast. allerdings hat er keinen erfolg gebracht, daher werde ich ihn wohl wieder entfernen. vorher war kein proxy da.

Repariert hab ich die verbindung schon viele Male - ohen Erfolg.

Vielleicht noch weitere Idden? ich bin über jede sehr dankbar, da ich nicht weiter weiß! Kann irgendein Teil unserer Säuberungsaktion es irgendwie verursacht haben? also reg änderungen oder so?

Danke, J.

habe noch eine zusatzinfo: in der start leiste (in der leiste, die sich öffnet, denn man auf start klickt) war ein ie symbol (standardprogramm fürs Internet). dies hat der trojaner verursacht, im gleichen atemzug mit der installation der av.exe - das hab ich damals schon gesehen, vor her war da firefox.

als ich jetzt nach dem säubern ins netz gehen wollte, hab ich mal draufgeklickt, um den ie aufzurufen. allerdings sagte er, er könne die exe datei nicht finden. habe mal die rechte maustaste draufgemacht, es war tatsächlich der ie explorer. habe nun die einstellungen hin zu firefox verändert, und nach wie vor fragt er mich, mit welchem Programm ich firefox öffnen will... ist da noch was in der registry?

wenn ich firefox oder ie aus den programmen öffen, macht er dies tadellos.

gruß J.

Hi,

av.exe verbiegt wohl weit mehr RegKeys... was mich wundert, wieso mam sie nicht findet und gerade biegt... Spiele noch mal eine neue Version von MAM ein...

Den Text als regfix.reg speichern (Start->Ausführen notepad), nicht als Text. Dann Doppelklick und mit der Registry zusammenführen:
Kennst Du Dich mit Regedit aus? Diese Keys müssen gerade gebogen werden (bastle nacher ein script, will es aber erst in der VM ausprobieren):
Die fett dargestellten Teile müssen aus dem Regkey gelöscht werden, da versucht sich das Teil selbst zu starten (wenn versucht wird FF oder IE aufzurufen)...

Danach bitte noch mal ein OTL-Log erstellen...
Das mit dem Internet ist mir in Verbindung mit AV noch nicht untergekommen... Ev. die Browsererweiterung (hast Du das was gelöscht?).
Hängt der Rechner an einem Router, ggf. den mal rebooten...

chris

sers Chris,

leider kenn ich mich nicht so gut mit der reg aus, werde aber deine anweisungen für den 1. teil regfix befolgen.

reicht es, die version von mbam aus dem link zu kopieren (http://www.malwarebytes.org/mbam.php) oder muss ich die dann noch updatenm und wenn ja wie ....hab doch kein netz...

gruß J.

Hi,

dauert ein bisschen muß erst die VM anschmeissen...

Zieh es Dir einfach neu und installiern, das update der Signaturdatei findest Du unter:
http://www.malwarebytes.org/mbam/database/rules.ref
download und hier hin kopieren: c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware.

Dann fullscan und alles bereinigen lassen, log posten!
Okay, here we go:

Wie eben, text in notepad kopieren, unter regfix2.reg speichern, doppelklick und zusammenführe. danach sollten sich ie und ff wieder über startmenü ausführen lassen...
Dann konzentrieren wir uns nochmal auf das internet. wenn du die verbindung reparieren lässt, gibt es eine fehlermeldung, wenn ja welche?

chris

mbam läuft, regfix.reg ist schon drauf... was hat dies denn bewirkt?
da der mbam scan noch ca 2 std läuft, werde ich dir das ergebnis erst morgen posten... dann noch n schönen abend.

ps: der bericht nach dem Reparieren ist: "..folgende Aktion werden konnte: Erneuern der IP-Adresse"

Hi,

[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command]
@="C:\\Programme\\Mozilla Firefox\\firefox.exe"

Stellt den Startmenüeintrag wieder auf den Firefox um. Vorher wurde zuerst die av.exe gestartet und die hat dann den Firefox gestartet...

Dann hat sie sich weiter so in der Reg verewigt, dass bei dem Versuch eine exe zu starten erst wieder die Malware gestartet wird. Der erste Parameter ist dann das zu startende Programm, das dann anhand des Namen überpüft werden kann (ob die Malware dem Start zustimmt-> damit wird z.B. der Start von MAM verhindert)...

Hängt der Rechner an einem Router oder direkt am DSL?
Hast Du die Proxyeinstellung überprüft?

So, mach auch Schluß für heute...

chris

Vorweg: Vielen Dank für Deine Mühen, Chris!!

Habe mich jetzt aber doch für einen anderen Weg entschieden, da ich bei besten Willen mein Internet nicht hinbekommme! Werde auf einer 2. Festplatte erneut windows installieren, da ich ja dann die andere drin lassen kann, und auf die Daten zurücckgreifen kann... ist wohl der sauberere weg! ich hoffe, dass bei der Installation nix schief geht und ich einigermaßen schnell meine konfiguration hinbekomme!

Jetzt hab ich aber noch ein paar Fragen zum neuen System. Kann ich nach der Installtion der 2. Platte die andere, urpsüngliche Platte einfach anschließen, oder muss ich Angst haben, dass ich mir den Trojaner erneut ziehe? -das letzte Mbam log war ohne Befund!

Wenn ich meine Dateien rüberziehe, darf ich dann alles verwenden, oder muss ich de auf ein paar dateitypen verzichten?

Ich habe ja bislang an der "infizierten" Platte nix verändert, wenn also der Prozess Deiner Meinung nach noch nicht aabgeschlossen ist, kann ich jederzeit das Cleaning fortsetzen!

Soweit erstmal vielen Dank für Deine tatkräftige Unterstützung!

Gruß J.

Juhuuuu, habe es noch 1 mal probiert, und nach dem 101. Neustart des Rechners funktioniert plötzlich - ohne eine erkennbare Veränderung... manchmal glaubt man doch an den kleinen Mann im Computer!!

Also, Chris, was meinst du, soll ich noch weitere Tests durchführen, bevor der PC wierder einigermassen sicher ist? und hast du tips für mich, wie ich driveby viren vermeiden kann?

Gruß J.

Hi,

wenn keine Programme von der ev. noch verseuchten Platte gestartet werden, dann gibt es noch einen Punkt, mit dem man sich was einfangen kann:
autostart/-run.
Daher komplett abschalten! (gibt zwar noch was, aber das wird fast nicht ausgenutzt).
Dann die Platte kompellt scannen lassen (ich denke aber die Platte sollte sauber sein). Nunja, vielleicht hatte ja auch Dein Provider ein kleines temporäres Problem gehabt...
Ich habe ein bisschen rumgespielt, Threadfire hat ziemlich sofort den Angriff der av.exe unterbunden (es fragt nach und weisst auf die hochgefährliche Aktion hin, kann aber überstimmt werden (und das ist dann fatal)).
Gibt auch, ähnlich wie avira, eine freie edition:
http://www.threatfire.com/de/

chris
Autorun ausschalten:
Temporär:
Um beim Anschluss eine Neuinfektion zu verhindern, die Shift-Taste gedrückt halten, das verhindert den Autorun (autorun.inf).

*Wichtig: Immer vorher eine Sicherheitskopie der Systemdateien
anlegen, bevor man die Registry "betritt" oder gar verändert !!*

Es gibt beim Schlüssel
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\
Policies\Explorer zum einen den Namen: "NoDriveTypeAutoRun"
(Standard ist: "95 00 00 00"), welcher den AutoPlay-Mechanismus der
Laufwerke regelt.

"95 00 00 00" - Autoplay für Festplatten und CD-Rom
"00 00 00 00" - AutoPlay-Mechanismus für alle Laufwerke
"FF 00 00 00" - kein Autoplay für alle Laufwerke
"b1 00 00 00" - Autoplay für Festplatte und Diskette, nicht für
CD-Rom
"b5 00 00 00" - AutoPlay für Musik-CD's, nicht jedoch AutoPlay
von Daten-CD's.
"b9 00 00 00" - Autoplay nur für Diskette
(Allerdings "rattert" dann die Kiste auch öfter ;-)

Änderungen wirken sich hierbei erst nach einem Windows-Neustart
aus.

Autoplay/Autostart ausschalten:
So deaktivieren Sie die Autoplay-Funktion von allen Laufwerken über die Gruppenrichtlinien:
Start -> Ausführen -> gpedit.msc
Computer Konfiguration -> Administrative Vorlagen -> System-> Autoplay deaktivieren
"Autoplay deaktivieren für" -> Alle Laufwerke...

Servus Chris,

also nochmal ein dickes Dankeschön für Deine Hilfe! Habe jetzt den Rechner neu aufgesetzt, alle Updates drauf und auch schon threatfire installiert, in der Hoffnung, dass ich das nächste Mal mehr Glück habe!

Es ist in solchen Augenblicken, wenn der PC vor seinen Augen befallen wird, und man hilflos zusehen muss, ungemein beruhigend, wenn ein kompetenter Helfer Hilfestellungen gibt, mit dem Wust an Problemen fertig zu werden!

Vielen Dank
J.