Beiträge von _Petra_

    Hallo Scab,


    Absicherung des Rechners


    In jedem Fall ist es ratsam alle Passwörter regelmäßig zu ändern, auf jeden Fall nach einer Infektion. Einen 100%-igen Schutz gibt es nicht, aber wenn einige grundsätzliche Regeln beachtet werden, hält sich die Gefahr einer erneuten Infektion in Grenzen.


    Beim Thema Sicherheit gilt generell: Unabhängig davon, welches Betriebssystem eingesetzt wird, ist ein umfassendes Sicherheitskonzept wichtig. Das fängt bei der Wahl des Systems und der Programme an, geht über eine vernünftige Konfiguration und zeitnahes Einspielen von Updates bis hin zu regelmäßigen Daten- und/oder Systemsicherungen.


    • Betriebssystem und Software immer auf dem aktuellsten Stand halten.
      Beim Betriebsystem Windows die automatischen Updates aktivieren.
      Besonders anfällige Programme sind Browser, Java, Adobe Flashplayer und Adobe Reader, sollten immer topaktuell gehalten werden.
      In alten Programm-Versionen werden Sicherheitslücken ausgenutzt, um beim Besuch einer manipulierten Website per "Drive-by" Malware zu installieren.



    • Java am besten ganz deinstallieren => Leben ohne Java.
      Alternativ Java deaktivieren - Anleitungen für: Firefox - Chrome - Safari - Opera.



    • Browser: Ich empfehle den Mozilla Firefox mit den Addons NoScript und uBlock Origin einzusetzen.
      NoScript verhindert das Ausführen von aktiven Inhalten (Java, JavaScript, Flash usw.) für sämtliche Websites. Du entscheidest, wo es erlaubt wird (kleine Anleitung).
      uBlock Origin kann Banner, Popups, Videowerbung, Tracking und Malware-Seiten blockieren.
      Internet Explorer sicher konfigurieren, siehe auch hier.



    • Nur Original-Software nutzen und auf Programme aus dubiosen Quellen konsequent verzichten.



    • Programme "benutzerdefiniert" installieren und Toolbars und Sponsoren abwählen.



    • Programme, die Du nicht mehr nutzt, über Systemsteuerung => Programme und Funktionen entfernen/deinstallieren.



    • Nicht alles anklicken, wo klickmich draufsteht!



    • Gesunden Menschenverstand und Vorsicht walten lassen,
      insbesondere bei Dateien, die Du Dir auf den PC holst, also E-Mails, Downloads etc.,
      am besten auf Filesharing über P2P-Programme ganz verzichten.
      Warum ist Filesharing gefährlich?



    • Router durch Vergabe eines Kennwortes vor Änderungen von außen schützen.
      Heise Port-Check.




    • WLAN absichern.



    • Nicht benötigte Dienste und Programme gar nicht erst starten.
      Bezüglich der Dienste ist es allerdings nötig, sich damit ausführlich zu beschäftigen, ansonsten die Dienste lieber lassen, wie sie sind.



    • Sichere Passwörter vergeben und nicht auf dem Computer speichern.



    • Nicht mehr als einen Virenscanner mit Hintergrundwächter installieren.



    • Nicht mehr als ein Antispyware-Programm mit Hintergrundwächter ständig laufen lassen.



    • Datensicherung nicht vergessen!
      Wichtige Dokumente und Dateien (z. B. Fotos) auf externen Medien sichern.
      Immer eine saubere Datensicherung als zurückspielbares Image (z. B. mit Acronis True Image erstellen) auf Lager haben.



    • Poste im Internet nur Angaben und Fotos, die problemlos am nächsten Tag in der Zeitung stehen dürften,
      das gilt auch für sog. geschützte Räume in Online-Netzwerken.




    Lesenswerte Blogeinträge zum Thema Absicherung


    Malware entfernt? Was nun?
    Wie mache ich mein Windows sicher?
    Wie kann ich mein System in Zukunft von Malware frei halten?
    Vorsicht bei Streaming-Diensten: Malware-Zwischenfälle auf movie2k.to und kinox.to!
    Wie kann ich prüfen, ob meine Software aktuell ist?
    Datensicherung
    Browser- und Plugincheck
    DNS manipuliert?
    Phishing und Malwareseiten melden
    uBlock Origin

    Hallo Scrab,


    prima, dann kommen wir zu den noch nötigen Abschlussarbeiten :-)



    ===== Punkt 1 =====


    DelFix von Xplode


    • Lade DelFix herunter und speichere es auf dem Desktop.
      Das Programm stammt vom Autor Xplode und ist für alle Windows-Versionen geeignet.
      DelFix entfernt die meisten zur Bereinigung verwendeten Programme, die Quarantäne der Scanner, den Java-Cache und löscht sich abschließend selbst.



    • Starte DelFix mit Rechtsklick auf das Icon und wähle "Als Administrator ausführen" (bei XP mit Doppelklick starten).
    • Mache Haken bei folgenden Elementen:


      Aktivierung der Benutzerkontensteuerung
      Entfernung der Bereinigungsprogramme
      Löschung der Wiederherstellungspunkte
      Wiederherstellung der Systemeinstellung


    [Blockierte Grafik: https://www.bildbox-online.de/petra/delfix.jpg]


    • Klicke auf Start.
    • DelFix wird die angehakten Aufgaben erledigen.
      Bei "Entfernung der Bereinigungsprogramme" wird Delfix diverse Bereinigungsprogramme und sich selbst löschen.
    • Nach dem Lauf von DelFix erscheint ein Log. Poste dieses hier in den Thread.




    ===== Punkt 2 =====


    Datenträgerbereinigung


    Öffne den Windows-Explorer mit der Tastenkombination Windowstaste + E.
    Mache einen Rechtsklick auf die Partition, die Du bereinigen möchtest und wähle Eigenschaften, fange mit C:\ an.
    Es erscheint das Fenster mit den Eigenschaften dieser Partition.
    Gehe zum Reiter "Allgemein" und klicke auf den Button "Bereinigen".
    Es erscheint das Fenster "Bereinigung des Datenträgers" bzw. "Datenträgerbereinigung".
    Beim ersten Scanvorgang auf überflüssige Objekte wird noch nicht im WinSxS-Ordner von Windows gesucht.
    Klicke anschließend auf die Schaltfläche "Systemdateien bereinigen", um den gründlicheren Suchvorgang zu starten.
    (Die Funktion "Systemdateien bereinigen" gibt es bei WindowsXP und Vista nicht).
    Die Liste mit Ergebnissen enthält dann u. a. den Punkt "Windows Update-Bereinigung".


    Setze den Haken und klicken Sie auf "OK".
    Bestätige die Abfrage, dass die Dateien unwiderruflich gelöscht werden durch Klick auf "Dateien löschen".
    Es werden vorhandene temporäre Datei und Update-Überreste gefahrlos entfernt.
    Gib mir bitte durch, wieviel MB bereinigt wurden.





    ===== Punkt 3 =====


    Eset Online Scan


    Da wir nur einen kleinen Teil des Systems sehen und analysieren können, überprüfe Dein komplettes System mit dem ESET Online Scanner. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten. Je nachdem, wie viele Daten auf den zu scannenden Medien liegen, kann dieser Scan unter Umständen einige Stunden in Anspruch nehmen.


    Browser starten.


    Nach hier gehen => http://www.eset.com/de/home/products/online-scanner/
    Wer NoScript im Einsatz hat, bitte eset.com erlauben.


    Auf den Button Jetzt prüfen drücken.


    Die ESETOnlineScanner_DEU.exe herunterladen, speichern und die Installation durch Doppelklick auf diese Datei starten.
    Die Lizenzbedingungen akzeptieren.


    Haken machen bei => Erkennung evtl. unerwünschter Anwendungen aktivieren


    Auf Erweiterte Einstellungen klicken und diese Einstellungen machen:


    [Blockierte Grafik: https://www.bildbox-online.de/petra/eset5.jpg]


    Auf Aktuelle Prüfziele ändern klicken und alle Laufwerke anhaken.


    Auf den Button Scannen klicken.
    Nun werden zunächst die aktuellen Signaturen heruntergeladen.
    Die Prüfung beginnt anschließend automatisch.


    Warten, bis der Scan durchgelaufen ist. Wenn Funde gemacht wurden, auf Liste der gefundenen Bedrohungen klicken und dann "Als Textdatei exportieren" und auf dem Desktop als eset.txt speichern.


    Eine bebilderte Anleitung ist hier zu finden: https://wiki.botfrei.de/ESET_Online_Scanner

    Während dem Durchlauf ist mir aufgefallen, dass: "Registry, Dienste, Treiber, Prozesse, Internet und Addition.txt" automatisch angehakt waren. Klingt für mich bei "Registry" wie ein Widerspruch.


    Nein, wenn ein Haken gesetzt ist, werden nur Einträge außerhalb einer sog. Whitelist gelistet, ohne Haken hingegen alle Einträge. Bei Registry und Internet will ich alle Einträge sehen.

    Hallo Scrab,


    ok, dann bitte jetzt noch einen Fix mit angeschlossenem USB-Stick bitte:


    ===== Punkt 1 =====


    Fix mit Farbar Recovery Scan Tool


    Lade die angehängte fixlist.txt herunter und speichere die Datei im selben Pfad, in welchem sich die FRST(64).exe befindet.


    Code
    Start
    CreateRestorePoint:
    CloseProcesses:
    Reg: reg delete "HKEY_USERS\S-1-5-21-554908056-2073975688-2205800248-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run" /v "SysinfY2X" /f
    CMD: dir /s d:\
    EmptyTemp:
    End


    • Starte nun erneut die FRST.exe bzw. die FRST64.exe per Rechtsklick und wähle "Als Administrator ausführen", klicke dieses Mal auf den Entfernen-Button.
    • Wenn der Fix durchgelaufen ist, meldet FRST "Fix completed".


    Das Tool erstellt eine Datei Fixlog.txt im gleichen Pfad. Lade bitte Fixlog.txt hier im Forum hoch.


    Hinweis für Mitleser: Das Skript ist individuell für diesen Computer angepasst und darf nicht auf anderen Systemen angewendet werden.

    Hallo Scrab,


    ok, jetzt bitte dann folgendes tun:



    ===== Punkt 1 =====


    Suche in Registry mit Farbar Recovery Scan Tool im Normal-Modus


    Lade Farbar Recovery Scan Tool herunter und speichere das Programm auf dem Desktop.
    User mit 64-Bit-Systemen laden bitte diese x64-Version herunter.


    • Starte die FRST.exe respketive die FRST64.exe per Doppelklick -
      Vista- und Win7-Benutzer starten per Rechtsklick als Administrator.
    • Trage in der Textzeile Suche ein:


      SysinfY2X

    • Akzeptiere den Disclaimer mit Yes und klicke den Button Registry-Suche


    [*]Beachte, das die Durchsuchung der Registry in manchen Fällen mehr als 10 Minuten dauern kann.


    Das Tool erstellt einen Berichte namens Search.txt im gleichen Pfad, in welchem sich die FRST.exe befindet.
    Füge den Bericht als Anhang ein, indem Du unterhalb des Textfeldes auf Erweitert klickst und die Logdatei über Anhänge verwalten hochlädst.


    Hinweis: FRST wird aktuell häufig aktualisiert, neue Versionen werden automatisch heruntergeladen. Ältere Versionen werden in den Ordner FRST-OlderVersion verschoben.




    ===== Punkt 2 =====


    Suchlauf mit Farbar Recovery Scan Tool im Normal-Modus


    Lade die passende Version von Farbar Recovery Scan Tool herunter FRST.exe (32-Bit) ::: FRST64.exe (64-Bit).
    Speichere das Tool auf Deinem Desktop (nicht woanders hin).
    Wenn Du unsicher bist, ob Dein Windows unter 32-Bit oder 64-Bit läuft, kontrolliere das hier:
    Start => Rechtsklick auf Computer => Eigenschaften => Systemtyp

    • Starte die FRST.exe respektive die FRST64.exe per Doppelklick -
      Vista- und Win7-Benutzer starten per Rechtsklick und wählen Als Administrator ausführen.
    • Mache Haken bei:
    • Registry
    • Internet
    • Shortcut.txt
    • Addition.txt
    • Akzeptiere die Bedingungen mit "Ja" und klicke Untersuchen


    Das Tool erstellt drei Berichte namens FRST.txt, Shortcut.txt sowie Addition.txt im gleichen Pfad, in welchem sich die FRST.exe befindet. Lade die Berichte bitte hier im Forum als Anhang wie folgt hoch: => im Textfeld unten Dateianhänge anklicken => auf Hochladen klicken => Datei auswählen => die Datei wird automatisch hochgeladen.
    Hinweis:FRST wird aktuell häufig aktualisiert - neue Versionen werden automatisch heruntergeladen.Ältere Versionen werden in den Ordner FRST-OlderVersion verschoben.

    Scrab, falls Du den letzten FRST-Fix noch nicht durchgeführt hast, lasse es sein und lasse stattdessen das folgende Skript laufen, denn Autoruns hat mich noch mit neuen Erkenntnissen versorgt. Bitte den Fix mit FRST mit angeschlossenem USB-Stick laufen lassen. Falls der erste Fix schon gelaufen ist, lade mir den Fixlog.txt davon hier hoch und lasse den folgenden zweiten Fix bitte auch noch laufen.

    Hallo Scrab,


    AHT hat mir noch einen Hinweis gegeben. Bitte lasse den folgenden Fix mit FRST laufen. Im Unterschied zum ersten Fix werden hier erstmal alle Prozesse beendet. Mal sehen, ob es hilft:


    Fix mit Farbar Recovery Scan Tool


    Lade die angehängte fixlist.txt herunter und speichere die Datei im selben Pfad, in welchem sich die FRST(64).exe befindet.







    • Starte nun erneut die FRST.exe bzw. die FRST64.exe per Rechtsklick und wähle "Als Administrator ausführen", klicke dieses Mal auf den Entfernen-Button.
    • Wenn der Fix durchgelaufen ist, meldet FRST "Fix completed".


    Das Tool erstellt eine Datei Fixlog.txt im gleichen Pfad. Lade bitte Fixlog.txt hier im Forum hoch.


    Hinweis für Mitleser: Das Skript ist individuell für diesen Computer angepasst und darf nicht auf anderen Systemen angewendet werden.

    Moin Günther,


    ja, zunächst ist die Version in English, aber im Menü über "Tools" > "Language" kann man sich die deutsche Sprachdatei herunterladen. Und ja, dazu muss man das Tool als Administrator starten. Hatte ich auch erst gar nicht gesehen, aber durch Eisbärs Hinweis bin ich drauf gestoßen und habe es dann "eingedeutscht :-)

    Aber Vorsicht: Die stationäre Version hat Adware! Besser ist, man nimmt die portable Version, die sauber zu sein scheint!


    Ich habe die portable genommen und die Warnung stammt von CHIP!


    hm, warte ich lade mir die Portable Version auch noch herunter und lasse sie bei Virustotal testen.


    https://www.virustotal.com/en/…7d68/analysis/1498141684/


    Der eine Fund bezieht sich auf die Art der Kompression, ist keine Adware.

    Ich habe eben die stationäre Version auf meinem zweiten Rechner installiert. Bei mir war von Adware weit und breit nichts zu sehen.


    Günther wo hast du das Programm runtergeladen?


    Ich habe das Programm jetzt auch mal eingedeutscht, kann man über die Einstellungen machen, trotzdem ist mir keine Adware begegnet.

    Ich benutze dafür dieses kleine Tool: https://www.lopesoft.com/index.php/en/filemenutools


    Installieren, einmal neu starten und dann über Configure FileMenu Tools auswählen, welche Punkte man braucht, siehe Screenshot 1.


    Im Explorer sieht es bei Rechtsklick auf einen Ordner oder Datei dann wie auf Screenshot 2 aus.



    [Blockierte Grafik: https://www.bildbox-online.de/petra/filemenu.jpg]


    [Blockierte Grafik: https://www.bildbox-online.de/petra/filemenu2.jpg]

    Hallo Scab,



    Zitat von Scab

    Ich habe eine FritzBox und einen Repeater im Einsatz.

    Hast Du in der FritzBox ein NAS-Laufwerk (fritz.nas) eingerichtet?



    4.: Es ist eine gecrackte Version die ich schon seit ca. 1 1/2 Jahrenverwende. Dementsprechend glaube ich nicht, dass es etwas mit dem Virus zu tunhat.

    Möglich ist das trotzdem, es gibt Malware, die erst zu einem bestimmten Zeitpunkt oder durch eine bestimmte Aktion aktiv wird. Wie dem auch sei. Gecrackte Software ist grundsätzlich abzulehnen und sollte in jedem Fall deinstalliert werden. Von OriginPro gibt es relativ preiswerte Studentenversionen.




    Zwei Viren Hat Avira in seiner gesamten Laufzeit in Quarantäne gesetzt. Unter Meldung steht bei beiden: TR/Dropper.Gen

    Es wäre toll, wenn Du die dazu passenden Berichte finden könntest, damit ich sehen kann, welche Dateien infiziert waren.




    Ich habe im Moment nicht wirklich eine Idee, wo sich der Wurm vergraben hat. Ganz offensichtlich ist er noch da. Mache deshalb bitte noch folgendes:


    ===== Punkt 1 =====


    Autostart mit Autoruns überprüfen


    Lade Autoruns herunter und entpacke das Archiv.


    Autoruns macht all jene Programme/Prozesse sichtbar, welche entweder während des Systemstarts automatisch mitgeladen und gestartet werden oder im Zuge des Einloggens in ein System ausgeführt werden. Autoruns ist damit praktisch das Schweizer Messer für den Startvorgang, Details siehe Anleitung.


    Wenn möglich sollte der Computer mit dem Internet verbunden ist, wodurch eine Onlinesuche nach fraglichen Prozessen ermöglicht wird.


    Starte Autoruns über Rechtsklick und wähle "Als Administrator ausführen".


    Im Menü unter Options => Scan Options anhaken:

    Verify code signatures
    Check VirusTotal.com
    Submit Unknown Images


    [Blockierte Grafik: https://www.bildbox-online.de/petra/autoruns_scan_options.jpg]


    Drücke F5 oder den Button Rescan für einen neuen Scan.
    Klicke den Reiter Logon an.
    Wähle im Menü File => Save und speichere die Liste als AutoRun.arn ab.


    [Blockierte Grafik: https://www.bildbox-online.de/petra/autoruns3.jpg]


    Erstelle ein Zip-Archiv aus der Datei und lade es als Datei-Anhang hoch.

    Ja Günther, das stimmt. Ist schon unser dritter Jack Russel, da wissen wir schon genau, was auf uns zukommt. Allerdings waren die beiden ersten ganz unterschiedlich, der erste eher temperamentvoll, der zweite auch, aber insgesamt viel ruhiger :)


    Wie dem auch sei, die ersten Wochen sind immer etwas anstrengend, aber die ist soooo süß, das kriegen wir hin :)