Firefox holt selbständig Proxy, selbstständige Neustarts

#1 1. Ich habe hier den PC eines Bekannten, der des öfteren schon Probleme mit Virenbefall hatte. Daher bin ich mir mehr als sicher, dass jetzt wieder das gleiche der Fall ist. Mein Bekannter berichtete von:

- Selbständigen Reboots des PC nach dem Starten, danach bliebe der PC aber an. Es kommt dabei jeweils ein 30-Sekunden Reboot-Countdown.

- Davon, dass bestimmte Websites nicht mehr geöffnet werde können oder aber ewig zum Öffnen brauchen.

- Von Abstürzen des Firefox

Ich habe daraufhin schon fesgestellt, dass sich der Firefox immer selbständig einen Proxy einträgt (Localhost, Port 445)und dass sich zb. die Addons immer selbst schließen, wenn man eines anklicken will. Außerdem waren diverse Toolbars installiert (Yahoo und eine zum PDFs erstellen) und in der Kaspersky Security Suite sind fast täglich Berichte über geblockte Banner, Phishingseiten, Trojaner, Malware, Viren und vieles mehr.

Er hat Windows XP SP3 und verwendet den Firefox (3.5x) war nur drauf und Kaspersky Internet Security 2009 (Updates aktuell).

Hier sind ein paar Meldungen von Kaspersky:

Zitat

Aktive Bedrohungen neutralisieren: abgeschlossen 14.06.2010 00:01:27 (Ereignis: 7, Objekte: 3121, Zeit: 00:00:21)
14.06.2010 00:01:06 Aufgabe wurde abgeschlossen
13.06.2010 23:58:41 Aufgabe wurde gestartet
14.06.2010 00:00:52 Gefunden: Backdoor.Win32.Papras.gd C:\WINDOWS\system32\fonttify.dll
14.06.2010 00:00:11 Gefunden: Backdoor.Win32.Papras.gd C:\WINDOWS\system32\fonttify.dll
13.06.2010 23:58:51 Gefunden: Backdoor.Win32.Papras.gd C:\WINDOWS\system32\fonttify.dll
14.06.2010 00:00:11 Nicht desinfizierte Objekte: Backdoor.Win32.Papras.gd C:\WINDOWS\system32\fonttify.dll Zurückgestellt
13.06.2010 23:58:51 Nicht desinfizierte Objekte: Backdoor.Win32.Papras.gd C:\WINDOWS\system32\fonttify.dll Zurückgestellt
Aktive Bedrohungen neutralisieren: abgeschlossen 14.06.2010 00:01:27 (Ereignis: 7, Objekte: 3121, Zeit: 00:00:21)
14.06.2010 00:01:27 Aufgabe wurde abgeschlossen
14.06.2010 00:01:06 Aufgabe wurde gestartet
14.06.2010 00:01:09 Desinfiziert: Backdoor.Win32.Papras.gd HKLM\system\ControlSet003\control\Session Manager\AppCertDlls\autontsd
14.06.2010 00:01:09 Desinfiziert: Backdoor.Win32.Papras.gd HKLM\system\ControlSet001\control\Session Manager\AppCertDlls\autontsd
14.06.2010 00:01:14 Gefunden: Backdoor.Win32.Papras.gd C:\WINDOWS\system32\fonttify.dll
14.06.2010 00:01:07 Gefunden: Backdoor.Win32.Papras.gd C:\WINDOWS\system32\fonttify.dll
14.06.2010 00:01:08 Wird beim Neustart gelöscht: Backdoor.Win32.Papras.gd C:\WINDOWS\system32\fonttify.dll
Aktive Bedrohungen neutralisieren: abgeschlossen 14.06.2010 00:01:27 (Ereignis: 7, Objekte: 3121, Zeit: 00:00:21)
14.06.2010 00:05:42 Aufgabe wurde abgeschlossen
14.06.2010 00:04:03 Aufgabe wurde gestartet
Aktive Bedrohungen neutralisieren: abgeschlossen 14.06.2010 00:01:27 (Ereignis: 7, Objekte: 3121, Zeit: 00:00:21)
14.06.2010 00:06:09 Aufgabe wurde abgeschlossen
14.06.2010 00:05:52 Aufgabe wurde gestartet
Aktive Bedrohungen neutralisieren: abgeschlossen 14.06.2010 00:01:27 (Ereignis: 7, Objekte: 3121, Zeit: 00:00:21)
19.06.2010 23:48:08 Aufgabe wurde gestartet
20.06.2010 00:02:21 Die Aufgabe wurde beendet
19.06.2010 23:53:21 Gefunden: Backdoor.Win32.Papras.gd c:\System Volume Information\_restore{66234F2B-C93E-4D94-8BDB-1899CBBA9319}\RP514\A0076007.dll
19.06.2010 23:53:27 Gefunden: Packed.Win32.Katusha.n c:\System Volume Information\_restore{66234F2B-C93E-4D94-8BDB-1899CBBA9319}\RP515\A0076142.exe
19.06.2010 23:53:26 Gefunden: Packed.Win32.Katusha.n c:\System Volume Information\_restore{66234F2B-C93E-4D94-8BDB-1899CBBA9319}\RP515\A0076075.dll
19.06.2010 23:50:02 Gefunden: Packed.Win32.Katusha.n c:\windows\system32\userinit.exe
19.06.2010 23:51:56 Gefunden: Trojan.Win32.Sasfis.ammc c:\System Volume Information\_restore{66234F2B-C93E-4D94-8BDB-1899CBBA9319}\RP505\A0073447.exe
19.06.2010 23:53:25 Nicht desinfizierte Objekte: Backdoor.Win32.Papras.gd c:\System Volume Information\_restore{66234F2B-C93E-4D94-8BDB-1899CBBA9319}\RP514\A0076007.dll Zurückgestellt
19.06.2010 23:53:31 Nicht desinfizierte Objekte: Packed.Win32.Katusha.n c:\System Volume Information\_restore{66234F2B-C93E-4D94-8BDB-1899CBBA9319}\RP515\A0076142.exe Zurückgestellt
19.06.2010 23:53:30 Nicht desinfizierte Objekte: Packed.Win32.Katusha.n c:\System Volume Information\_restore{66234F2B-C93E-4D94-8BDB-1899CBBA9319}\RP515\A0076075.dll Zurückgestellt
19.06.2010 23:50:03 Nicht desinfizierte Objekte: Packed.Win32.Katusha.n c:\windows\system32\userinit.exe Zurückgestellt
19.06.2010 23:51:56 Nicht desinfizierte Objekte: Trojan.Win32.Sasfis.ammc c:\System Volume Information\_restore{66234F2B-C93E-4D94-8BDB-1899CBBA9319}\RP505\A0073447.exe Zurückgestellt
Aktive Bedrohungen neutralisieren: abgeschlossen 14.06.2010 00:01:27 (Ereignis: 7, Objekte: 3121, Zeit: 00:00:21)
20.06.2010 00:01:18 Aufgabe wurde abgeschlossen
19.06.2010 23:56:54 Aufgabe wurde gestartet
19.06.2010 23:56:56 Desinfiziert: Packed.Win32.Katusha.n HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit
19.06.2010 23:56:55 Gefunden: Packed.Win32.Katusha.n c:\windows\system32\userinit.exe
19.06.2010 23:57:00 Gelöscht: Packed.Win32.Katusha.n c:\windows\system32\userinit.exe
Aktive Bedrohungen neutralisieren: abgeschlossen 14.06.2010 00:01:27 (Ereignis: 7, Objekte: 3121, Zeit: 00:00:21)
26.06.2010 11:42:17 Aufgabe wurde gestartet
26.06.2010 11:42:26 Die Aufgabe wurde beendet
26.06.2010 11:51:07 Aufgabe wurde gestartet
26.06.2010 12:28:41 Gefunden: Trojan-Dropper.Win32.Microjoin.ur C:\Dokumente und Einstellungen\Hans\Lokale Einstellungen\Temp\0.9204328899116758.exe
26.06.2010 12:28:43 Nicht desinfizierte Objekte: Trojan-Dropper.Win32.Microjoin.ur C:\Dokumente und Einstellungen\Hans\Lokale Einstellungen\Temp\0.9204328899116758.exe Zurückgestellt
26.06.2010 12:28:57 Gefunden: HEUR:Trojan.Win32.Generic C:\Dokumente und Einstellungen\Hans\Lokale Einstellungen\Temp\25.tmp.exe
26.06.2010 12:28:57 Nicht desinfizierte Objekte: HEUR:Trojan.Win32.Generic C:\Dokumente und Einstellungen\Hans\Lokale Einstellungen\Temp\25.tmp.exe Zurückgestellt
26.06.2010 12:28:57 Gefunden: Trojan.Win32.Agent.doey C:\Dokumente und Einstellungen\Hans\Lokale Einstellungen\Temp\30.tmp.exe
26.06.2010 12:28:58 Nicht desinfizierte Objekte: Trojan.Win32.Agent.doey C:\Dokumente und Einstellungen\Hans\Lokale Einstellungen\Temp\30.tmp.exe Zurückgestellt
26.06.2010 12:28:58 Gefunden: HEUR:Trojan.Win32.Generic C:\Dokumente und Einstellungen\Hans\Lokale Einstellungen\Temp\3B.tmp.exe
26.06.2010 12:28:58 Nicht desinfizierte Objekte: HEUR:Trojan.Win32.Generic C:\Dokumente und Einstellungen\Hans\Lokale Einstellungen\Temp\3B.tmp.exe Zurückgestellt
26.06.2010 12:29:35 Gefunden: Packed.Win32.Katusha.n C:\Dokumente und Einstellungen\Hans\Lokale Einstellungen\Temp\ie3C.tmp
26.06.2010 12:29:36 Gefunden: Packed.Win32.Katusha.n C:\Dokumente und Einstellungen\Hans\Lokale Einstellungen\Temp\ie3D.tmp
26.06.2010 12:29:36 Nicht desinfizierte Objekte: Packed.Win32.Katusha.n C:\Dokumente und Einstellungen\Hans\Lokale Einstellungen\Temp\ie3C.tmp Zurückgestellt
26.06.2010 12:29:36 Nicht desinfizierte Objekte: Packed.Win32.Katusha.n C:\Dokumente und Einstellungen\Hans\Lokale Einstellungen\Temp\ie3D.tmp Zurückgestellt
26.06.2010 12:29:52 Gefunden: Packed.Win32.Katusha.n C:\Dokumente und Einstellungen\Hans\Lokale Einstellungen\Temp\services.exe
26.06.2010 12:29:53 Nicht desinfizierte Objekte: Packed.Win32.Katusha.n C:\Dokumente und Einstellungen\Hans\Lokale Einstellungen\Temp\services.exe Zurückgestellt
26.06.2010 12:30:15 Gefunden: HEUR:Exploit.Script.Generic C:\Dokumente und Einstellungen\Hans\Lokale Einstellungen\Temp\plugtmp-135\plugin-css.php/data0000
26.06.2010 12:30:15 Nicht desinfizierte Objekte: HEUR:Exploit.Script.Generic C:\Dokumente und Einstellungen\Hans\Lokale Einstellungen\Temp\plugtmp-135\plugin-css.php/data0000 Zurückgestellt
26.06.2010 12:30:15 Verarbeitungsfehler: HEUR:Exploit.Script.Generic C:\Dokumente und Einstellungen\Hans\Lokale Einstellungen\Temp\plugtmp-135\plugin-css.php
26.06.2010 12:30:15 Gefunden: HEUR:Exploit.Script.Generic C:\Dokumente und Einstellungen\Hans\Lokale Einstellungen\Temp\plugtmp-288\plugin-/data0001
26.06.2010 12:30:16 Nicht desinfizierte Objekte: HEUR:Exploit.Script.Generic C:\Dokumente und Einstellungen\Hans\Lokale Einstellungen\Temp\plugtmp-288\plugin-/data0001 Zurückgestellt
26.06.2010 12:30:16 Verarbeitungsfehler: HEUR:Exploit.Script.Generic C:\Dokumente und Einstellungen\Hans\Lokale Einstellungen\Temp\plugtmp-288\plugin-
26.06.2010 12:30:18 Gefunden: HEUR:Exploit.Script.Generic C:\Dokumente und Einstellungen\Hans\Lokale Einstellungen\Temp\plugtmp-402\plugin-/data0000
26.06.2010 12:30:18 Nicht desinfizierte Objekte: HEUR:Exploit.Script.Generic C:\Dokumente und Einstellungen\Hans\Lokale Einstellungen\Temp\plugtmp-402\plugin-/data0000 Zurückgestellt
26.06.2010 12:30:18 Verarbeitungsfehler: HEUR:Exploit.Script.Generic C:\Dokumente und Einstellungen\Hans\Lokale Einstellungen\Temp\plugtmp-402\plugin-
26.06.2010 12:30:19 Gefunden: HEUR:Exploit.Script.Generic C:\Dokumente und Einstellungen\Hans\Lokale Einstellungen\Temp\plugtmp-562\plugin-/data0000
26.06.2010 12:30:19 Nicht desinfizierte Objekte: HEUR:Exploit.Script.Generic C:\Dokumente und Einstellungen\Hans\Lokale Einstellungen\Temp\plugtmp-562\plugin-/data0000 Zurückgestellt
26.06.2010 12:30:19 Verarbeitungsfehler: HEUR:Exploit.Script.Generic C:\Dokumente und Einstellungen\Hans\Lokale Einstellungen\Temp\plugtmp-562\plugin-
26.06.2010 12:30:20 Gefunden: HEUR:Exploit.Script.Generic C:\Dokumente und Einstellungen\Hans\Lokale Einstellungen\Temp\plugtmp-500\plugin-/data0000
26.06.2010 12:30:20 Nicht desinfizierte Objekte: HEUR:Exploit.Script.Generic C:\Dokumente und Einstellungen\Hans\Lokale Einstellungen\Temp\plugtmp-500\plugin-/data0000 Zurückgestellt
26.06.2010 12:30:20 Verarbeitungsfehler: HEUR:Exploit.Script.Generic C:\Dokumente und Einstellungen\Hans\Lokale Einstellungen\Temp\plugtmp-500\plugin-
26.06.2010 12:30:20 Gefunden: Exploit.JS.Pdfka.bxz C:\Dokumente und Einstellungen\Hans\Lokale Einstellungen\Temp\plugtmp-579\plugin-ubegatdirtywork.pdf/data0000
26.06.2010 12:30:20 Nicht desinfizierte Objekte: Exploit.JS.Pdfka.bxz C:\Dokumente und Einstellungen\Hans\Lokale Einstellungen\Temp\plugtmp-579\plugin-ubegatdirtywork.pdf/data0000 Zurückgestellt
26.06.2010 12:30:21 Verarbeitungsfehler: Exploit.JS.Pdfka.bxz C:\Dokumente und Einstellungen\Hans\Lokale Einstellungen\Temp\plugtmp-579\plugin-ubegatdirtywork.pdf
26.06.2010 12:30:24 Gefunden: HEUR:Exploit.Script.Generic C:\Dokumente und Einstellungen\Hans\Lokale Einstellungen\Temp\plugtmp-676\plugin-crazydino.pdf/data0000
26.06.2010 12:30:24 Gefunden: HEUR:Exploit.Script.Generic C:\Dokumente und Einstellungen\Hans\Lokale Einstellungen\Temp\plugtmp-685\plugin-/data0000
26.06.2010 12:30:24 Gefunden: HEUR:Exploit.Script.Generic C:\Dokumente und Einstellungen\Hans\Lokale Einstellungen\Temp\plugtmp-635\plugin-/data0000
26.06.2010 12:30:24 Nicht desinfizierte Objekte: HEUR:Exploit.Script.Generic C:\Dokumente und Einstellungen\Hans\Lokale Einstellungen\Temp\plugtmp-676\plugin-crazydino.pdf/data0000 Zurückgestellt
26.06.2010 12:30:24 Verarbeitungsfehler: HEUR:Exploit.Script.Generic C:\Dokumente und Einstellungen\Hans\Lokale Einstellungen\Temp\plugtmp-676\plugin-crazydino.pdf
26.06.2010 12:30:24 Nicht desinfizierte Objekte: HEUR:Exploit.Script.Generic C:\Dokumente und Einstellungen\Hans\Lokale Einstellungen\Temp\plugtmp-635\plugin-/data0000 Zurückgestellt
26.06.2010 12:30:24 Verarbeitungsfehler: HEUR:Exploit.Script.Generic C:\Dokumente und Einstellungen\Hans\Lokale Einstellungen\Temp\plugtmp-635\plugin-
26.06.2010 12:30:24 Nicht desinfizierte Objekte: HEUR:Exploit.Script.Generic C:\Dokumente und Einstellungen\Hans\Lokale Einstellungen\Temp\plugtmp-685\plugin-/data0000 Zurückgestellt
26.06.2010 12:30:24 Verarbeitungsfehler: HEUR:Exploit.Script.Generic C:\Dokumente und Einstellungen\Hans\Lokale Einstellungen\Temp\plugtmp-685\plugin-
26.06.2010 12:36:04 Kennwortgeschützt C:\DRIVERS\MCDBF\SOURCE1\OTHER.EXE/LzExe/BIOSLOCK.PIF
26.06.2010 12:36:04 Kennwortgeschützt C:\DRIVERS\MCDBF\SOURCE1\OTHER.EXE/LzExe/BIOSLOCK.EXE
26.06.2010 12:39:48 Gefunden: http://www.viruslist.com/de/advisories/39036 C:\Programme\IrfanView\i_view32.exe
26.06.2010 12:39:48 Gefunden: http://www.viruslist.com/de/advisories/37255 C:\Programme\Java\jre1.5.0_04\bin\java.exe
26.06.2010 12:40:10 Gefunden: http://www.viruslist.com/de/advisories/37255 C:\Programme\Java\jre1.6.0_01\bin\java.exe
26.06.2010 12:40:21 Gefunden: http://www.viruslist.com/de/advisories/37255 C:\Programme\Java\jre1.6.0_03\bin\java.exe
26.06.2010 12:40:33 Gefunden: http://www.viruslist.com/de/advisories/37255 C:\Programme\Java\jre1.6.0_05\bin\java.exe
26.06.2010 12:40:54 Gefunden: http://www.viruslist.com/de/advisories/37255 C:\Programme\Java\jre1.6.0_07\bin\java.exe

Momentan läuft ein Komplettscan mit Kaspersky, deswegen wirbelt er jetzt so viele Meldungen hoch. Ich melde mich wieder, wenn der Scan durch ist und fahre dann mit den anderen Punkten fort, die man abarbeiten soll, um neue Beiträge zu erstellen.

#2 Hier hilft eigentlich nur ne Neuinstallation!
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#3

Zitat

Gool postete
Hier hilft eigentlich nur ne Neuinstallation!

Das hab ich mir schon gedacht, aber bei dem Surfverhalten hilft die auch nicht lange. Eigentlich hilft nur Netwerkkabel abziehen und draußen lassen.

Meinst du man kann echt nichts mehr machen? Ich arbeite trotzdem mal die Liste ab.

#4 2. Temporäre Dateien mit der Datenträgerbereinigung beseitigt.

3. Scane grade mit Malwarebytes' Anti Malware.

Hier die Logdatei zunächst:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4243

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

26.06.2010 14:50:54
mbam-log-2010-06-26 (14-50-54).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 128102
Laufzeit: 11 Minute(n), 20 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{d032570a-5f63-4812-a094-87d007c23012} (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{d032570a-5f63-4812-a094-87d007c23012} (Trojan.FakeAlert) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\getdo (Trojan.Agent) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Hans\Anwendungsdaten\Adobe\Update\flacor.dat (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Hans\Lokale Einstellungen\Temp\e.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\msacm32.drv (Trojan.Agent) -> No action taken.
C:\WINDOWS\rasqervy.dll (Malware.Trace) -> No action taken.
C:\WINDOWS\sdfinacs.dll (Malware.Trace) -> No action taken.
C:\WINDOWS\wuasirvy.dll (Trojan.Banker) -> No action taken.

#5 Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 16:01:00, on 26.06.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17055)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\Apps\Powercinema\PCMService.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\MSTMON02.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\APPS\SMP\SmpSys.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\Programme\TeamViewer\Version5\TeamViewer_Service.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\Programme\TeamViewer\Version5\TeamViewer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Hans\Eigene Dateien\Downloads\HjT.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/redirect/?country=GE&range=AD&phase=6&key=SEARCH
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - (no file)
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32"
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [KONICA MINOLTA magicolor 2500W STD] C:\WINDOWS\system32\MSTMON02.EXE STARTUP
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\RunOnce: [Uninstall Adobe Download Manager] "C:\WINDOWS\system32\rundll32.exe" "C:\Programme\NOS\bin\getPlus_Helper.dll",Uninstall /IE2883E8F-472F-4fb0-9522-AC9BF37916A7 /Get1noarp
O4 - HKCU\..\Run: [SmpcSys] C:\APPS\SMP\SmpSys.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_0
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Verknüpfung mit vmware.lnk = C:\Programme\VMware\VMware Workstation\vmware.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} (Java Plug-in 1.6.0_05) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} (get_atlcom Class) - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CS2\Services\Tcpip\..\{20E53FDC-A760-4235-97A0-A48F32BED927}: NameServer = 192.168.2.1
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Kaspersky Internet Security (avp) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: TeamViewer 5 (TeamViewer5) - TeamViewer GmbH - C:\Programme\TeamViewer\Version5\TeamViewer_Service.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 9591 bytes

#6 Adobe Download Manager
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Reader 7.1.0 - Deutsch
CR90
dena - Energiepass für Gebäude 1.4.3
ElsterFormular
ElsterFormular 2008/2009
FORMA "Office-Version"
Hervorhebe-Funktion (Windows Live Toolbar)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix für Windows Internet Explorer 7 (KB947864)
Hotfix für Windows Media Player 11 (KB939683)
Hotfix für Windows XP (KB952287)
Hotfix für Windows XP (KB961118)
Hotfix für Windows XP (KB970653-v3)
Hotfix für Windows XP (KB976098-v2)
Hotfix für Windows XP (KB979306)
Hotfix für Windows XP (KB981793)
IPS
IrfanView (remove only)
J2SE Runtime Environment 5.0 Update 4
Java(TM) 6 Update 20
Java(TM) 6 Update 3
Java(TM) 6 Update 5
Java(TM) 6 Update 7
Java(TM) SE Runtime Environment 6 Update 1
Kaspersky Internet Security 2009
Kaspersky Internet Security 2009
KONICA MINOLTA magicolor 2500W
KVHB Baden-Württemberg
Macromedia Shockwave Player
Malwarebytes' Anti-Malware
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Security Update (KB979906)
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office PowerPoint Viewer 2007 (German)
Microsoft SQL Server 2005 Compact Edition [ENU]
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
Microsoft Visual J# .NET Redistributable Package 1.1
Minolta PageWorks/Pro 1100L
Mozilla Firefox (3.6.4)
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MSXML 4.0 SP2 (KB973688)
PDFCreator
Realtek AC'97 Audio
Security Update for CAPICOM (KB931906)
Security Update for CAPICOM (KB931906)
Sicherheitsupdate für Step by Step Interactive Training (KB898458)
Sicherheitsupdate für Step by Step Interactive Training (KB923723)
Sicherheitsupdate für Windows Internet Explorer 7 (KB928090)
Sicherheitsupdate für Windows Internet Explorer 7 (KB929969)
Sicherheitsupdate für Windows Internet Explorer 7 (KB931768)
Sicherheitsupdate für Windows Internet Explorer 7 (KB933566)
Sicherheitsupdate für Windows Internet Explorer 7 (KB937143)
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)
Sicherheitsupdate für Windows Internet Explorer 7 (KB939653)
Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)
Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)
Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)
Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)
Sicherheitsupdate für Windows Internet Explorer 7 (KB969897)
Sicherheitsupdate für Windows Internet Explorer 7 (KB972260)
Sicherheitsupdate für Windows Internet Explorer 7 (KB974455)
Sicherheitsupdate für Windows Internet Explorer 7 (KB976325)
Sicherheitsupdate für Windows Internet Explorer 7 (KB978207)
Sicherheitsupdate für Windows Internet Explorer 7 (KB982381)
Sicherheitsupdate für Windows Media Encoder (KB954156)
Sicherheitsupdate für Windows Media Encoder (KB979332)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player (KB954155)
Sicherheitsupdate für Windows Media Player (KB968816)
Sicherheitsupdate für Windows Media Player (KB973540)
Sicherheitsupdate für Windows Media Player (KB978695)
Sicherheitsupdate für Windows Media Player 10 (KB917734)
Sicherheitsupdate für Windows Media Player 11 (KB936782)
Sicherheitsupdate für Windows Media Player 11 (KB954154)
Sicherheitsupdate für Windows XP (KB923561)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952004)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953155)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956572)
Sicherheitsupdate für Windows XP (KB956744)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB956844)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB958869)
Sicherheitsupdate für Windows XP (KB959426)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960715)
Sicherheitsupdate für Windows XP (KB960803)
Sicherheitsupdate für Windows XP (KB960859)
Sicherheitsupdate für Windows XP (KB961371)
Sicherheitsupdate für Windows XP (KB961373)
Sicherheitsupdate für Windows XP (KB961501)
Sicherheitsupdate für Windows XP (KB968537)
Sicherheitsupdate für Windows XP (KB969059)
Sicherheitsupdate für Windows XP (KB969898)
Sicherheitsupdate für Windows XP (KB969947)
Sicherheitsupdate für Windows XP (KB970238)
Sicherheitsupdate für Windows XP (KB970430)
Sicherheitsupdate für Windows XP (KB970483)
Sicherheitsupdate für Windows XP (KB971468)
Sicherheitsupdate für Windows XP (KB971486)
Sicherheitsupdate für Windows XP (KB971557)
Sicherheitsupdate für Windows XP (KB971633)
Sicherheitsupdate für Windows XP (KB971657)
Sicherheitsupdate für Windows XP (KB971961)
Sicherheitsupdate für Windows XP (KB972270)
Sicherheitsupdate für Windows XP (KB973346)
Sicherheitsupdate für Windows XP (KB973354)
Sicherheitsupdate für Windows XP (KB973507)
Sicherheitsupdate für Windows XP (KB973525)
Sicherheitsupdate für Windows XP (KB973869)
Sicherheitsupdate für Windows XP (KB973904)
Sicherheitsupdate für Windows XP (KB974112)
Sicherheitsupdate für Windows XP (KB974318)
Sicherheitsupdate für Windows XP (KB974392)
Sicherheitsupdate für Windows XP (KB974571)
Sicherheitsupdate für Windows XP (KB975025)
Sicherheitsupdate für Windows XP (KB975254)
Sicherheitsupdate für Windows XP (KB975467)
Sicherheitsupdate für Windows XP (KB975560)
Sicherheitsupdate für Windows XP (KB975561)
Sicherheitsupdate für Windows XP (KB975562)
Sicherheitsupdate für Windows XP (KB975713)
Sicherheitsupdate für Windows XP (KB977165)
Sicherheitsupdate für Windows XP (KB977816)
Sicherheitsupdate für Windows XP (KB977914)
Sicherheitsupdate für Windows XP (KB978037)
Sicherheitsupdate für Windows XP (KB978251)
Sicherheitsupdate für Windows XP (KB978262)
Sicherheitsupdate für Windows XP (KB978338)
Sicherheitsupdate für Windows XP (KB978542)
Sicherheitsupdate für Windows XP (KB978601)
Sicherheitsupdate für Windows XP (KB978706)
Sicherheitsupdate für Windows XP (KB979309)
Sicherheitsupdate für Windows XP (KB979482)
Sicherheitsupdate für Windows XP (KB979559)
Sicherheitsupdate für Windows XP (KB979683)
Sicherheitsupdate für Windows XP (KB980195)
Sicherheitsupdate für Windows XP (KB980218)
Sicherheitsupdate für Windows XP (KB980232)
Sicherheitsupdate für Windows XP (KB981349)
Smart Menus (Windows Live Toolbar)
Sonic MyDVD
Sonic RecordNow!
TeamViewer 5
T-Online WLAN-Access Finder
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)
Update für Windows Internet Explorer 7 (KB976749)
Update für Windows Internet Explorer 7 (KB980182)
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB951978)
Update für Windows XP (KB955759)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
Update für Windows XP (KB968389)
Update für Windows XP (KB971737)
Update für Windows XP (KB973687)
Update für Windows XP (KB973815)
VIA/S3G Display Driver
Virtual Earth 3D (Betaversion)
WEKA Energiepass nach EnEV 2004 - 11/06
Wichtiges Update für Windows Media Player 11 (KB959772)
Windows Imaging Component
Windows Live Anmelde-Assistent
Windows Live Favorites für Windows Live Toolbar
Windows Live Fotogalerie
Windows Live installer
Windows Live Mail
Windows Live Messenger
Windows Live Toolbar
Windows Live Toolbar
Windows Live Toolbar-Erweiterung (Windows Live Toolbar)
Windows Live Writer
Windows Media Encoder 9-Reihe
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
Windows Messenger 5.1
Windows XP Service Pack 3
WordPerfect Office 12

#7 Das Problem sind die Backdoors. Sicherlich ist es auch möglich, den PC wieder "komplett" zu säubern, allerdings sind da spezielle Kenntnisse vom System Voraussetzung, die man nicht wirklich über ein Forum vermitteln kann, da das meiste davon reine Erfahrungswerte sind. Sprich: jemand, der sich wirklich gut mit sowas auskennt, müsste den PC vor sich stehen haben. Auch ich habe schon mal für einen PC ca. 8 Stunden aufwenden müssen, um ihn reinigen zu können. So lang das bezahlt wird, ist das auch kein Thema

Aber mit dem Wissen, welches man über's Internet vermitteln kann, bekommt man mit Sicherheit nicht alles weg.

Problematisch ist natürlich auch das Surfverhalten. Kaspersky ist ein guter Virenscanner, aber es nützt der beste Virenscanner nichts, wenn das größte Sicherheitsrisiko vor dem Bildschirm sitzt. Wahrscheinlich ist Dein Bekannter auch noch immer mit einem Admin-Account unterwegs und hält nichts davon, seine Programme auf dem aktuellen Stand zu halten (Firefox ist aktuell in Version 3.6.4, vom IE gibt es Version 8). Die kritischsten Einfallstore sind aktuell wohl Flash und Adobe Reader. Es nützt also nichts nur, die Browser selbst aktuell zu halten, sondern man muss sich zwingend auch um die Plugins kümmern.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#8

Zitat

Gool postete
Das Problem sind die Backdoors. Sicherlich ist es auch möglich, den PC wieder "komplett" zu säubern, allerdings sind da spezielle Kenntnisse vom System Voraussetzung, die man nicht wirklich über ein Forum vermitteln kann, da das meiste davon reine Erfahrungswerte sind. Sprich: jemand, der sich wirklich gut mit sowas auskennt, müsste den PC vor sich stehen haben. Auch ich habe schon mal für einen PC ca. 8 Stunden aufwenden müssen, um ihn reinigen zu können. So lang das bezahlt wird, ist das auch kein Thema

Aber mit dem Wissen, welches man über's Internet vermitteln kann, bekommt man mit Sicherheit nicht alles weg.

Problematisch ist natürlich auch das Surfverhalten. Kaspersky ist ein guter Virenscanner, aber es nützt der beste Virenscanner nichts, wenn das größte Sicherheitsrisiko vor dem Bildschirm sitzt. Wahrscheinlich ist Dein Bekannter auch noch immer mit einem Admin-Account unterwegs und hält nichts davon, seine Programme auf dem aktuellen Stand zu halten (Firefox ist aktuell in Version 3.6.4, vom IE gibt es Version 8). Die kritischsten Einfallstore sind aktuell wohl Flash und Adobe Reader. Es nützt also nichts nur, die Browser selbst aktuell zu halten, sondern man muss sich zwingend auch um die Plugins kümmern.

Ja, so gut kenn ich mich leider auch nicht aus und er hatte den PC nur gestern mit, da war jetzt nicht so viel Zeit. Die Symptome sind erstmal behoben, aber richtig sauber ist der PC wahrscheinlich nicht. IE8 hab ich ihm installiert.

Wie ist das eigentlich mit dem Adobe Reader, schaden die Sicherheitslücken auch, wenn das Programm gar nicht benutzt wird? Also wenn man keine infizierten Dateien damit öffnet oder so?

Lokaler Admin ist er auf jeden Fall, da es sonst ja oft zu Problemen bei Programminstallationen etc. kommt. Ich glaube bei Windows 7 ist das besser gelöst oder?

#9 Ja, bei Windows 7 ist es deutlich besser gelöst, aber das stellt ja derzeit keine Option dar, oder?

Selbst wenn der Adobe Reader nicht aktiv genutzt wird, ist es möglich, sich über "drive-by" eine Infektion einzuholen. Dabei nutzen bösartige Scripts Schwachstellen im Adobe-Reader-Plugin aus. Du musst nur eine Webseite mit bösartigem Code besuchen und im Hintergrund, ohne dass Du es mitbekommst, wird der PC infiziert. Deshalb ist es ratsam, den Adobe Reader auf aktuellem Stand zu halten, das Scripting und das Ausführen von Dateien im Adobe Reader zu deaktivieren oder den Adobe Reader zu deinstallieren und stattdessen einen alternativen PDF-Reader zu installieren (bspw. Foxit - aber auch bei alternativen Programmen kann es kritische Schwachstellen geben).

Was spricht denn dagegen, dass Dein Bekannter nur als Benutzer oder Hauptbenutzer aktiv ist? Einen Admin-Account für Installationen etc. kann er ja immer noch haben. Ganz praktisch beim ganzen: er muss ja auch nicht den aktiven Benutzer wechseln, sondern kann mit Rechtsklick und dann "Ausführen als" die Installationen und ggf. Programme als Administrator starten. (Auch das ist in Window Vista und 7 komfortabler gelöst.)

Aber wie Du schon vermutest: richtig sauber ist das System höchstwahrscheinlich nicht. Wie gesagt, er hatte Backdoors und die öffnen, wie der Name schon sagt, Hintertüren, um eine weitere oder erneute Infektion zu ermöglichen.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#10 Nein, Windows ist keine Option, der PC ist dazu zu schwach und sein Besitzer ist auch nicht so innovationsfreudig. Wollte mich nur noch mal vergewissern, weil ich Windows 7 habe. Da muss ich des öfteren mal klicken, wenn administrative Rechte verlangt werden.

Ok, der Adobe Reader hatte ich mir jetzt auch nicht angeschaut, ich sag ihm, dass er ihn updaten soll. Irgendein Tool gab es glaub ich auch, um die Sicherheit der installierten Software zu testen, ich meine es war von CT? Muss ich nochmals suchen.

Ich könnte es probieren, ihn zum Benutzer zu degradieren und ihm das mit "ausführen als" zu sagen, das ist wohl ein guter Tipp. Mein Cousin hatte noch "Sandiebox" oder so ähnlich vorgeschlagen.

Secunia Personal Software Inspector (PSI) meinte ich!