spyaxe!! bin infiziert!! |
||
---|---|---|
#0
| ||
19.12.2005, 15:31
Ehrenmitglied
Beiträge: 29434 |
||
|
||
19.12.2005, 17:36
...neu hier
Beiträge: 4 |
#62
nein ich hab mir den da nich eingefangen, aber diese meldung kommt wenn ich auf die ebay seite drauf geh.
so bei kaspersky kam folgendes heraus : Scan Settings: Scan using the following antivirus database: standard Scan Archives: true Scan Mail Bases: true Scan Target - My Computer: C:\ D:\ E:\ F:\ G:\ H:\ I:\ J:\ K:\ L:\ Scan Statistics: Total number of scanned objects: 101047 Number of viruses found: 6 Number of infected objects: 5 Number of suspicious objects: 2 Duration of the scan process: 5466 sec Infected Object Name - Virus Name C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\CoolWWWSearchAffWinshow.zip/uninstall.exe Suspicious: Password-protected-EXE C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\CoolWWWSearchAffWinshow.zip Suspicious: Password-protected-EXE C:\Programme\AVPersonal\INFECTED\HP644A.TMP.VIR Infected: Trojan-Downloader.Win32.Zlob.cz C:\System Volume Information\_restore{C7E87882-F72B-4CC6-B94B-0C5CDA4414CA}\RP577\A0279274.exe Infected: Trojan-Downloader.Win32.Zlob.cu C:\System Volume Information\_restore{C7E87882-F72B-4CC6-B94B-0C5CDA4414CA}\RP577\A0279275.exe Infected: Trojan-Downloader.Win32.Zlob.cw C:\System Volume Information\_restore{C7E87882-F72B-4CC6-B94B-0C5CDA4414CA}\RP577\A0279293.exe Infected: Trojan-Downloader.Win32.Zlob.cx C:\System Volume Information\_restore{C7E87882-F72B-4CC6-B94B-0C5CDA4414CA}\RP578\A0279475.dll Infected: not-virus:Hoax.Win32.Renos.ag Scan process completed. is das jez gut oder schlecht in bezug auf spyaxe ? und wie bekomm ich den mist weg? Dieser Beitrag wurde am 19.12.2005 um 18:33 Uhr von Zyste editiert.
|
|
|
||
20.12.2005, 02:42
Ehrenmitglied
Beiträge: 29434 |
#63
es reicht, dass du die Systemwiederherstellung deaktivierst (dann wieder aktivieren)
http://virus-protect.org/systemwiederherstellung.html die Meldung vom Spybot in Bezug auf ebay kannst du meiner meinung nach ignorieren. sanne noch mit panda und berichte http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
20.12.2005, 17:14
...neu hier
Beiträge: 4 |
#64
hi
also ich hab das mit der systemsteuerung gemacht und dann gescannt. dabei kam folgendes heraus : No viruses or other malicious software have been found!Scan finished 374577 Files scanned ...eingang\Willkommen[~0000000.~]Scan reportActiveScan only disinfects viruses. To disinfect all Thread, buy or try a recommended security product. ActiveScan gives you a deep second opinion analysis of the security level of your PC. Detected Disinfected Virus 0 0 Spyware 0 0 Hacking Tools 0 0 Dialers 0 0 Security Risks 0 0 Suspicious files 0 0 kann ich jez relativ sicher sein, dass ich sicher bin? hehe schönes wortspiel. sollte ich noch irgendeinen scan machen? und wegen der 5 svchost.exe dateien? is das "normal" mehrere davon zu haben? |
|
|
||
21.12.2005, 00:30
Ehrenmitglied
Beiträge: 29434 |
#65
Zyste
Zitat "Svchost.exe" ist ein allgemeiner Hostprozessname für Dienste, die mit Hilfe von DLL-Dateien ausgeführt werden. Dienste sind Funktionen, die z.B. automatische USB-Geräten erkennen oder die Druck-Funktionen ermöglichen. Dienste können gestartet oder gestoppt werden. Nicht alle Dienste benötigen Svchost.exe (nur solche, die per DLL-Dateien ausgeführt werden müssen). Das Betriebssystem startet Svchost-Sessions sobald es solche benötigt und beendet sie auch wieder, sobald einer nicht mehr gebraucht wird. Svchost.exe fasst mehrere Dienste zusammen, d.h. es können mehrere Instanzen von Svchost.exe gleichzeitig ausgeführt werden.Eingeschränktes Benutzerkonto/Administratorrechte unter Windows http://virus-protect.org/administrator.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.04.2006, 14:50
...neu hier
Beiträge: 5 |
#66
Bin jetzt soweit,dass ich im abgesicherten Modus bin. Im Post von Sabine gleich am Anfang des Threades stand dann - Doppelklick auf mcor.reg und bei Registry beifügen, aber wenn ich nun im abgesicherten Modus bin, dann ist ja der Desktop schwarz und so..., meine Frage nun wo finde ich denn diese Datei mcor.reg, was muss ich dazu machen um sie eben doppelt anzuklicken.
Bitte helft mir schnell. Danke MfG Dieser Beitrag wurde am 01.04.2006 um 14:54 Uhr von Zarelli editiert.
|
|
|
||
01.04.2006, 16:19
Ehrenmitglied
Beiträge: 29434 |
#67
Zarelli
das ist alles schon nicht mehr aktuell ... ich schaue es mir mal an stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html Hijackthis http://computercops.biz/zx/Merijn/hijackthis.zip http://virus-protect.org/hjtkurz.html Lade/entpacke HijackThis in einem Ordner --> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.04.2006, 16:42
...neu hier
Beiträge: 5 |
#68
Clean Up. Nachdem ich die Häkchen gemacht habe, kopiere ich jetzt mal was da stand:
CleanUp! started on 04/01/06 16:38:57. C:\Dokumente und Einstellungen\Arbitori\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat currently in use. Will be deleted when Windows is restarted. C:\Dokumente und Einstellungen\Arbitori\Lokale Einstellungen\Verlauf\History.IE5\index.dat currently in use. Will be deleted when Windows is restarted. 'Typed URLs' (Internet Explorer) - removed from the registry. C:\Dokumente und Einstellungen\Arbitori\Cookies\index.dat currently in use. Will be deleted when Windows is restarted. C:\DOKUME~1\Arbitori\LOKALE~1\Temp\Perflib_Perfdata_a5c.dat currently in use. Will be deleted when Windows is restarted. C:\DOKUME~1\Arbitori\LOKALE~1\Temp\Perflib_Perfdata_a5c.dat currently in use. Will be deleted when Windows is restarted. C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat currently in use. Will be deleted when Windows is restarted. C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat currently in use. Will be deleted when Windows is restarted. C:\Dokumente und Einstellungen\Arbitori\Cookies\index.dat currently in use. Will be deleted when Windows is restarted. C:\Dokumente und Einstellungen\Arbitori\Cookies\index.dat currently in use. Will be deleted when Windows is restarted. C:\WINDOWS\Prefetch\AUPDATE.EXE-089630E1.pf - deleted C:\WINDOWS\Prefetch\CLEANUP.EXE-21B56F2B.pf - deleted C:\WINDOWS\Prefetch\CLEANUP40.EXE-0679F69E.pf - deleted C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf - deleted C:\WINDOWS\Prefetch\DEFRAG.EXE-273F131E.pf - deleted C:\WINDOWS\Prefetch\DFRGNTFS.EXE-269967DF.pf - deleted C:\WINDOWS\Prefetch\DUMPREP.EXE-1B46F901.pf - deleted C:\WINDOWS\Prefetch\DWWIN.EXE-30875ADC.pf - deleted C:\WINDOWS\Prefetch\EXCEL.EXE-3281D776.pf - deleted C:\WINDOWS\Prefetch\ICQLITE.EXE-2AEFACA7.pf - deleted C:\WINDOWS\Prefetch\IEXPLORE.EXE-2CA9778D.pf - deleted C:\WINDOWS\Prefetch\IMAPI.EXE-0BF740A4.pf - deleted C:\WINDOWS\Prefetch\Layout.ini - deleted C:\WINDOWS\Prefetch\LOGONUI.EXE-0AF22957.pf - deleted C:\WINDOWS\Prefetch\LUCOMS~1.EXE-02DB5950.pf - deleted C:\WINDOWS\Prefetch\MIRANDA32.EXE-248B043D.pf - deleted C:\WINDOWS\Prefetch\MSIEXEC.EXE-2F8A8CAE.pf - deleted C:\WINDOWS\Prefetch\MSIMN.EXE-0B61806C.pf - deleted C:\WINDOWS\Prefetch\MSMSGS.EXE-32066BA5.pf - deleted C:\WINDOWS\Prefetch\MSWORKS.EXE-118DC2B4.pf - deleted C:\WINDOWS\Prefetch\NAVW32.EXE-20C61389.pf - deleted C:\WINDOWS\Prefetch\NDETECT.EXE-38C3701D.pf - deleted C:\WINDOWS\Prefetch\NTOSBOOT-B00DFAAD.pf - deleted C:\WINDOWS\Prefetch\NVCTRL.EXE-06D3483B.pf - deleted C:\WINDOWS\Prefetch\OPERA.EXE-24550E7A.pf - deleted C:\WINDOWS\Prefetch\OPSCAN.EXE-287893AE.pf - deleted C:\WINDOWS\Prefetch\OSA.EXE-0082CBE3.pf - deleted C:\WINDOWS\Prefetch\PROFIDIALER.EXE-3936B724.pf - deleted C:\WINDOWS\Prefetch\RUNDLL32.EXE-451FC2C0.pf - deleted C:\WINDOWS\Prefetch\SSTEXT3D.SCR-17B3B9DD.pf - deleted C:\WINDOWS\Prefetch\TASKMGR.EXE-20256C55.pf - deleted C:\WINDOWS\Prefetch\WINRAR.EXE-3588DFE8.pf - deleted C:\WINDOWS\Prefetch\WINWORD.EXE-259486DA.pf - deleted C:\WINDOWS\Prefetch\WKUFIND.EXE-18C07230.pf - deleted C:\WINDOWS\Prefetch\WMIPRVSE.EXE-28F301A9.pf - deleted C:\WINDOWS\Prefetch\WMPLAYER.EXE-09969333.pf - deleted C:\WINDOWS\Prefetch\WUAUCLT.EXE-399A8E72.pf - deleted 'Run MRU' list - removed from the registry. Paint Recent File List - removed from the registry. WordPad Recent File List - removed from the registry. Telnet's MRU list - removed from the registry. CleanUp! 4.0 recovered 2.6 MB of disk space from 37 files. CleanUp! finished on 04/01/06 16:38:57. Und dann die 4 Textdateien: Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 706A-702F Verzeichnis von C:\WINDOWS\system32 01.04.2006 14:46 4.968 ncompat.tlb 01.04.2006 14:46 6.656 interf.tlb 01.04.2006 14:46 36.864 hpA185.tmp 01.04.2006 14:46 4.286 ot.ico 01.04.2006 14:46 17.444 nvctrl.exe 01.04.2006 14:46 4.286 ts.ico 01.04.2006 14:43 29.709 ld8695.tmp 01.04.2006 14:43 4.938 kspydoc.log 01.04.2006 14:43 0 Sweeper.cfg 31.03.2006 21:19 528 vsconfig.xml 31.03.2006 21:14 4.212 zllictbl.dat 31.03.2006 14:49 176.128 stickrep.dll 31.03.2006 14:46 15.529 dfrgsrv.exe 26.03.2006 10:32 375.406 perfh009.dat 26.03.2006 10:32 51.204 perfc009.dat 26.03.2006 10:32 385.728 perfh007.dat 26.03.2006 10:32 61.968 perfc007.dat 26.03.2006 10:32 884.200 PerfStringBackup.INI 10.03.2006 02:10 4.799.320 MRT.exe 14.02.2006 15:13 1.158 wpa.dbl 08.01.2006 18:08 285.312 FNTCACHE.DAT 04.01.2006 05:35 68.096 webclnt.dll 29.12.2005 04:54 280.064 gdi32.dll 08.12.2005 17:21 2.368 STEC3.sys 06.12.2005 07:02 5.533.696 wmp.dll 03.12.2005 17:52 6.291 EPPICResdb0000 03.12.2005 17:52 117 EPPICResdb 01.12.2005 05:31 1.492.480 shdocvw.dll aso Hijack oder wie da sheißt habe ich noch vergessen, hänge ich gleich an, moment Danke auf für die Mühe. MfG EDIT: HIJACK HABE ICH NONE OF THE ABOVE;... GEKLICKT: DANACH STABND ABER NIRGENDS WAS VON SAVE ODER SO... Dieser Beitrag wurde am 01.04.2006 um 16:46 Uhr von Zarelli editiert.
|
|
|
||
01.04.2006, 18:42
Ehrenmitglied
Beiträge: 29434 |
#69
Zarelli
arbeite das Punkt fuer Punkt ab (nichts auslassen! ) http://virus-protect.org/artikel/spyware/spywarequake.html Punkt 4 (killbox) ...diese Dateien sind zu loeschen: C:\WINDOWS\system32\ncompat.tlb C:\WINDOWS\system32\interf.tlb C:\WINDOWS\system32\hpA185.tmp C:\WINDOWS\system32\ot.ico C:\WINDOWS\system32\nvctrl.exe C:\WINDOWS\system32\ts.ico C:\WINDOWS\system32\ld8695.tmp C:\WINDOWS\system32\kspydoc.log C:\WINDOWS\system32\Sweeper.cfg C:\WINDOWS\system32\stickrep.dll C:\WINDOWS\system32\dfrgsrv.exe dann berichte........... __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.04.2006, 20:59
...neu hier
Beiträge: 5 |
#70
Bin jetzt bis zum 6.Punkt angelangt.
Wenn ich dann in den abgesicherten Modus gehe (egal ob als Administrator oder meinen usernamen) ist die Datei fixme.reg abe rnicht mehr auf dem Desktop! Und das obowhl sie im "normalen" Modus da ist. ABER: Ich bin jetzt eben im normalen Modus und jetzt habe ich keine Einschränkungen. Es ist kein Fenster wo was auf Englishc steht,dass ich n Virus habe und wenn ich ins Internet gehe kommt auf kein Warning , wie sonst immer, und meine Startseite ist wieder meien Startseite, nicht so wie sonst in den letzten 2 Tagen wo immer sone Security Seite sich automatisch festgelegt hat. Trotzdem wäre es ganz günstig wenn ich das zu Ende bringe, amn weiß ja nie, vielleicht kommt e sja wieder beim nächsten jestart, also wo könnte das Problem, liegen, dass die fixme.reg Datei nicht auf dem Desktop ist, sodass ich sie zur Registierung angeben kann, wie im normalem Modus? - Danke bisher schonmal für die gute Unterstützung, denn im Moment bin ich ja Virenfrei, oder besser gesagt mein PC - |
|
|
||
01.04.2006, 23:10
Ehrenmitglied
Beiträge: 29434 |
#71
dann klicke sie im Normalmodus und starte danach den PC neu
(oder suchen ...mit der Suchfunktion von Windows....) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.04.2006, 12:38
...neu hier
Beiträge: 5 |
#72
Ok habe so gut wie alle Schritte gemacht und habe auch KEINEN VIRUS mehr. Keine Einschränkung bis auf folgendes:
Ich kann keine Office programme von Microsoft mehr benutzen. Also Excel,Word... Outlook Express(E-Mail) geht. Wenn ich Excel oder so benutzen will kommt Norton Anti Virus unterstützt das Programm nicht. Ich soll Norton deinstallieren. - was soll ich machen? Norton deinstallieren und gucken ob die Programme nicht gehen? Ist mir bissl riskant, wenn e snicht geht danach... aber egal, sagt mir Bitte wa sihr machen würdet. Großes Dankeschön, dass der Virus oder der Trojaner jetzt erstmal hauptsächlich weg ist. ;-) |
|
|
||
02.04.2006, 13:02
Ehrenmitglied
Beiträge: 29434 |
#73
ich habe schon oefter festgestellt, dass nach der Reinigung einige Programme nicht mehr funktionieren.
Ich empfehle dir, Excel und Office neu zu installieren. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.04.2006, 13:37
...neu hier
Beiträge: 5 |
#74
Und mit Norton Anti Virus gar nichts machen, ja?
weiteres ProbleM. Finde keine "Word-Cd" , aber die ist ja immer dabei, auch wenn das Prgramm von Anfang an auf dem PC ist, richtig? Wenn ja, heißt das , ich müsste bloß ordentlich suchen. mfg |
|
|
||
02.04.2006, 13:39
Ehrenmitglied
Beiträge: 29434 |
#75
Office, Excel und Word muessten eine Extra-CD sein.
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
ich kann mir nicht vorstellen, dass du den SpyAxe auf ebay eingefangen hast (waere ein starkes Stueck.... )
Sacnne dann noch mit kaspersky und berichte
http://virus-protect.org/onlinescan.html
__________
MfG Sabina
rund um die PC-Sicherheit