spyaxe!! bin infiziert!!

#0
19.12.2005, 15:31
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#61 Zyste

ich kann mir nicht vorstellen, dass du den SpyAxe auf ebay eingefangen hast (waere ein starkes Stueck.... lol )

Sacnne dann noch mit kaspersky und berichte
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.12.2005, 17:36
...neu hier

Beiträge: 4
#62 nein ich hab mir den da nich eingefangen, aber diese meldung kommt wenn ich auf die ebay seite drauf geh.

so bei kaspersky kam folgendes heraus :

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
K:\
L:\

Scan Statistics:
Total number of scanned objects: 101047
Number of viruses found: 6
Number of infected objects: 5
Number of suspicious objects: 2
Duration of the scan process: 5466 sec

Infected Object Name - Virus Name
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\CoolWWWSearchAffWinshow.zip/uninstall.exe Suspicious: Password-protected-EXE
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\CoolWWWSearchAffWinshow.zip Suspicious: Password-protected-EXE
C:\Programme\AVPersonal\INFECTED\HP644A.TMP.VIR Infected: Trojan-Downloader.Win32.Zlob.cz
C:\System Volume Information\_restore{C7E87882-F72B-4CC6-B94B-0C5CDA4414CA}\RP577\A0279274.exe Infected: Trojan-Downloader.Win32.Zlob.cu
C:\System Volume Information\_restore{C7E87882-F72B-4CC6-B94B-0C5CDA4414CA}\RP577\A0279275.exe Infected: Trojan-Downloader.Win32.Zlob.cw
C:\System Volume Information\_restore{C7E87882-F72B-4CC6-B94B-0C5CDA4414CA}\RP577\A0279293.exe Infected: Trojan-Downloader.Win32.Zlob.cx
C:\System Volume Information\_restore{C7E87882-F72B-4CC6-B94B-0C5CDA4414CA}\RP578\A0279475.dll Infected: not-virus:Hoax.Win32.Renos.ag

Scan process completed.



is das jez gut oder schlecht in bezug auf spyaxe ? ;)
und wie bekomm ich den mist weg?
Dieser Beitrag wurde am 19.12.2005 um 18:33 Uhr von Zyste editiert.
Seitenanfang Seitenende
20.12.2005, 02:42
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#63 es reicht, dass du die Systemwiederherstellung deaktivierst (dann wieder aktivieren)
http://virus-protect.org/systemwiederherstellung.html

die Meldung vom Spybot in Bezug auf ebay kannst du meiner meinung nach ignorieren.

sanne noch mit panda und berichte
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.12.2005, 17:14
...neu hier

Beiträge: 4
#64 hi
also ich hab das mit der systemsteuerung gemacht und dann gescannt.
dabei kam folgendes heraus :

No viruses or other malicious software have been found!Scan finished 374577 Files scanned ...eingang\Willkommen[~0000000.~]Scan reportActiveScan only disinfects viruses. To disinfect all Thread, buy or try a recommended security product. ActiveScan gives you a deep second opinion analysis of the security level of your PC. Detected Disinfected
Virus 0 0
Spyware 0 0
Hacking Tools 0 0
Dialers 0 0
Security Risks 0 0
Suspicious files 0 0


kann ich jez relativ sicher sein, dass ich sicher bin? hehe schönes wortspiel. sollte ich noch irgendeinen scan machen?

und wegen der 5 svchost.exe dateien? is das "normal" mehrere davon zu haben?
Seitenanfang Seitenende
21.12.2005, 00:30
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#65 Zyste

Zitat

"Svchost.exe" ist ein allgemeiner Hostprozessname für Dienste, die mit Hilfe von DLL-Dateien ausgeführt werden. Dienste sind Funktionen, die z.B. automatische USB-Geräten erkennen oder die Druck-Funktionen ermöglichen. Dienste können gestartet oder gestoppt werden. Nicht alle Dienste benötigen Svchost.exe (nur solche, die per DLL-Dateien ausgeführt werden müssen). Das Betriebssystem startet Svchost-Sessions sobald es solche benötigt und beendet sie auch wieder, sobald einer nicht mehr gebraucht wird. Svchost.exe fasst mehrere Dienste zusammen, d.h. es können mehrere Instanzen von Svchost.exe gleichzeitig ausgeführt werden.
http://www.neuber.com/taskmanager/deutsch/prozess/svchost.exe.html
Eingeschränktes Benutzerkonto/Administratorrechte unter Windows
http://virus-protect.org/administrator.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.04.2006, 14:50
...neu hier

Beiträge: 5
#66 Bin jetzt soweit,dass ich im abgesicherten Modus bin. Im Post von Sabine gleich am Anfang des Threades stand dann - Doppelklick auf mcor.reg und bei Registry beifügen, aber wenn ich nun im abgesicherten Modus bin, dann ist ja der Desktop schwarz und so..., meine Frage nun wo finde ich denn diese Datei mcor.reg, was muss ich dazu machen um sie eben doppelt anzuklicken.

Bitte helft mir schnell.

Danke

MfG
Dieser Beitrag wurde am 01.04.2006 um 14:54 Uhr von Zarelli editiert.
Seitenanfang Seitenende
01.04.2006, 16:19
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#67 Zarelli

das ist alles schon nicht mehr aktuell ...
ich schaue es mir mal an ;)

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.04.2006, 16:42
...neu hier

Beiträge: 5
#68 Clean Up. Nachdem ich die Häkchen gemacht habe, kopiere ich jetzt mal was da stand:
CleanUp! started on 04/01/06 16:38:57.
C:\Dokumente und Einstellungen\Arbitori\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat currently in use. Will be deleted when Windows is restarted.
C:\Dokumente und Einstellungen\Arbitori\Lokale Einstellungen\Verlauf\History.IE5\index.dat currently in use. Will be deleted when Windows is restarted.
'Typed URLs' (Internet Explorer) - removed from the registry.
C:\Dokumente und Einstellungen\Arbitori\Cookies\index.dat currently in use. Will be deleted when Windows is restarted.
C:\DOKUME~1\Arbitori\LOKALE~1\Temp\Perflib_Perfdata_a5c.dat currently in use. Will be deleted when Windows is restarted.
C:\DOKUME~1\Arbitori\LOKALE~1\Temp\Perflib_Perfdata_a5c.dat currently in use. Will be deleted when Windows is restarted.
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat currently in use. Will be deleted when Windows is restarted.
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat currently in use. Will be deleted when Windows is restarted.
C:\Dokumente und Einstellungen\Arbitori\Cookies\index.dat currently in use. Will be deleted when Windows is restarted.
C:\Dokumente und Einstellungen\Arbitori\Cookies\index.dat currently in use. Will be deleted when Windows is restarted.
C:\WINDOWS\Prefetch\AUPDATE.EXE-089630E1.pf - deleted
C:\WINDOWS\Prefetch\CLEANUP.EXE-21B56F2B.pf - deleted
C:\WINDOWS\Prefetch\CLEANUP40.EXE-0679F69E.pf - deleted
C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf - deleted
C:\WINDOWS\Prefetch\DEFRAG.EXE-273F131E.pf - deleted
C:\WINDOWS\Prefetch\DFRGNTFS.EXE-269967DF.pf - deleted
C:\WINDOWS\Prefetch\DUMPREP.EXE-1B46F901.pf - deleted
C:\WINDOWS\Prefetch\DWWIN.EXE-30875ADC.pf - deleted
C:\WINDOWS\Prefetch\EXCEL.EXE-3281D776.pf - deleted
C:\WINDOWS\Prefetch\ICQLITE.EXE-2AEFACA7.pf - deleted
C:\WINDOWS\Prefetch\IEXPLORE.EXE-2CA9778D.pf - deleted
C:\WINDOWS\Prefetch\IMAPI.EXE-0BF740A4.pf - deleted
C:\WINDOWS\Prefetch\Layout.ini - deleted
C:\WINDOWS\Prefetch\LOGONUI.EXE-0AF22957.pf - deleted
C:\WINDOWS\Prefetch\LUCOMS~1.EXE-02DB5950.pf - deleted
C:\WINDOWS\Prefetch\MIRANDA32.EXE-248B043D.pf - deleted
C:\WINDOWS\Prefetch\MSIEXEC.EXE-2F8A8CAE.pf - deleted
C:\WINDOWS\Prefetch\MSIMN.EXE-0B61806C.pf - deleted
C:\WINDOWS\Prefetch\MSMSGS.EXE-32066BA5.pf - deleted
C:\WINDOWS\Prefetch\MSWORKS.EXE-118DC2B4.pf - deleted
C:\WINDOWS\Prefetch\NAVW32.EXE-20C61389.pf - deleted
C:\WINDOWS\Prefetch\NDETECT.EXE-38C3701D.pf - deleted
C:\WINDOWS\Prefetch\NTOSBOOT-B00DFAAD.pf - deleted
C:\WINDOWS\Prefetch\NVCTRL.EXE-06D3483B.pf - deleted
C:\WINDOWS\Prefetch\OPERA.EXE-24550E7A.pf - deleted
C:\WINDOWS\Prefetch\OPSCAN.EXE-287893AE.pf - deleted
C:\WINDOWS\Prefetch\OSA.EXE-0082CBE3.pf - deleted
C:\WINDOWS\Prefetch\PROFIDIALER.EXE-3936B724.pf - deleted
C:\WINDOWS\Prefetch\RUNDLL32.EXE-451FC2C0.pf - deleted
C:\WINDOWS\Prefetch\SSTEXT3D.SCR-17B3B9DD.pf - deleted
C:\WINDOWS\Prefetch\TASKMGR.EXE-20256C55.pf - deleted
C:\WINDOWS\Prefetch\WINRAR.EXE-3588DFE8.pf - deleted
C:\WINDOWS\Prefetch\WINWORD.EXE-259486DA.pf - deleted
C:\WINDOWS\Prefetch\WKUFIND.EXE-18C07230.pf - deleted
C:\WINDOWS\Prefetch\WMIPRVSE.EXE-28F301A9.pf - deleted
C:\WINDOWS\Prefetch\WMPLAYER.EXE-09969333.pf - deleted
C:\WINDOWS\Prefetch\WUAUCLT.EXE-399A8E72.pf - deleted
'Run MRU' list - removed from the registry.
Paint Recent File List - removed from the registry.
WordPad Recent File List - removed from the registry.
Telnet's MRU list - removed from the registry.
CleanUp! 4.0 recovered 2.6 MB of disk space from 37 files.
CleanUp! finished on 04/01/06 16:38:57.



Und dann die 4 Textdateien:
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 706A-702F

Verzeichnis von C:\WINDOWS\system32

01.04.2006 14:46 4.968 ncompat.tlb
01.04.2006 14:46 6.656 interf.tlb
01.04.2006 14:46 36.864 hpA185.tmp
01.04.2006 14:46 4.286 ot.ico
01.04.2006 14:46 17.444 nvctrl.exe
01.04.2006 14:46 4.286 ts.ico
01.04.2006 14:43 29.709 ld8695.tmp
01.04.2006 14:43 4.938 kspydoc.log
01.04.2006 14:43 0 Sweeper.cfg
31.03.2006 21:19 528 vsconfig.xml
31.03.2006 21:14 4.212 zllictbl.dat
31.03.2006 14:49 176.128 stickrep.dll
31.03.2006 14:46 15.529 dfrgsrv.exe
26.03.2006 10:32 375.406 perfh009.dat
26.03.2006 10:32 51.204 perfc009.dat
26.03.2006 10:32 385.728 perfh007.dat
26.03.2006 10:32 61.968 perfc007.dat
26.03.2006 10:32 884.200 PerfStringBackup.INI
10.03.2006 02:10 4.799.320 MRT.exe
14.02.2006 15:13 1.158 wpa.dbl
08.01.2006 18:08 285.312 FNTCACHE.DAT
04.01.2006 05:35 68.096 webclnt.dll
29.12.2005 04:54 280.064 gdi32.dll
08.12.2005 17:21 2.368 STEC3.sys
06.12.2005 07:02 5.533.696 wmp.dll
03.12.2005 17:52 6.291 EPPICResdb0000
03.12.2005 17:52 117 EPPICResdb
01.12.2005 05:31 1.492.480 shdocvw.dll


aso Hijack oder wie da sheißt habe ich noch vergessen, hänge ich gleich an, moment

Danke auf für die Mühe.

MfG


EDIT:
HIJACK HABE ICH NONE OF THE ABOVE;... GEKLICKT: DANACH STABND ABER NIRGENDS WAS VON SAVE ODER SO...
Dieser Beitrag wurde am 01.04.2006 um 16:46 Uhr von Zarelli editiert.
Seitenanfang Seitenende
01.04.2006, 18:42
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#69 Zarelli

arbeite das Punkt fuer Punkt ab (nichts auslassen! )
http://virus-protect.org/artikel/spyware/spywarequake.html

Punkt 4 (killbox) ...diese Dateien sind zu loeschen:

C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\interf.tlb
C:\WINDOWS\system32\hpA185.tmp
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\ld8695.tmp
C:\WINDOWS\system32\kspydoc.log
C:\WINDOWS\system32\Sweeper.cfg
C:\WINDOWS\system32\stickrep.dll
C:\WINDOWS\system32\dfrgsrv.exe

dann berichte...........
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.04.2006, 20:59
...neu hier

Beiträge: 5
#70 Bin jetzt bis zum 6.Punkt angelangt.
Wenn ich dann in den abgesicherten Modus gehe (egal ob als Administrator oder meinen usernamen) ist die Datei fixme.reg abe rnicht mehr auf dem Desktop!
Und das obowhl sie im "normalen" Modus da ist.

ABER: Ich bin jetzt eben im normalen Modus und jetzt habe ich keine Einschränkungen. Es ist kein Fenster wo was auf Englishc steht,dass ich n Virus habe und wenn ich ins Internet gehe kommt auf kein Warning , wie sonst immer, und meine Startseite ist wieder meien Startseite, nicht so wie sonst in den letzten 2 Tagen wo immer sone Security Seite sich automatisch festgelegt hat.

Trotzdem wäre es ganz günstig wenn ich das zu Ende bringe, amn weiß ja nie, vielleicht kommt e sja wieder beim nächsten jestart, also wo könnte das Problem, liegen, dass die fixme.reg Datei nicht auf dem Desktop ist, sodass ich sie zur Registierung angeben kann, wie im normalem Modus?

- Danke bisher schonmal für die gute Unterstützung, denn im Moment bin ich ja Virenfrei, oder besser gesagt mein PC -
Seitenanfang Seitenende
01.04.2006, 23:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#71 dann klicke sie im Normalmodus und starte danach den PC neu
(oder suchen ...mit der Suchfunktion von Windows....)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.04.2006, 12:38
...neu hier

Beiträge: 5
#72 Ok habe so gut wie alle Schritte gemacht und habe auch KEINEN VIRUS mehr. Keine Einschränkung bis auf folgendes:
Ich kann keine Office programme von Microsoft mehr benutzen. Also Excel,Word...

Outlook Express(E-Mail) geht.

Wenn ich Excel oder so benutzen will kommt Norton Anti Virus unterstützt das Programm nicht.
Ich soll Norton deinstallieren.

- was soll ich machen?
Norton deinstallieren und gucken ob die Programme nicht gehen?
Ist mir bissl riskant, wenn e snicht geht danach... aber egal, sagt mir Bitte wa sihr machen würdet.

Großes Dankeschön, dass der Virus oder der Trojaner jetzt erstmal hauptsächlich weg ist. ;-)
Seitenanfang Seitenende
02.04.2006, 13:02
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#73 ich habe schon oefter festgestellt, dass nach der Reinigung einige Programme nicht mehr funktionieren.
Ich empfehle dir, Excel und Office neu zu installieren.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.04.2006, 13:37
...neu hier

Beiträge: 5
#74 Und mit Norton Anti Virus gar nichts machen, ja?

weiteres ProbleM. Finde keine "Word-Cd" , aber die ist ja immer dabei, auch wenn das Prgramm von Anfang an auf dem PC ist, richtig?
Wenn ja, heißt das , ich müsste bloß ordentlich suchen.

mfg
Seitenanfang Seitenende
02.04.2006, 13:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#75 Office, Excel und Word muessten eine Extra-CD sein.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: