Me too :-( "spyware detection alert" |
||
---|---|---|
#0
| ||
24.08.2007, 16:08
...neu hier
Beiträge: 4 |
||
|
||
24.08.2007, 16:52
Member
Beiträge: 694 |
#2
Hi,
Bitte folgende Files prüfen: Zitat C:\WINNT\system32\drivers\SysDrv3S.syshttp://www.virustotal.com/flash/index_en.html Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen Falls eines der Files erkannt wird, unten bei Files to delete reinkopieren (mit vollem Pfad). Lösche den folgenden Job (ausser er stammt von Dir): C:\WINDOWS\Tasks\A8E01683918B8A7F.job - c:\dokume~1\matz\anwend~1\objbone\COPY MODE LOGO.exe Also: Avenger http://virus-protect.org/artikel/tools/avenger.html Input script manually (anhaken) kopiere in: View/edit script Zitat Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Zitat
Dann bitte ein scan mit:Cureit Zusaetzlich bitte noch Cureit nutzen Anleitung: http://virus-protect.org/cureit.html Aber bitte den Download von hier nutzen http://freedrweb.com/?lng=de Poste alle Logs und ein neues HJ-Log. Chris |
|
|
||
24.08.2007, 17:40
...neu hier
Themenstarter Beiträge: 4 |
#3
Vielen Dank für Deine Hilfe, Chris.
Die Onlineüberprüfung der vier Dateien war ohne Befund. Der Avenger ist gelaufen und hat ein leeres Logfile erzeugt. (ist das richtig?) Ich weiss nicht, wie ich den von Dir genannten Job löschen soll. Ich werde wohl aber sowieso erst am Montag dazu kommen, hier weiter zu machen. Schönes Wochenende! Gruß Gwion |
|
|
||
27.08.2007, 07:54
Member
Beiträge: 694 |
#4
Hi,
nein, Avenger sollte ein Logfile erzeugen in dem drin steht ob er löschen konnte oder nicht etc. Hast Du eventuell "Zitati" mit reinkompiert? Den Job löschen: Einfach dem Pfad folgen und die Datei löschen.... Chris |
|
|
||
27.08.2007, 12:49
...neu hier
Themenstarter Beiträge: 4 |
#5
Hallöchen und schöne neue Woche...
Der Avenger hatte tatsächlich ein Log erzeugt. Hier ist es: Zitat Logfile of The Avenger version 1, by Swandog46So, dann das Cureit Log: Im Anhang Und das neue Hijack: Zitat Logfile of Trend Micro HijackThis v2.0.2Vielen Dank für die Hilfe. Einzige Frage: Auf diesem Rechner gibt es keinen user "matz" Wo hast Du das her? Gruß Gwion Anhang: CureIt.txt
|
|
|
||
27.08.2007, 13:10
Member
Beiträge: 694 |
#6
Hi,
ich denke solche Sachen wie "psgetsid.exe" sind von Sysinternals, oder? Sieht OK aus, bitte abschließend noch folgendes durchführen: Backups von Avenger&Co löschen: C:\Qoobox - loeschen und Papierkorb leeren C:\avenger\backup.zip - loeschen und Papierkorb leeren C:\VundoFix Backups - loeschen und Papierkorb leeren Systemwiederherstellung löschen Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen (das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da). Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung -> anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten; Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder). Einen ersten Restorepunkt setzten: Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen Chris Ps: Matz: c:\dokume~1\matz\anwend~1 |
|
|
||
27.08.2007, 13:41
...neu hier
Themenstarter Beiträge: 4 |
#7
Hallo Chris,
nochmals vielen Dank für Deine Hilfe. Zu Deinem "PS" Das war schon klar, aber ich konnte das in den Logdateien nicht finden... (Und auf meinem Rechner auch nicht...) Nichts für ungut. Gruß Gwion P.S.: Gibt es eine Möglichkeit, den Fred hier zu löschen? |
|
|
||
mich hat auch die "Spyware detection" erwischt. Im Systray kommt nach dem Start ein Icon mit einem Ausrufezeichen.
Nach der Anleitung habe ich mal das Combofix laufen lassen, hier das Log:
Zitat
Hier das HiJacklog:Zitat
Und die Datfile.Bat:Zitat
Ich hoffe, Ihr könnt mir helfen. Vielen Dank!Gruß
Gwion