Warning! Spyware detected on your Computer!

Thema ist geschlossen!
Thema ist geschlossen!
#0
10.06.2008, 09:12
...neu hier

Beiträge: 3
#1 Hallo Zusammen

Ich habe mir auf meinem Notebook einen Virus eingefangen und kriege ihn nicht mehr weg.
Auf meinem Hintergrund hat sich das Bild mit folgendem Text festgesetzt:
#######################################
Warning! Spyware detected on your Computer! Install an antivirus or spyware remover to clean your computer.
#######################################
Das Hintergrundbild lässt sich auch nicht mehr verändern, weil die Registerkarte "Desktop" nicht mehr vorhanden ist!

Folgend nun die .log files von ComboFix und Hijackthis

ComboFix:
#############################
ComboFix 08-06-09.7 - nb 2008-06-10 8:46:44.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\nb\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
* Resident AV is active


[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\1784927059.exe
C:\WINDOWS\index.html
C:\WINDOWS\system32\CbEvtSvc.exe
C:\WINDOWS\system32\sft.res
C:\WINDOWS\system32\sysrest.sys
C:\WINDOWS\system32\wsnpoem
C:\WINDOWS\system32\wsnpoem\audio.dll
C:\WINDOWS\system32\wsnpoem\video.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CBEVTSVC
-------\Legacy_SYSREST.SYS
-------\Service_CbEvtSvc
-------\Service_sysrest.sys


((((((((((((((((((((((( Dateien erstellt von 2008-05-10 bis 2008-06-10 ))))))))))))))))))))))))))))))
.

2008-06-06 09:39 . 2008-06-06 09:39 <DIR> d-------- C:\Programme\CleanUp!
2008-06-05 16:56 . 2008-06-05 16:56 <DIR> d-------- C:\Programme\Lavasoft
2008-06-05 16:56 . 2008-06-05 16:56 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-06-05 16:56 . 2008-06-05 16:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-06-05 16:49 . 2008-06-05 16:50 <DIR> d-------- C:\Programme\CCleaner
2008-06-05 07:32 . 2008-06-05 07:32 <DIR> d-------- C:\Dokumente und Einstellungen\nb\Anwendungsdaten\shcpgjj0e99a
2008-06-04 18:37 . 2008-06-04 18:37 <DIR> dr------- C:\Dokumente und Einstellungen\LocalService\Favoriten
2008-06-04 18:06 . 2008-06-04 18:06 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\shcpgjj0e99a
2008-06-04 18:06 . 2008-06-05 15:02 90,838 --a------ C:\WINDOWS\system32\phcvgjj0e99a.bmp
2008-06-04 18:06 . 2008-06-05 15:02 52,736 --a------ C:\WINDOWS\system32\blphcvgjj0e99a.scr
2008-05-16 11:58 . 2008-05-16 11:58 12,632 --a------ C:\WINDOWS\system32\lsdelete.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-10 04:47 --------- d-----w C:\Dokumente und Einstellungen\nb\Anwendungsdaten\AdobeUM
2008-04-29 09:20 15,648 ----a-w C:\WINDOWS\system32\drivers\NSDriver.sys
2008-04-29 09:19 15,648 ----a-w C:\WINDOWS\system32\drivers\Awrtrd.sys
2008-04-29 09:19 12,960 ----a-w C:\WINDOWS\system32\drivers\Awrtpd.sys
2006-11-23 20:03 21,120 ----a-w C:\Dokumente und Einstellungen\nb\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-10-02 07:29 11,924,649 ------w C:\Dokumente und Einstellungen\Administrator\Win32Setup.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2003-07-15 23:09 110592]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2003-07-15 23:08 618496]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-11-13 22:10 335872]
"Norman ZANDA"="C:\Norman\Npm\bin\ZLH.exe" [2007-08-09 14:39 183352]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"NoDispBackgroundPage"= 1 (0x1)

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk
backup=C:\WINDOWS\pss\BTTray.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Device Detector 3.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Device Detector 3.lnk
backup=C:\WINDOWS\pss\Device Detector 3.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Directrec Configuration Tool.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Directrec Configuration Tool.lnk
backup=C:\WINDOWS\pss\Directrec Configuration Tool.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Mahner.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Mahner.lnk
backup=C:\WINDOWS\pss\Mahner.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Open Interfaces Platform (OIP) Toolbox.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Open Interfaces Platform (OIP) Toolbox.lnk
backup=C:\WINDOWS\pss\Open Interfaces Platform (OIP) Toolbox.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^TwixTel.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\TwixTel.lnk
backup=C:\WINDOWS\pss\TwixTel.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
-ra------ 2003-05-05 13:16 88267 C:\WINDOWS\AGRSMMSG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIModeChange]
--a------ 2001-09-04 10:24 28672 C:\WINDOWS\system32\Ati2mdxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cpqset]
--a------ 2003-07-17 14:50 184412 C:\Programme\HPQ\Default Settings\cpqset.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dla]
--a------ 2003-09-26 02:04 114741 C:\WINDOWS\system32\dla\tfswctrl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdateManager]
--a------ 2003-08-19 02:01 110592 C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Java\\jre1.5.0_06\\bin\\javaw.exe"=
"C:\\Programme\\Olympus\\DSSPlayerPro\\DictWnd.exe"=

R2 Ndiskio;Ndiskio;C:\Norman\Nse\bin\NDISKIO.SYS [2007-01-02 10:55]
R2 OipUpdateService;OIP Update Service;C:\Programme\Aastra\UpdateSvc\OipUpdateService.exe [2005-12-07 09:23]
R3 NvcMFlt;NvcMFlt;C:\WINDOWS\system32\DRIVERS\nvcw32mf.sys [2008-02-11 15:56]
R3 nvcoas;Norman Virus Control on-access component;C:\Norman\Nvc\bin\nvcoas.exe [2007-12-12 12:45]
R3 NVCScheduler;Norman Virus Control Scheduler;C:\Norman\Nvc\BIN\NVCSCHED.EXE [2007-05-23 13:23]
R3 WBSD;Winbond Secure Digital Storage (SD/MMC) Device Driver;C:\WINDOWS\system32\Drivers\WBSD.SYS [2003-03-20 18:24]
S3 AgentProxySvc;AgentProxySvc;C:\WINDOWS\system32\JTAProxy.exe [2003-11-07 18:31]
S3 nvcfsr;nvcfsr;C:\Norman\Nvc\bin\nvcfsr.sys [2007-01-09 15:25]
S3 nvcoafl51;nvcoafl51;C:\Norman\Nvc\bin\nvcoafl51.sys [2007-01-09 15:25]
S3 nvcoaft51;nvcoaft51;C:\Norman\Nvc\bin\nvcoaft51.sys [2007-01-09 15:25]
S3 nvcoarc51;nvcoarc51;C:\Norman\Nvc\bin\nvcoarc51.sys [2007-01-09 15:25]
S3 PCASp50;PCASp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\PCASp50.sys []
S3 WLPC;ZyAIR B-100 Wireless LAN PC Card Driver;C:\WINDOWS\system32\DRIVERS\WLPCN51.sys []

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-10 08:52:24
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ATICDSDr]
"ImagePath"="\??\C:\Programme\ATI Technologies\ATI Control Panel\atiicdxx.sys"
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\Norman\npm\bin\elogsvc.exe
C:\Norman\npm\bin\Zanda.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Olympus\DeviceDetector\DM1Service.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Norman\npm\bin\Njeeves.exe
C:\Norman\Nvc\Bin\CClaw.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-10 8:55:50 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-10 06:55:44

11 Verzeichnis(se), 51,280,232,448 Bytes frei
13 Verzeichnis(se), 51,238,060,032 Bytes frei

147 --- E O F --- 2008-05-28 10:04:04

###############################################

Hijackthis:
###############################################
Logfile of HijackThis v1.99.1
Scan saved at 08:30:11, on 10.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Norman\Npm\bin\ELOGSVC.EXE
C:\Norman\Npm\Bin\Zanda.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\CbEvtSvc.exe
C:\Programme\Olympus\DeviceDetector\DM1Service.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Aastra\UpdateSvc\OipUpdateService.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Norman\Npm\bin\NJEEVES.EXE
C:\Norman\Nvc\BIN\NVCSCHED.EXE
C:\Norman\Nvc\bin\nvcoas.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Norman\Npm\bin\ZLH.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Norman\Nvc\bin\cclaw.exe
C:\Dokumente und Einstellungen\nb\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.thayngen.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Microsoft copyright - {FFFFFFFF-BBBB-4146-86FD-A722E8AB3489} - sockins32.dll (file missing)
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\Npm\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138078800225
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: WebProxy - {66186F05-BBBB-4a39-864F-72D84615C679} - sockins32.dll (file missing)
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AgentProxySvc - JulMar Technology, Inc. - C:\WINDOWS\system32\JTAProxy.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: CbEvtSvc - Unknown owner - C:\WINDOWS\System32\CbEvtSvc.exe
O23 - Service: DM1Service - OLYMPUS IMAGING CORP. - C:\Programme\Olympus\DeviceDetector\DM1Service.exe
O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\Norman\Npm\bin\ELOGSVC.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\Npm\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Norman ASA - C:\Norman\Npm\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman ASA - C:\Norman\Nvc\BIN\NVCSCHED.EXE
O23 - Service: OIP Update Service (OipUpdateService) - Aastra Telecom Schweiz AG - C:\Programme\Aastra\UpdateSvc\OipUpdateService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

###############################################

Hoffe ihr könnt mir weiterhelfen...
Danke für schnelle Antwort

Gruss
Simon
Seitenanfang Seitenende
10.06.2008, 10:04
Moderator

Beiträge: 7798
#2 So wie es aussieht, hat jemand auf dem Rechner eine Datei gestartet, die ueber einen Link in einer Spammail verschickt wurde.

Ich muss auch noch nachfragen, ob der Rechner ein Firmen, bzw Gemeinde/Behoerdenrechner ist. Falls ja, solltest du dich informieren, wie mit infizierten Rechnern bei euch umgegangen wird. Falls nein, bitte nochmal melden. ;)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
10.06.2008, 10:08
...neu hier

Themenstarter

Beiträge: 3
#3 Danke für die schnelle Antwort

Es ist das Notebook eines Kunden. Das heisst, es ist ein Firmen Notebook.

Was für eine Rolle spielt das denn bei der Lösung des Problems?

mfg
Simon
Seitenanfang Seitenende
10.06.2008, 10:40
Moderator

Beiträge: 7798
#4 Ganz einfach, ich weiss ja nicht, wie in der Firma mit infizierten Rechnern umgegangen wird. Sprich, muss das gemeldet werden, gibt es spezielle Vorgehensweisen (Formatieren/Neu aufsetzen/ Datensicherung, Rueckverfolgung des infektionsweges usw).

Also zweites, was du wahscheinlich nicht gerne hoeren willst, da du ja auch ehrlich warst. Es ist dein Kunde, sprich du verdienst damit Geld, also solltest du auch das Problem loesen und nicht User, die das in Ihrer Freizeit machen.

Als Information, was ich machen wuerde ist, das Notebook neu aufsetzen, da es irgendwann(ich denke nicht mehr aktuell) mit einem Zbot infiziert war. Siehe Ordner und Dateistart Eintrag
C:\WINDOWS\system32\wsnpoem C:\WINDOWS\system32\ntos.exe,

Dieser Backdoor klaut alle Passworte und ist auch ein Formgrabber. Dieser Trojaner ist haeufig Ursache fuer Kontensperrungen bei infizierten Usern, also durch Missbrauch der Daten, die der Zbot gestohlen hat.

Zwingend dadurch ist natuerlich auch, das alle Passworte geaendert werden muessen, die auf dem Notebook eingegeben und gespeichert sind und waren.

Daraus ergibt sich wieder das Problem, wie wird das in der Firma gehandhabt, wer muss von dem Informationsdiebstahl informiert werden, wer aendert welche Passworte, muessen andere Mitarbeiter ebenfalls informiert werden, das Passworte geaendert wurden usw, usf....
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
10.06.2008, 17:41
...neu hier

Beiträge: 1
#5 Hallo,

der Schädling macht eigentlich keinen großen Schaden und kann gut entfernt werden. Das Problem ist, daß er komplett beseitigt sein muß, weil er sich sonst mit jedem Browserstart und auch auf anderen Wegen wieder aktiviert bzw. vermehrt. Er tritt meist in Gruppen auf, sodaß es nicht verwunderlich ist, dass du plötzlich "jede Menge" Feinde im System hast.

Der Agent und seine "Familie" treten in den letzten wochen verstärkt auf, er wird wohl meist in verpackten (zip, rar etc) Dateien beigefügt und mit einem Installer dann parallel installiert. - Also immer dran denken: erst die verpackte Datei mit Virenschutz scannen und nach dem Entpacken nochmals!

Die Freeware von "malwarebytes" (googeln) aufspielen und einen vollständigen Suchlauf starten. Der PC sollte keine Internetverbindung haben.
Es werden wohl ca. 12 Schädlinge erkannt und "beseitigt". - Die zum Löschen ausgesuchten Anwendungen werden gleichzeitig gesichert und können später bei Bedarf wiederhergestellt werden. Firewall und andere Virensoftware abstellen nach dem Download, wenn der PC vom Netz ist.

Während dem SCAN gehen jede Menge Fenster auf, vermeintlich von MS etc.! Möglichst nicht beachten und auf einem Stapel sammeln. Auf jeden Fall nicht auf "ok" oder sonstwo auf das Feld klicksen! Wenn unbedingt nötig, dann in der Taskbar mit rechter Maustaste schliessen!

Danach nicht gleich neustarten, sondern die Internet-Explorer-Einstellungen zurücksetzen (Eigenschaften von Internet - Erweitert - zurücksetzen).

Jetzt neu starten und die Spuren (vor allem "temp") werden von "malwarebytes" vollends beseitigt.

Hinweis: Bei diesem Neustart sollte der PC auch noch nicht am Netz sein!
Die Software läßt sich auch bei infiziertem PC installieren. Jedoch geht die Geschwindigkeit "in die Knie". Also zeit einplanen!

Wenn alles erledigt ist, Firewall & Virenschutz einschalten und auf hohe Sicherheitsstufe stellen. IE_7 Startseite kontrollieren bzw. neu festlegen. Netzverbindung herstellen (IE 7 muß beim Öffnen noch kurz konfiguriert werden), dann weiter zur Startseite. Die Meldungen der Firewall einzeln quittieren und erst später Automatismen zulassen, wenn keine Fehler mehr aufkommen.

Viel Glück / Hardy
Seitenanfang Seitenende
10.06.2008, 20:46
...neu hier

Themenstarter

Beiträge: 3
#6 Vielen Dank für eure Antworten

Ich werds mal versuchen und hoffen das es klappt.

mfg
Simon
Seitenanfang Seitenende