Your Computer is infected! Hilfe was tun? Spysheriff?

Dieses Thema im Forum "Sicherheit" wurde erstellt von IWeißNetWeiter, 5. Januar 2006.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. IWeißNetWeiter

    IWeißNetWeiter Byte

    Registriert seit:
    5. Januar 2006
    Beiträge:
    19
    Hallo

    Habe seit gestern abend ein Problem nachdem ich mir etwas runtergeladen habe und installiert habe, und zwar kommt jetzt ständig ne Meldung aus der Taskleiste "Your Computer is infected windows has detected spyware bla bla please click here for help" oder ähnliches is grad wieder weg, kommt aber auch gleich wieder,... wenn ich drauf klick passiert garnix, öffne ich den Internet explorer kommt ein tolles blaues bild vonwegen mein PC sei infiziert bla bla für weitere Infos hier klicken für downloads da klicken und halt alles auf englisch. Hab mal auf das geklickt wie ich das wieder weg bekomm, dann kam ich auf die Seite von Spysherrif, den ich dann runtergeladen hab, hab dann mein PC überprüfen lassen und da kamen dann 70 infizierte files mit trojanern oder ähnlichem,... zum entfernen sollt ich dann aber erst mal zahlen, kann das sein????

    Normalerweise benutze ich den Firefox, da kommt keine Meldung, Norton hat bei mir nix gefunden. Was kann ich jetzt tun? und bitte kein Fachenglisch und schön ausführlich erklärt, bin da nicht ganz so fit im Umgang mit meinem PC :-(

    Ich hoffe ihr könnt mir helfen, hab auch schon einiges gelesen und 's scheint recht kompliziert zu sein
     
  2. deoroller

    deoroller Wandelndes Forum

    Registriert seit:
    18. Juli 2000
    Beiträge:
    116.594
    Scroll mal nach unten zu den ähnlichen Themen.

    Man soll zumindest einen Virenscann der runtergeladenen Dateien machen, bevor man sie ausführt.
    Hört sich nach Filesharing an, wenn man noch nicht mal der Name preisgegeben wird. :rolleyes:
     
  3. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    mache mal folgendes, erstmal erstellst du ein HijackThis Logfile wie hier beschrieben und postest den Link.

    Dann besorgst du dir dieses Programm, entpackst es, gehst in den abgesicherten Modus(F8 beim booten drücken) und führst die runthis.bat aus. Dann postest du den Inhalt der Datei C:\smitfiles.txt.


    Grüße Jasager
     
  4. IWeißNetWeiter

    IWeißNetWeiter Byte

    Registriert seit:
    5. Januar 2006
    Beiträge:
    19
    Nein das war kein Filesharing sondern viel mehr en no cd crack weil ich keine lust hab immer alle cds mitzuschleppen,... hab ein notebook das ich unter der Woche im Studium brauch und an wochenenden geht's heimwerts und da immer alle CDs mit schleppen? nein danke! Nur wei komm ich da jetzt weiter hab mal versucht die ähnlichen themen zu verstehen, aber spätestens beim fixen hörts auf, sorry, aber ich blick da net ganz so durch was da steht,... :-(
     
  5. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
  6. IWeißNetWeiter

    IWeißNetWeiter Byte

    Registriert seit:
    5. Januar 2006
    Beiträge:
    19
    Also HiJack hab ich jetzt mal gemacht, ist ganz schön spannend die ganze sache, gerade für einen neuling wie mich :rolleyes:
    das Programm lad ich jetzt runter und starte es gleich im abgesicherten modus, bin dann bestimmt gleich wieder da :-)
    dauert das ganze eigentlich lange? :confused:
    Grüße & bis gleich
     
  7. IWeißNetWeiter

    IWeißNetWeiter Byte

    Registriert seit:
    5. Januar 2006
    Beiträge:
    19
  8. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    Es wird dir doch eine Lehre sein, oder?
    Ich bleibe dabei, setze neu auf.
     
  9. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    um noch mal kurz Steppls Einwand aufzugreifen, die sicherste Variante ist das Neuaufsetzen, ich frickele nur etwas an deinem System herum, weiß auch wo das ein oder andere zu finden, bzw. zu löschen ist, aber eine Garantie das ich nichts übersehe, oder das es sich um eine neue Variante handelt gibt es nicht.
    Also im Prinzip ist es deine Risikoabwägung, entweder ich schuster weiter zurecht, oder du machst einen Neuanfang.


    Grüße Jasager
     
  10. IWeißNetWeiter

    IWeißNetWeiter Byte

    Registriert seit:
    5. Januar 2006
    Beiträge:
    19
    Neu Aufsetzen ist ja alles schön und gut, nur was mach ich dann mit meinen ganzen tollen Programmen jetzt? Außerdem hab ich kein Plan ob ich den jetzt wieder so aufgesetzt bekomm, dass auch alles wieder so tut wie's bis vor kurzem noch tat, bei dem PC is ne Fernbedienung dabei, wo ich bisher noch keine software gefunden hab,... eventuell ist sie ja mit dabei, doch was wenn nicht,... all diese kleinigkeiten,... drum würde ich es lieber über's schuster verfahren probieren, meinen PC wieder sauber zu bekommen,... und wenn das doch nicht hilft, dann kann ich ja immernoch neu aufsetzten,...

    grüße
    Marc

    PS Hab jetzt das tolle Programm im Abgesicherten Modus laufen lassen, soweit ich das gesehen hab, hat er nix gefunden,.. was mach ich jetzt weiter?
     
  11. frajoti

    frajoti Viertel Gigabyte

    Registriert seit:
    5. August 2005
    Beiträge:
    3.670
    Es gibt genügend Anleitungen bei Google zu finden. Da muß Du Dich schon durcharbeiten. Am einfachsten und sichersten ist aber das Neuaufsetzen.
     
  12. IWeißNetWeiter

    IWeißNetWeiter Byte

    Registriert seit:
    5. Januar 2006
    Beiträge:
    19
    Das Protokoll wolltest auch noch
    Bitte schön:


    smitRem © log file
    version 2.8

    by noahdfear


    Microsoft Windows XP [Version 5.1.2600]

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    checking for ShudderLTD key

    ShudderLTD key not present!

    checking for PSGuard.com key


    PSGuard.com key not present!


    checking for WinHound.com key


    WinHound.com key not present!

    spyaxe uninstaller NOT present
    Winhound uninstaller NOT present
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    Existing Pre-run Files


    ~~~ Program Files ~~~



    ~~~ Shortcuts ~~~



    ~~~ Favorites ~~~



    ~~~ system32 folder ~~~



    ~~~ Icons in System32 ~~~



    ~~~ Windows directory ~~~



    ~~~ Drive root ~~~

    winstall.exe

    ~~~ Miscellaneous Files/folders ~~~




    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



    Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
    Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
    Killing PID 1820 'explorer.exe'

    Starting registry repairs

    Deleting files


    Remaining Post-run Files


    ~~~ Program Files ~~~



    ~~~ Shortcuts ~~~



    ~~~ Favorites ~~~



    ~~~ system32 folder ~~~



    ~~~ Icons in System32 ~~~



    ~~~ Windows directory ~~~



    ~~~ Drive root ~~~



    ~~~ Miscellaneous Files/folders ~~~




    ~~~ Wininet.dll ~~~

    CLEAN! :)
     
  13. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    das macht es nicht gerade einfacher, nun gut, beende mal den Prozess kernels64.exe im Taskmanager und überprüfe die zugehörige Datei hier und poste das Ergebnis.
    Dann machst du mal folgendes und postest die vier zugehörigen Logs (nur die Dateien der letzten drei monate abkopieren!).



    Grüße Jasager
     
  14. IWeißNetWeiter

    IWeißNetWeiter Byte

    Registriert seit:
    5. Januar 2006
    Beiträge:
    19
    Hallo
    beim starten vom Taskmanager kommt folgendes: "Der Taskmanager wurde durch den Administrator deaktiviert" dabei hab ich Admin Rechte auf meinem Notebook und ich bin auch der einzige benutzer diese notebooks was kann ich da jetzt machen?
     
  15. deoroller

    deoroller Wandelndes Forum

    Registriert seit:
    18. Juli 2000
    Beiträge:
    116.594
  16. IWeißNetWeiter

    IWeißNetWeiter Byte

    Registriert seit:
    5. Januar 2006
    Beiträge:
    19
    also gut, ich hab mal das erstere gemacht ohne es auszuschalten, ich hoff mal das hilft uns auch schon mal weiter. werd jetzt aber noch den anderen tipp annehmen und versuchen den taskmanager wieder zum laufen zu bringen
    Ach ja, die meldung mein PC sei infiziert kommt nocht mehr. hilft uns das weiter oder nicht?

    Grüße
    Marc
     
  17. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    Die Datensicherung und die Neuinstallation wäre jetzt zu 50 % erledigt (Stand 13:15 Uhr). *Chipsholengeh* :D
     
  18. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    gefällt mir gar nicht, ich verstärke noch mal die Tendenz zum Neuaufsetzen.
    Versuche es mal mit Deorollers Tipp, wenn es nicht funktioniert schau mal unter Start>>Ausfühtren dort "Regedit" eingeben unter
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System welchen Wert DisableTaskMgr hat.

    Edit:
    Du solltest doch das Ergebnis posten.


    Grüße Jasager
     
  19. kalweit

    kalweit Hüter der Glaskugel

    Registriert seit:
    18. April 2000
    Beiträge:
    31.472
    ??? - du installierst sie einfach neu.
     
  20. IWeißNetWeiter

    IWeißNetWeiter Byte

    Registriert seit:
    5. Januar 2006
    Beiträge:
    19
    Also gut, bei der Überprüfung ist folgendes rausgekommen: This is a report processed by VirusTotal on 01/05/2006 at 13:28:24 (CET) after scanning the file "kernels64.exe" file.

    Antivirus Version Update Result
    AntiVir 6.33.0.74 01.05.2006 TR/Dldr.Small.agq.4
    Avast 4.6.695.0 01.05.2006 no virus found
    AVG 718 01.04.2006 no virus found
    Avira 6.33.0.74 01.05.2006 TR/Dldr.Small.agq.4
    BitDefender 7.2 01.05.2006 Dropped:Generic.Malware.SYdld.8106CB7F
    CAT-QuickHeal 8.00 01.05.2006 (Suspicious) - DNAScan
    ClamAV devel-20051123 01.05.2006 no virus found
    DrWeb 4.33 01.05.2006 Trojan.DownLoader.2489
    eTrust-Iris 7.1.194.0 01.04.2006 Win32/Vxidl.Variant!Trojan
    eTrust-Vet 12.4.1.0 01.05.2006 Win32/Vxidl!generic
    Ewido 3.5 01.05.2006 Downloader.Tibs.bf
    Fortinet 2.54.0.0 01.05.2006 BDoor.AZV!bdr
    F-Prot 3.16c 01.04.2006 could be infected with an unknown virus
    Ikarus 0.2.59.0 01.05.2006 Trojan-Downloader.Win32.Tibs.M
    Kaspersky 4.0.2.24 01.05.2006 Trojan-Downloader.Win32.Tibs.bf
    McAfee 4667 01.04.2006 BackDoor-AZV
    NOD32v2 1.1352 01.04.2006 probably a variant of Win32/TrojanDownloader.Small.AWA
    Norman 5.70.10 12.31.2006 no virus found
    Panda 9.0.0.4 01.04.2006 Adware/Adsmart
    Sophos 4.01.0 01.05.2006 no virus found
    Symantec 8.0 01.05.2006 no virus found
    TheHacker 5.9.2.067 01.02.2006 W32/SdBot(2).worm.gen
    UNA 1.83 01.05.2006 no virus found
    VBA32 3.10.5 01.05.2006 MalwareScope.Downloader.Small.1

    VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.


    Dann der wert vom DisablTaskMgr ist : 0x00000001 (1)

    kann den Taskmanager immernoch nicht öffnen :-(
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen