o.g. virus hab ich auf meinem pc, die infizierte datei heißt:
rwfdkrdv.exe
norton antivirus 2003 (auf dem neusten stand) kann gar nix machen, die datei lässt sich auch manuell nicht löschen.
irgendwelche vorschläge?
Viren & andere nette Haustiere
o.g. virus hab ich auf meinem pc, die infizierte datei heißt:
rwfdkrdv.exe
norton antivirus 2003 (auf dem neusten stand) kann gar nix machen, die datei lässt sich auch manuell nicht löschen.
irgendwelche vorschläge?
versuch den prozess herauszufinden auf welchen der virus zugreift, beende diesen und lösch dann die datei. oder warte enfach auf das update von Symantec
Could you do it slower and with more intensity?
schau mal auf die seite trojanerinfo da könnt vieleicht was für dich dabei sein.
borg22
ps:ich hab nichts unter dem namen gefunden
danke so hats geklappt.versuch den prozess herauszufinden auf welchen der virus zugreift, beende diesen und lösch dann die datei.
hab auch nix finden können, aber nun isser ja wech...hoffe ich!schau mal auf die seite trojanerinfo da könnt vieleicht was für dich dabei sein.
ps:ich hab nichts unter dem namen gefunden
Mein Virenprogramm Antivir hat vor ein paar Tagen den Virus TR/Small.AR auf meinem Notebook gefunden. Die befallene Datei war "c:\x.exe". Zusätzlich gabe es noch eine Datei "y.exe", die allerdings nicht erkannt wurde.
Nachdem ich beide Dateien gelöscht habe findet Antivir nichts verdächtiges mehr, trotzdem erscheint ständig im Infobereich der Taskleiste (Windows XP) für kurze Zeit (zu kurz um es erkennen zu können) eine Anwendung, welche sofort wieder verschwindet. Im Taskleisten-Menü "Info-Bereich anpassen" ist unter vorherige Elemente das Element "Sie haben neue E-Mail-Nachrichten" aufgeführt zusammen mit dem Symbol für Wechselstrom-Betrieb. Vor dem Auftreten des Virus war dies noch nicht der Fall.
Bisher habe ich im Internet noch keine Informationen über den Virus gefunden.
Ich hoffe, dass von euch jemand mir vielleicht helfen kann.
"Es wird der Tag kommen, wo unsere Nachkommen sich wundern, dass wir so offenbare Dinge nicht gewußt haben." Seneca
Nur um es generell mal festzuhalten, es ist normal das manchmal Programme ganz kurz in der Taskleiste auftauchen, das sind meist ganz normale Windows Dienstprogramme wie z.B. das Windows Media Update.
CU
Ghettomaster
Unmögliches wird sofort erledigt, Wunder dauern etwas länger.
Wenn es ein Windows-Dienstprogramm wäre, wäre es ein ziemlicher Zufall, dass es zusammen mit diesem Virus auf einmal aufgetaucht ist. Dass ich es bisher nur übersehen habe, halte ich auch für unwahrscheinlich, da dieses "Zucken" in der Task-Leiste doch sehr auffällig ist.
Außerdem sind die automatischen Windows-Updates bei mir ausgeschaltet.
"Es wird der Tag kommen, wo unsere Nachkommen sich wundern, dass wir so offenbare Dinge nicht gewußt haben." Seneca
Schau mal in der Registry im Key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft&# 092;Windows\CurrentVersion\Run" nach, ob dort ein verdächtiges Programm gestartet wird. Wenn dir was unklar ist, dann poste einfach alle Programme, die drin stehen.
Außerdem, schau mal im Startmenü im Autostart rein, ob da was verdächtiges steht...
"In this house we obey the laws of Thermodynamics !" - Homer Jay Simpson
Bei mir ändert sich nach jedem Neustart die IE-Startseite. Ich habe normalerweise einfach ne leere Seite eingestellt, aber jetzt kommt jedesmal so ne seltsame Suchmaschiene. Wenn ich es dann wieder auf leere Seite umstelle ist es gut bis zum nächsten Neustart.
Ich habe schon Norton 2004 und Adaware durchlaufen lassen, und die Cookie und alles gelöscht aber es kommt immer wieder.
Was kann ich machen?
Hier mal die Registry:HKEY_LOCAL_MACHINE\SOFTWARE\Mic rosoft\Windows\CurrentVersion\Run
Ist da irgendwas das da nicht hingehört? Oder was kann ich sonst machen?
ich hatte mal das gleiche, erst einmal die exe entfernen
dann regedit ausführen -> hkey_current_user/software/microsoft/internetexplorer/main
und dort den eintrag start page (der ja von dem bösen ding verändert wurde) umbenennen, anschließend den eintrag start page neu machen und den umbenannten löschen (klingt kompliziert, ist es aber nicht
was sein kann ist dass es einen eintrag mit start page_1 gibt, den kannst auch löschen
Could you do it slower and with more intensity?
normalerweise wird dir ne exe hinterlassen von der speziellen seite, in fast allen fällen entfernt die adaware sowieso aber man kann ja nie wissen
selbst wenn du sie schon einmal mit adaware gelöscht hast kanns sein dass sie dank des registry eintrags wieder da ist also sicherheitshalber nochmal mit adaware nachschaun
Could you do it slower and with more intensity?
Enkidu: Ich habe auch keine weiteren hilfreichen Infos gefunden.
Wenn ich bei Google suche, erscheint noch auf Seite 1 ein Link zu diesem Thread hier. *g*
ich gehe aber davon aus, dass das Ding weg ist, wenn du die Dateien gelöscht hast und dir keine merkwürdigen Prozesse auffallen.
Bei meinem Notebook erscheint übrigens auch öfters irgendeine "Anwendung" im Tray, die sofort wieder verschwindet. In meinem Fall sind das irgendwelche Popup-Blasen vom System selbst, die mich z.b. panikartig darüber in Kenntnis setzen wollen, dass auf meiner Systempartition nur noch 5 MB frei sind, etc. Diese Funktion habe ich aber mittels XPAntispy deaktiviert - daher verschwinden die Blasen gleich wieder, ohne mich zu nerven - spätestens wenn ich mit dem Mauscurser darüberfahre.
L_G: Zuerst eine Bitte: Könntest du eventuell das Bild etwas verkleinern bzw. auf den relevanten Ausschnitt zurechtschneiden? Du sprengst diesen Thread damit.
Deiner Beschreibung nach hast du dir wohl irgendwas gefangen.
Das kann was harmloses wie My Search sein (kommt z.B. über Morpheus oder Grokster ins System und beschränkt sich darauf, dich - IE vorausgesetzt - ab und an auf die nette Such-Seite zu leiten), oder auch etwas schlimmeres. Dass NAV nix findet, bekräftigt nur die negative Meinung, die ich von dem Programm habe. Die meiste Spyware läufft bei Norton halt nicht unter "Viren". Hier hilft dir eher Software wie Spybot Seach & Destroy weiter.
Was deinen Screenshot angeht: Bei einer ganzen Reihe der autostartenden Programme frage ich mich nach deren Sinn. (My TV Agent, CHotkey, Dit, Pointer, Soundman). Im Zweifelsfall würde ich diese einfach mal entfernen und dann schauen, ob du was vermisst. Auch würde ich an deiner Stelle die üblichen Verdächtigen Quicktime, Real, Nero, CloneCD und Winamp aus dem Autostart kicken, aber das ist Geschmacks- (und Speicher)Sache.
Dazu aber noch eine generelle Anmerkung: Es ist überhaupt nicht (mehr) nötig, manuell an irgendwelchen Registry-Schlüsseln rumzufriemeln. Microsoft liefert nicht umsonst das (wohlweislich undokumentierte) "Systemkonfigurationsprogramm" msconfig mit. Meines Wissens nach nicht nur unter XP, sondern schon unter 98.
Start > Ausführen > msconfig
Das tool liefert eine komfortable Übersicht über alle möglichen automatisch mit dem System startenden Programme. Wenn man nur mal probieren möchte, ob das Entfernen eines Programmes Auswirkung hat, kann man einfach das entsprechende Häkchen entfernen und im Zweifelsfall wieder neu setzen, falls man doch einen "guten" Prozess gekillt hat, den man noch braucht - und steht nicht vor dem Problem, einen gelöschten Registry-Schlüssel manuell rekonstruieren zu müssen.
Dazu bietet msconfig im Gegensatz zur Prozess-Ansicht im Taskmanager die bequeme Option, die windowseigenen Dienste auszublenden, so dass man schnell mögliche Bösewicht-Prozesse ausfindig machen kann (und auch nicht auf Mails hereinfällt, die einen dazu animieren wollen, den bösen Virus svchost.exe und dergleichen zu entfernen). Also: Die Zeiten, in denen man die "Run"-Schlüssel in der Registry abgrasen muss, sind vorbei.
Ich hab jetzt damit Start > Ausführen > msconfig rumgespielt und meine
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft� 92;Windows\CurrentVersion\Run
ist auf folgendes geschrupft:
Ausserdem hat Spybot zwar beim ersten Durchlauf nen paar Sachen gefunden.
Aber die Seite kommt immer noch nach jedem Neustart und jetzt findet Spybot nichts mehr.
Genau steht dann bei Startseite:
http://%6B%76%7A%64%6B%69%2E%74%2E%7...70%2E%70%68%70
und die Seite auf der ich dann lande http://drxcount.biz/index.php?aid=20037
Folgt dem Link aber besser nicht nachher habt ihr die Kacke auch noch.
Und steht dann noch Cotact Us und dann kommt man zu ner Seite wo das steht:
Aber ne Exe von dieser Seite möchte ich gar nicht erst ausprobieren.
If you cant change your home page or search page setting
please use spyware removal software.
you can download it here
http://216.180.233.153/~merijn/files/CWShredder.exe
Edit
@Alucard:
Ich hab jetzt mal da rein geguckt:
dann regedit ausführen -> hkey_current_user/software/microsoft/internetexplorer/main
Und bei
HomeOldSP
SearchBar
SearchPage
Startpage
steht dies http://%6B%76%7A%64%6B%69%2E%74%2E%7...70%2E%70%68%70
hinter.
Aber wenn ich das lösche oder auf about:blank ändere ist es nach dem Neustart auch wieder da.
Vielleicht ist das ein guter Zeitpunkt, um auf einen anderen Browser zu wechseln.
http://www.opera.com
http://www.mozilla.org
hmm... das scheint ja einer der hartnäckigeren sorte zu sein, versuch mal mit der suchfunktion alle einträge zu finden die den eintrag http://%6B%76%7A%64%6B%69%2E%74%2E%7...70%2E%70%68%70 haben oder auf den namen der suchmaschinen seite laufen! meistens haben die sogar nen extra eintrag im software verzeichnis also alles was dir irgendwie verdächtig vorkommt anschaun und gegebenenfalls löschen.
unter dieser url solltest du ein recht nützliches programm finden auch wenns jetzt nur mehr ne probeversion ist.
Could you do it slower and with more intensity?
Es ist endlich weg. Nach stundenlangen Kampf hab ich gesiegt.
@Alucard: Deine Tools haben es zwar auch nicht weg bekommen, aber dafür über 800 überflüssige Reg.Keys gefunden und entfernt. War also trotzdem nützlich.
Die Lösung hab ich hiergefunden.
Dies CW-Shredder war also nichts böses.
Imho hat das regedit -s sys.reg auch nix in deiner Registry verloren. Schaut so aus, als ob bei jedem Start wieder was in die Registry importiert wird. Die sys.reg würde ich mal unter die Lupe nehmen (am besten win Wordpad oder so, weil Doppelklick importiert in die Registry)....
Den Nerocheck kannst du eigentlich auch raushauen, allerdings ist der nix böses.
"In this house we obey the laws of Thermodynamics !" - Homer Jay Simpson
Wofür ist der Nerocheck denn? Ich hab da extra nicht rumgemurkst, weil ich Angst hatte das der Brenner dann streikt.
regedit -s sys.reg und sys.reg sind inzwischen entfernt worden. Entweder von einem von Alucard-Tools oder von dem CW-Shredder.
http://www.answersthatwork.com/Taskl...tasklist_n.htmNerocheck: Background Task installed by Nero?s CD Burning software. Straight from Ahead software : "The NeroCheck program looks for known driver conflicts with our Nero software. So that when a Nero Log file is printed, at the very bottom of the Nero log file you will find a list of drivers we have found on your system that could be causing conflicts, if you are running into problems.".
Recommendation :
If Nero is working on your system then you do not need NeroCheck to run. Disable it (...) unless you experience problems with Nero, in which case re-enable NeroCheck to see what the log file reports.
Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
Berechtigungen
Zitieren
Als Lesezeichen weiterleiten