XP-Antivirus 2008 = SCHÄDLING

  • geschlossen

  • TheBIGone258
  • 4219 Aufrufe 22 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • XP-Antivirus 2008 = SCHÄDLING

    Hallo Leute,

    wir hatten uns im Betrieb an einen autarken Internet-Rechner (ohne Anbindung ans Firmennetz) über eine nette eMail von UPS die Software mit dem netten Namen XP Antivirus 2008 "eingefangen".

    Das Programm installiert sich offenbar fast völlig selbstständig und lässt sich auch nicht ohne weiteres wieder deinstallieren/entfernen.

    Wir sind darufhin wie unter ****** beschrieben vorgegangen, danach haben wir die neueste Version von CCleaner Festplatte und Registry "aufräumen"lassen. Es blieb aber immer noch ein dubioser Autostart-Eintrag vorhanden, der jedesmal von Norton-IS 2008 geblockt wurde.

    Über die Virensuche der NIS 2008 wurde nix gefunden. Wie im o.a. Link beschrieben wurde haben wir nochmal Panda-Active-Online-Scan drüber laufen lassen und dieser fand komischerweise genau diesen Autostart-Eintrag als Schadsoftware. Zum Löschen der Dateien muss jedoch die Kaufversion von Panda gekauft werden.

    Verschwörungstheoretiker würden ja schon fast einen Zusammenhang zwischen dem blöden XP Antivirus 2008 und Panda vermuten.:devil:

    Oder ist die Norton-IS 2008 zu blöd??

    Meine eigentliche Frage: hat schon jemand Erfahrung mit dieser Schadsoftware gemacht? Reichen die durchgeführten "Aufräumarbeiten" wohl aus, oder sollte man besser XP komplett neu aufsetzten? Es läuft wie gesagt diverser eMail-Verkehr über diesen Rechner.

    Schöne Grüsse
    TheBIGone258


    KEINE LINKS ZU ANDEREN BOARDS
    mfg Crackspider

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von TheBIGone258 ()

  • TheBIGone258 schrieb:


    Wir sind darufhin wie unter *** beschrieben vorgegangen, danach haben wir die neueste Version von CCleaner Festplatte und Registry "aufräumen"lassen. Es blieb aber immer noch ein dubioser Autostart-Eintrag vorhanden, der jedesmal von Norton-IS 2008 geblockt wurde.


    Tja, da ist wohl noch was!

    Habt ihr die Anleitung wirklich genau so wie beschrieben abgearbeitet?
    Alle Punkte?
    Abgesicherter Modus?
    FixXPAV.reg?

    Mache bitte ein Hijackthis-Log und poste es hier.

    Mfg
  • Hi,

    wir haben alle Punkte abgearbeitet, abgesicherter Modus usw.!

    Haben die dubiose Autostartdatei manuell gelöscht und CCleaner hat daraufhin den Autostarteintrag gelöscht.

    Hier das Logfile von HiJackThis:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 10:40:02, on 16.07.2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16674)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\SYSTEM32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
    C:\DATEV\PROGRAMM\B0001442\PSNTSERV.EXE
    C:\WINDOWS\system32\SatSrv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe
    C:\Programme\Outlook Express\msimn.exe
    C:\Programme\Messenger\msmsgs.exe
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
    O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.0\coIEPlg.dll
    O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
    O3 - Toolbar: Norton-Symbolleiste anzeigen - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-19\..\RunOnce: [SSS2006] "C:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-20\..\RunOnce: [SSS2006] "C:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [SSS2006] "C:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [SSS2006] "C:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'Default user')
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
    O4 - Global Startup: SkyUserDevmode-Update.lnk = C:\DATEV\PROGRAMM\B0001401\UpdateDevmode.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - webdl.symantec.com/activex/symdlmgr.cab
    O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - adobe.com/products/acrobat/nos/gp.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - fpdownload2.macromedia.com/get…ve/cabs/flash/swflash.cab
    O20 - Winlogon Notify: DVCCSA - C:\WINDOWS\
    O23 - Service: Automatisches LiveUpdate - Scheduler (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
    O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
    O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
    O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
    O23 - Service: DATEV Update-Service - DATEV eG - C:\DATEV\PROGRAMM\INSTALL\DvInesASDSvc.Exe
    O23 - Service: DATEV Druckservice (DatevPrintService) - DATEV eG - C:\DATEV\PROGRAMM\B0001442\PSNTSERV.EXE
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: hdlSrv - Unknown owner - C:\Programme\M-Systems Utility\hdlSrv.exe
    O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE
    O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
    O23 - Service: Steganos AntiTheft - Unknown owner - C:\WINDOWS\system32\\SatSrv.exe
    O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe
  • TheBIGone258 schrieb:




    O23 - Service: hdlSrv - Unknown owner -(C:\Programme\M-Systems Utility\hdlSrv.exe)


    Hallo,

    bitte prüfe diesen Eintrag mal bei Virustotal

    Poste bitte anschliessend hier das Ergebnis. Ist wahrscheinlich nichts, doch besser auf Nummer sicher gehen.

    Auch solltest Du Dein System immer auf dem aktuellsten Stand halten. Installiere doch Win XP SP 3.

    LG
    Arwen
  • Hallo habe das Ding auch vor 3 Tagen drauf gehabt :)
    habs aber nur mit etwas Handarbeit runter bekommen:mad:

    die genannten Tools helfen da nicht so wie sie sollten,weil dieses Ding sehr wiederspenstig ist und sich dauernd verschiebt.

    meine vorgehensweise war folgende

    1. Hijacker
    2. CCleaner
    3.Revo Uninstaller Autostart stopp
    4.Registry säubern HKLM /Software und HKCU /Software
    lösche diese Einträge

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform\"AntivirXP08" = "AntivirXP08"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"[RANDOM NAME]" = "C:\Program Files\[RANDOM NAME]\[RANDOM NAME].exe"

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\[RANDOM NAME]
    HKEY_LOCAL_MACHINE\SOFTWARE\[RANDOM NAME]
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\[RANDOM NAME]



    5.Wiederherstellungspunkte löschen
    6. schaue in den Ordner C:Windows/System32
    dort ist das Ding fest gesetzt mit Zahlen und Buchstabenkombination

    in etwa so 3ghdz65.exe ( ein Beispiel)
    die muß unbedingt gelöscht werden!!! solange die sich dort befindet kommt es immer wieder und zu dieser exe Datei gibts auch eine src Datei (Screenserver) die muß auch unbedingt weg.

    dann in den abgesicherten Modus
    alle Ordner sichtbar machen
    zu Lokale Einstellungen gehen und dort alle Temp Ordner / Cokies löschen
    alles mit CCleaner säubern und neu starten

    jetzt sollte es gelöst sein.
    dieses Ding hat eine neuere Signatur in sich darum kann es sich sehr gut tarnen,aber hoffemal die einschlägigen Vieren /Malware Tools werden auch darauf bald parat sein.
    ps selbst das Tool smitfix oder so (komm nicht auf den korrekten Namen)
    hat es nicht gefunden.

    hoffe die Info hilft dir weiter

    gruß wakiya:drum:
  • Ich hab mir das diese Woche erst eingefangen!!! Hab auch das FSB dursucht und gegoogled bis zum umfallen!!!! Aber alles was ich gefunden habe hat nicht funk. Weder das Panda digsbums noch die verschiednesten SpyWare Software wo man auch bezahlen muss. Ich hab sogar Probleme beim aufsetzen bekommen. Habs dann mit meiner Recovery CD gemacht, weil mit einer normalen XP-CD updaten, Systemwiederherstellung oder so was hat alles nicht funk.

    LG Hugo
  • Hallo Leute,

    bin aus dem verdienten Urlaub wieder ins Arbeitsleben zurückgekehrt. :(

    Hier das Logfile aus Malwarebytes´:

    Malwarebytes' Anti-Malware 1.24
    Datenbank Version: 1022
    Windows 5.1.2600 Service Pack 2

    13:35:47 04.08.2008
    mbam-log-8-4-2008 (13-35-47).txt

    Scan-Methode: Vollständiger Scan (C:\|)
    Durchsuchte Objekte: 70447
    Laufzeit: 24 minute(s), 11 second(s)

    Infizierte Speicherprozesse: 0
    Infizierte Speichermodule: 0
    Infizierte Registrierungsschlüssel: 1
    Infizierte Registrierungswerte: 0
    Infizierte Dateiobjekte der Registrierung: 0
    Infizierte Verzeichnisse: 11
    Infizierte Dateien: 2

    Infizierte Speicherprozesse:
    (Keine bösartigen Objekte gefunden)

    Infizierte Speichermodule:
    (Keine bösartigen Objekte gefunden)

    Infizierte Registrierungsschlüssel:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

    Infizierte Registrierungswerte:
    (Keine bösartigen Objekte gefunden)

    Infizierte Dateiobjekte der Registrierung:
    (Keine bösartigen Objekte gefunden)

    Infizierte Verzeichnisse:
    C:\Dokumente und Einstellungen\Internet\Anwendungsdaten\rhcnvnj0et3n (Rogue.Multiple) -> Quarantined and deleted successfully.
    C:\Dokumente und Einstellungen\Internet\Anwendungsdaten\rhcnvnj0et3n\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully.
    C:\Dokumente und Einstellungen\Internet\Anwendungsdaten\rhcnvnj0et3n\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully.
    C:\Dokumente und Einstellungen\Internet\Anwendungsdaten\rhcnvnj0et3n\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully.
    C:\Dokumente und Einstellungen\Internet\Anwendungsdaten\rhcnvnj0et3n\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
    C:\Dokumente und Einstellungen\Internet\Anwendungsdaten\rhcnvnj0et3n\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully.
    C:\Dokumente und Einstellungen\Internet\Anwendungsdaten\rhcnvnj0et3n\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
    C:\Dokumente und Einstellungen\Internet\Anwendungsdaten\rhcnvnj0et3n\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully.
    C:\Dokumente und Einstellungen\Internet\Anwendungsdaten\rhcnvnj0et3n\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully.
    C:\Dokumente und Einstellungen\Internet\Anwendungsdaten\rhcnvnj0et3n\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully.
    C:\Dokumente und Einstellungen\Internet\Anwendungsdaten\rhcnvnj0et3n\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully.

    Infizierte Dateien:
    C:\System Volume Information\_restore{26F1B859-5C91-4A21-9FAE-4B7024C7C0F4}\RP3\A0000012.exe (Trojan.Peed) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{26F1B859-5C91-4A21-9FAE-4B7024C7C0F4}\RP3\A0000045.exe (Trojan.Downloader) -> Quarantined and deleted successfully.


    Hab alle infizierten Einträge entfernt.

    Virustotal hat für die angegebene Datei nix gefunden.

    Jetzt ist mir heut aber noch etwas seltsames aufgefallen:
    unter Systemsteuerung/ Software lässt sich keine Software mehr über die Deinstallationsroutine deinstallieren, die schon vor dem "Angriff" auf dem Rechner installiert war.
    Nur die danach hinzugekommene Soft (Hijack, CCleaner usw.) lässt sich über "entfernen" deinstallieren. Was ist denn das???:würg:

    SP3 bügel ich morgen mal drüber.

    Schönen Gruß und vielen Dank schonmal
    TheBIGone258
  • Also ich war heute beim Freund und musste mir das auch ansehen. Ich hab mich erst gewundert, was ist das denn fürn komisches Antiviren Programm. Vor allem weil da ja noch Antivir drauf war. Habe in den Registrierungsdaten die entsprechenden Einträge gelöscht. Im abgesicherten Modus die Sachen deinstalliert/per Hand gelöscht. Und mein einziges Problem ist, dass ich den Hintergrund nicht ändern kann. Habt ihr das auch gehabt, dass dort ein neuer Hintergrund gemacht wurde, mit irgendeiner scheiß Werbung von dem Programm. Das Menü für den Desktophintergrund ist einfach weg!

    Mieses Programm.
  • schaut in meinem alten beitrag nr 7(wakiya) etwas höher
    damit funzt es wunderbar und man brauchtkein format c machen

    und wenn ihr schon format c machen wollt ,dann aber intensive und nicht schnell
    sonst ist das ding wieder da (habe es mal auf einer alten platte getestet )

    aber die vieren tools sollten auch nun davor gewappnet sein.

    hoffe die info kommt an :)

    gruß snoppy
  • Hatte das Teil letztens auch drauf und nach etlichen rumprobieren hab ich beschlossen doch format c zu machen.
    Kann man nun sicher gehn das nix mehr da ist? Oder nistet sich das Teil auch wo anders ein?
    Hab noch 2 andere partitionen. Hab zwar antivir komplett drüber laufen lassen, aber man weiss ja nie.
  • Lif3Liv3 schrieb:

    Hhab ich beschlossen doch format c zu machen.
    Kann man nun sicher gehn das nix mehr da ist? Oder nistet sich das Teil auch wo anders ein?

    Format c: übersteht generell kein Virus!
    Ausser Daten (ausführbar, infiziert) wurden gesichert und auf die formatierte Partition wiederhergestellt.

    Hab noch 2 andere partitionen. Hab zwar antivir komplett drüber laufen lassen, aber man weiss ja nie.

    Ein Virus kann Partitionen überspringen.
    Der Virut zum Beispiel, infiziert alle .exe Dateien in jeglichen Partitionen.
    Ich würde also Daten sichern (mp3, Bilder, Videos, Dokumente) und alle Partitionen formatieren, dann das OS neuaufspielen!

    Wichtig:
    Keine ausführbare Dateien sichern!

    Mfg
  • Hallo, habe gerade den Computer meiner Tochter mit XP neu installiert. Da ich leider nicht weiß wie Format C geht . Naja, der Computer ist wieder Virenfrei .
    Vielleicht kann mir mal einer mitteilen was Format C ist und wie das gemacht wird.
    Bedanke mich schonmal in Vorraus.

    MfG
    tomate661 :hot:
    .
  • tomate661 schrieb:

    Hallo, habe gerade den Computer meiner Tochter mit XP neu installiert. Da ich leider nicht weiß wie Format C geht . Naja, der Computer ist wieder Virenfrei .

    Während des XP-Setup hast du die Möglichkeit, neu zu partitionieren.
    Dabei wird entweder schnell oder "langsam" formatiert. Viren überstehen keine von den beiden Formatierungen.

    Wurde das nicht gemacht, und ein XP über ein XP drüberinstalliert (ja, das geht auch !) hast du jetzt zwei Windows-Ordner, ich glaube C:\WINDOWS und C:\WINDOWS.0.

    Vielleicht kann mir mal einer mitteilen was Format C ist und wie das gemacht wird.

    Formatieren heisst, alle Daten auf einer Partition/Einem Wechseldatenträger zu löschen, und zwar endgültig. Es gibt Programme, die versprechen, Dateien von formatierten Laufwerken wiederherzustellen, aber meist mit wenig Erfolg.

    Per

    Quellcode

    1. Ausführen --> cmd --> format x:

    (wobei x: eine Partition, ausser c: )
    können Partitionen, ausser die aktuell für XP genutzte (i.d.R. C:) formatiert werden.

    Mfg
  • Hallo, danke für die Antworten . Danach habe ich alles richtig gemacht , naja die Daten sind Weg waren aber zum Glück nicht Lebenswichtig.

    Bei mir hat sich das fiese Programm am Wochenende installieren wollen , habe es zum Glück sofort mitbekommen und die Internetseite sofort geschlossen nach dem Theater mit dem Computer meiner Tochter wird noch besser auf gepasst was sich im Hintergrund öffnet.
    Ich hoffe das die Antivirusprogramme das bald als Schädling erkennen und automatisch blocken.

    MfG

    tomate661:

    thx: :danke:
  • tomate661 schrieb:

    nach dem Theater mit dem Computer meiner Tochter wird noch besser auf gepasst was sich im Hintergrund öffnet.

    Richte deiner Tochter doch ein eingeschränktes Benutzerkonto ein.
    Etwa 98% der Malware kann dann keinen wirklichen Schaden anrichten, da die Zugriffsrechte fehlen.

    Ich hoffe das die Antivirusprogramme das bald als Schädling erkennen und automatisch blocken.

    AV's werden den Virenautoren immer hinterherhinken und herkömmliche Signaturen werden bald ihre Bedeutung verloren haben.
    Deshalb kann man sich auf ein AV nicht verlassen.

    Mfg
  • wenn man "regedit" ausführen kann
    dann vorgehen wie im Anwort 7 beschrieben ist vorgehen,
    auch mal Probieren als Admin sich einzulogen, kann sein das du da dann die antwort bekommst "Admin Passwort wurde geändert" da kannst du nichts mehr machen,
    aber wenn das nicht geht wie bei mir, konnte nicht mal Partition C sehen im Arbeitsbereich war nicht mehr sichbar aber es war da, musste nur noch deine Daten suchen über "such funktion nach Dateien" , wenn Du es hast dann kopieren und auf ne anderen Partion absichern, dann Hift nur noch "Format C"
    hatte auch AdWare und ähnliche Prog wie MaleWare Vernichter durchgejagt aber es half nichts.

    Ganz wichtig bei der AKTION darfs keine I-Netzverbindung haben KAPPE die Verbindung weil das ding will immer ins NETZ