|
Können das noch versteckte Schädlinge sein? Bin neu hier, verzeiht also Fehler. Hallo. Ich habe mir durch einen Klick aufs falsche Fenster viele Viren und Spyware zugezogen. Inzwischen ahben ich den Computer mehrmals auf Auslieferungszustand gesetzt und Kaspersky installiert. In den Berichten heißt es ständig: PID xxx versucht Kaspersky auszuschalten, aber Selbstschutz hat das verhindert. Außerdem werden selbst bei kurzem Einschalten des I-Nets, 10-20 Banner und Verbindungen blockiert, die ich auch noch aus der Zeit kenne, als ich verseucht war. Kasperskyleute sagten mir, dass ich keine Angst haben muss, denn wenn der Selbstschutz wegen Schädlingen einspringen müsste, würde das Programm mir das melden und sie bekämpfen. Dies sei bei mir einfach weil das Betriebsystem solche Meldungen ausgibt, die mit Kaspersky reagieren, sei nichts schädliches. Ich habe einfach immer noch Angst, dass das mehrmalige Stellen auf Auslieferungszustand und selbst das neue Kasperkyprogramm irgendwas nicht finden. Gibt es jemand, der dazu was sagen kann, aber bitte nur, wenn jemand was dazu weiß, die Antwort von Kaspersky bestätigen kann oder mir erklären kann, durch was so was kommen kann, falls es harmlos ist, alles andere würde mich ja nur weiter verunsichern. Was kann man tun, wenn wirklich irgendwas noch drin ist, was kein Programm erfasst und mir ständig den Virenschutz abschalten will und zwischendrin, bevor er sich wieder aktiviert, Schadware reinspuckt, die dann aber wieder vom Virensystem blockiert wird. Andererseits ist das nur meine ängstliche Vorstellung, die sonst nirgends steht oder so. Ich weiß nur, dass es solche Programme gibt. Interessierter Danke |
Ich würde es als nicht gerade optimal bezeichnen, wenn aktive Schädlinge versuchen, den Virenscaner abzuschießen, auch wenn KAV das abwehren kann. Wenn du das System in den Auslieferungszustand per Receovery-CD zurücksetzt, kommt das einem Neuaufsetzen gleich, Schädlinge auf der Systempartition überleben das nicht. Fallen mir jetzt zwei Möglichkeiten ein, wie erneut Schädlinge raufgekommen sind: - System war vor dem erstenGang ins Internet nicht richtig abgesichert (ungepatcht etc.) - verseuchte Software wurde ausgeführt (z.B. auf verbliebenen weiteren Partitionen oder externer Datenträger) Stell doch mal ein Hijackthis-Logfile hier rein. |
Halli hallo. Was meinst du mit Zitat:
Dann ist der Rechner DEFINITIV sauber! Der Selbstschutz von Kav (ich nehme an du nutzt 7.0?) springt ständig an. Kannst die Meldung ausschalten. Von den geblockten Anwahlversuchen auf das I.Net hätte ich gerne die Berichte. Einstellungen->Datenverwaltung->Bericht->Doppelklick auf Firewall. Wenn du ganz sicher gehen möchtest poste doch ein Hijackthis sowie ein MWAV log. Zum stöbern über Systemsicherheit für Interessierte findest du auch einen Link in meiner Signatur.. ;) [EDIT] Hi cosinus.!. ^^ Gruß Undoreal |
Hi co und un, danke. Also erstmal der Computer war beim Neustarten evtl. nicht mit A-V-Programm abgesichert, aber ich war ganz bewusst nur in Fritz.bos und Freenet und windows Update. Glaube kaum, dass da irgendwas passiert ist. Außerdem zeigt er ja nichts an. Ich hatte mehrmals den Auslieferungszutand hergestellt mit Recovery-CD. Einmal für 70 Euro durchs Geschäft, dreimal selbst. Den Bericht der Firewall will ich gern senden, aber kann nicht garantieren, ob ich das kann, muss mal sehen. Erst mal Danke. Will es gern glauben, was du über Kasp. sagst, das wäre ja dann die Erklärung. Und die geblockten Seiten usw. die werde ich versuchen hier rein zusetzen. Interessierter grüßt |
Zitat:
|
Hier ist der Bericht: 05.07.2007 20:57:06 http://wdr.ivwbox.de/cgi-bin/ivw/CP/...26lr%3Dlang_de verboten ivwbox.de 05.07.2007 20:57:23 http://mrwong.ivwbox.de/cgi-bin/ivw/...29.05666833059 verboten ivwbox.de 05.07.2007 20:57:24 http://pagead2.googlesyndication.com/pagead/show_ads.js verboten *.googlesyndication.com/*show_ads.js 05.07.2007 20:57:50 http://mrwong.ivwbox.de/cgi-bin/ivw/...34.68617923478 verboten ivwbox.de 05.07.2007 20:59:30 http://www.paules-pc-forum.de/futurex/banner2fx.gif verboten */banner*.gif 05.07.2007 21:06:03 http://pagead2.googlesyndication.com/pagead/show_ads.js verboten *.googlesyndication.com/*show_ads.js 05.07.2007 21:06:03 http://www.etracker.de/cnt.php?java=...26lr%3Dlang_de verboten etracker.de 05.07.2007 21:06:03 http://www.sponsorads.de/script.php?s=79055 verboten sponsorads.de 05.07.2007 21:06:50 http://supportnet.de.intellitxt.com/....asp?ipid=1506 verboten intellitxt.com 05.07.2007 21:08:21 http://ads-205.quarterserver.de/adse...=1183662501046 verboten */banner/* 05.07.2007 21:08:21 http://ads-205.quarterserver.de/adse...andom=35515768 verboten */banner/* 05.07.2007 21:08:21 http://ads-205.quarterserver.de/adse...andom=99511399 verboten */banner/* 05.07.2007 21:08:21 http://ads-205.quarterserver.de/adse...=1183662501375 verboten */banner/* 05.07.2007 21:08:21 http://pagead2.googlesyndication.com/pagead/show_ads.js verboten *.googlesyndication.com/*show_ads.js 05.07.2007 21:08:22 http://ads-205.quarterserver.de/adse...andom=94333994 verboten */banner/* 05.07.2007 21:08:22 http://ads-205.quarterserver.de/adse...andom=95381610 verboten ads-205.quarterserver.de 05.07.2007 21:09:55 http://chip.ivwbox.de/cgi-bin/ivw/CP...016.3364675828 verboten ivwbox.de 05.07.2007 21:09:55 http://chip.ivwbox.de/2004/01/survey.js verboten ivwbox.de 05.07.2007 21:09:57 http://ad.chip.de/wb/adjs.php?what=&...&rubrik=1&ref= verboten ad.*.* 05.07.2007 21:09:57 http://statse.webtrendslive.com/dcs0...ty&bart=Thread verboten webtrendslive.com 05.07.2007 21:09:58 http://ad.chip.de/wb/adjs.php?what=&...&rubrik=1&ref= verboten ad.*.* 05.07.2007 21:09:58 http://ad.de.doubleclick.net/adj/chi...0;ord=8146956? verboten ad.*.* 05.07.2007 21:09:58 http://ad.de.doubleclick.net/adj/chi...0;ord=8146956? verboten ad.*.* 05.07.2007 21:09:58 http://ad.chip.de/wb/adjs.php?what=w...ubrik=1&tid2=0 verboten ad.*.* 05.07.2007 21:09:58 http://chip.de.intellitxt.com/intellitxt/front.asp?&ipid=3396&kwpn=2&mk=3&fms=1&sn=<b>,<li> verboten intellitxt.com 05.07.2007 21:11:29 http://ads-205.quarterserver.de/adse...=1183662689187 verboten */banner/* 05.07.2007 21:11:29 http://ads-205.quarterserver.de/adse...andom=99748322 verboten */banner/* 05.07.2007 21:11:29 http://ads-205.quarterserver.de/adse...andom=70453242 verboten */banner/* 05.07.2007 21:11:29 http://ads-205.quarterserver.de/adse...=1183662689453 verboten */banner/* 05.07.2007 21:11:29 http://ads-205.quarterserver.de/adse...andom=89470161 verboten ads-205.quarterserver.de 05.07.2007 21:13:13 http://bannersil.tripple.at/banner/r...tlfotograf.gif verboten */banner*.gif 05.07.2007 21:13:14 http://banner.tripple.at/banner/leer.gif verboten */banner*.gif 05.07.2007 21:13:15 http://www.telekom-presse.at/img/banner_MDAcompact3.gif verboten */banner*.gif 05.07.2007 21:22:22 http://pagead2.googlesyndication.com/pagead/show_ads.js verboten *.googlesyndication.com/*show_ads.js 05.07.2007 21:27:36 http://support.microsoft.com/library...sthead_ltr.gif verboten */banner*.gif 05.07.2007 21:27:52 http://www.etracker.de/cnt.php?java=...26lr%3Dlang_de verboten etracker.de 05.07.2007 21:27:52 http://www.sponsorads.de/script.php?s=79055 verboten sponsorads.de 05.07.2007 21:28:31 http://www.etracker.de/cnt.php?java=...xplore_exe.php verboten etracker.de 05.07.2007 21:33:29 http://pagead2.googlesyndication.com/pagead/show_ads.js verboten *.googlesyndication.com/*show_ads.js 05.07.2007 22:23:51 http://pagead2.googlesyndication.com/pagead/show_ads.js verboten *.googlesyndication.com/*show_ads.js Soviel für den Moment, und lieben Dank, dass sich da jemand drum kümmert. Interessierter |
Hi, ich weiß nicht, was es heißt, wenn der Rechner durch enen Router abgeschottet ist. Ich habe alles neu geladen und die erste I-Nettätigkeit war, die Windowsseite zu laden und die Updates runterzulalden. War das nicht genug? Wie sollte man sonst vorgehen? Was meinst du damit ob die Updates vorher eingespielt sind? Wie soll ich die einspielen außer indem ich ins I-Net gehe und sie runterlade und auf keine andere Seite gehe? Danke. Int..... |
Zitat:
Dadurch hängen deine Rechner nicht direkt im Internet, sondern in einem privaten LAN. Netzwerkwürmer wie Sasser, Blaster und Artverwandte können deswegen schon mal nicht so einfach das System befallen wenns ungepatcht sein sollte (ich lass trotzdem kein Rechner ohne das SP2 ins Internet). Zitat:
Mehr dazu => Sinnvoller Schutz für den Windows Internet-PC => Netzwerkwürmer Du Links du du vorher gepostet hast, sehen m.E. durchaus normal aus, können durchaus Banner-Links sein, wie sie auf normalen Webseiten eingebaut sind. Poste bitte das Hijackthis-Logfile. |
Hi, danke, ich weiß nicht wie ich ein Hijack.... posten soll Heißt dass, dass ich allein daduch, dass die Fritzbox mich mit dem I-Net verbunden hat und ich Windows Updates runterlade offen für Viren bin? Freenet komplett über Fitzbox ist das ein solches schützendes LAN? Sonsst habe ich nichts, bin ganz allein. Ich kann keine SP2 irgendwo herholen. Ich muss das wo kaufen? Ist das nicht auf der Applications-CD drauf, die ich 2005 kaufte? Sorry für die blöden Fragen, aber bin kein Experte, nur eine Generveter, seit dem damaligen Virenbefall. Danke. Tschüs erstmal. Int..... |
Zitat:
Zitat:
|
Hier der Bericht zu deiner Auswertung: Gesamtstatus: Sicher! Keiner der getesteten Ports ist offen. Sehr gut!Hilfe in Ihrer Nähe Sie suchen Hilfe als? Privatperson Firma Ihre Postleitzahl: Allgemeine Information: Test: Schnell-Test IP: 89.60.187.123 Benutzter Browser: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322) Statusmeldungen:Bedeutung (mehr Infos in unseren FAQs)StatusGEFAHR! Port ist offen und jeder kann in Ihr System eindringen.offenUNZUREICHEND! Port ist weder offen, noch durch eine Firewall geschützt.ungefiltertSICHER! Port wird durch eine Firewall oder einen Paketfilter uberwacht.gefiltertSICHER! Port ist weder sichtbar noch angreifbar.kein DienstEin hoher Wert bedeutet ein hohes Risiko.Gefahr-Index0...10 Ergebnis:ErklärungHilfeDienstStatPort File Transfer ProtocolFTP021 SSH-DienstSSH022 telnetTelnet023 Simple Mail Transfer ProtocolSMTP025 Finger Protocol-Finger079 Hypertext Transfer ProtocolHTTP080 Linux ConfigurationLinuxconf098 Post Office Protocol Version 3POP30110 Portmap-Portmap0111 Identification Protocol-Ident0113 Microsoft Remote Procedure Call-MS-RPC0135 NetbiosNetbios0139 INTERNET MESSAGE ACCESS PROTOCOLIMAP0143 Secure HyperText Transfer Protocol-HTTPS0443 Microsoft-DS-Microsoft-DS0445 Sama Web Administration Tool-SWAT0901 FilesharingFilesharing04662 Microsoft Remote Desktop-Remote Desktop03389 Universal Plug and Play Device-UPnP05000 xWindows-xWindows06000 Proxy-Server-Proxy-Server08080 Webmin-Webmin010000 Seite drucken Wenn mein Computer angenommener Weise verseucht ist, hat es dann sinn SP2 runterzuladen oder muss ich gerade danne eine CD besorgen? Angeommen ich lade es runter, wann, jetzt oder dann nach der Neuinstallation. Denn dort habe ich es ja sowieso immer runtergelalden direkt von Windows. Danke. Interessierter |
Hm, also ich gehe von einem verseuchten Browser Helper Object (BHO) aus, welches noch in deinem IE (Nutzt du IE6 ?) residiert. Grundsätzlich gibt es im Internet Explorer, egal welche Version genutzt wird, genug Sicherheitslücken, die immer wieder gefixt werden. Selbst Kaspersky kann nicht 100 prozentig sagen, dass du keine Viren bzw. Mal- und Spyware auf deinem Computer hast. Oft geschieht gerade dies ohne das Wissen des Benutzers - Spyware verschafft sich Zutritt zu deinem PC und Malware wird installiert - Gerissenerweise ohne das Wissen des Opfers. Somit hast du Glück, dass du in jener Angelegenheit (rechtzeitig) wach geworden bist. Uhm, hast du es schonmal mit "HiJackThis" versucht ? Nein? Dann arbeite bitte diese Liste ab:
/Edit: Zitat:
|
So wie sich das für mich darstellt ist der Rechner sauber! Wie soll denn da eine Infizierung erfolgt sein? Die KAv Meldungen sind definitiv i.O.! Die der Firewall wie auch die des Selbstschutzes! Mach dir mal keine Sorgen. PS: Zitat:
Gruß Undoreal |
Moin :) @Interessierter Hier wurde der Selbstschutz von Galileo 39 recht gut erklärt Kaspersky Lab Forum -> Versuch von Prozess mit PID Überprüfe doch bitte , welcher Prozess vom Selbstschutz blockiert wurde. In Posting 4 stehen die Einstellungen. Ich würde schon gerne wissen, welcher Prozess das auslöst. @undoreal Bist Du nicht auch neugierig? Gruß cad |
Hallo und danke erstmal. Bevor ich das mit dem Selbstschutz ausprobiere. Eine neue Bsonderheit: Wenn ich mit Kasp. einen externen Datenträger mit Bildern teste, bleibt die Routine bei einem Bild hängen. Wenn ich dasselbe Bild, was auch in Eigene Datein ist aufrufe, wird bei der Dateiprüfung nicht der Name angegeben, wie bei allen anderen, sondern Zoombrowser.exe-0AAC2EBA1.pf Angst!!! Sagt euch das was? Gruß erst mal. |
Hallo :) Stell doch bitte das HIjackThis Logfile hier rein. Cosinus hat Dich gestern darum gebeten. Zu dem Zoombrowser Hast Du eine Canonkamera und die Canon Software Suite (Zoom/Image Browser) installiert? Gruß cad |
Ja, habe eine solche Kamera. Was ist damit? Hijack.... habe keine Ahnung wie das geht oder Bedenken, nicht entpacken zu können usw. Int... |
Jetzt habe ich auch wie geraten anzeigen lassen, wann das Kasp. ausgeschalter werden soll. Es war einmal bei der Arbeit im I-Net, aber nicht regelmäßig. Regelmäßig, wenn ich die Kamera anschließe, kommen die Meldungen: system32 drwtsn 32 exe versucht mit PID sowieso Kasp. auszuschalten und Programme canon ZoombrowserEX Progamme Zoom Browser.exe versucht usw. Danke. Interess. |
O.K. Wenn das die einzigen Meldungen waren, brauchst Du Dir über die Berichte keine Sorgen machen. Ein HijackThis Log ist wirklich nicht schwer zu erstellen. Grüße cad |
Zitat:
Meiner Meinung nach ist der TO auf Grund des installierten Inteaktiven Moduses inkl. Integritätskontrolle vollkommen überfordert und weiss mit den ganzen Meldungen nichts anzufangen. Daher auch mein Rat an dich Interessierter: Dein Rechner ist sauber; richte dir Kis also so ein, dass es dich nicht mehr stört. Werfe Kis noch einmal vom Rechner und installiere es für den "normalen" Benutzer und nicht im interaktiven Modus! Die Integritätskontrolle ist dann u.a. deaktiviert und sollte auch nicht wieder aktiviert werden. Dann arbeitest du eine Zeit ganz normal am Rechner und erstellst Regeln für Anwendungen und vertrauenswürdigen Anwendungen. Blende ebenso Ereignisnachrichten aus die du bekommst und nicht benötigst. Ich stehe gerne zur Verfügung wenn du dazu Fragen hast... immer her damit! Im Kaspersky Forum wirst du im übrigen auch gut beraten! (Jedenfalls von den offiziellen Supportern, siehe dir die jeweiligen Referenzen unter dem Avatar an..) lg Undoreal |
Zitat:
Grüße cad |
naja andauernd ist relativ aber schon ziemlich häufig. Und meistens wenn man garnicht damit rechnet d.h. sind auch so viele Leute verunsichert.. |
Gelöscht Sorry |
Hallo, danke für die Hilfe. Ist immer schwer, wenn man nicht sofort was drauf sagen kann. Habe inzwischen mit Leuten von Kaspersky geredet, die meinten, dass die Meldungen über Selbstschutz absolut harmlos sind und von verschiedenen erklärbaren Dingen kommen. Die Bannermeldungen seien normal, weil alles, was an Reklame rumschwirrt gemeldet und abgewehrt wird, meinten die. Und wenn keine Fehlermeldung kommt, soll ich die Berichte vergessen. Die Googletoolbar könnte mir adware raufladen, sei aber nicht tragisch. Habe sie aber inwzischen in Software gelöscht. Ich lass jetzt alles wie es ist, natürlich bleiben noch Fragen, allgemeiner Art. Ich würde das mit dem Protokoll gern besser verstehen, die Runterladeanweisung von einem von euch liest sich so kompliziert und ich würde mir gern SP2 extern speichern, aber was hülfe das? Man kann es doch so nicht einlesen, oder? Ach ja, die sagten auch, wenn ich das richtig verstand, dass man sich ohne Schutz im I-Net wohl schon was holen kann, aber wenn ich nur auf der Windowsseite war und das runterlud, seien da ja keine Stunden vergangen und außerdem würde dann mein Kaspersky mir was anzeigen. Außerdem ist ja, die Fritzbox dazwischen geschaltet und von daher denke ich, dass die 20 Minuten harmlos waren. Wenn ich die jetzt weiter fragen würde, würden die wohl sagen, ich spinn. Ich muss jetzt einfach glauben, dass wenn keine Meldung kommt, die ganzen Berichte harmlos sind. Danke euch. Viell. ergibt sich noch ein "Gespräch" über die obigen allgemeinen Dinge. Aber kein Muss. Puhh, ist das eine Welt! Muss man ja studiert haben..... oder wisst ihr das schon aus der Wiege? Gruß Interessierter |
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
lieben Gruß Undoreal |
das hast du nett gesagt Undoreal. Danke. Deine eine Frage noch: Falls irgendwann mal ein Neuaufsetzen nötig ist und ich habe mir irgendwo vorher SP2 runtergeladen. Wie gehe ich dann vor: Application CD einlesen und alle Aufforderungen erfüllen und dann einfach die CD mit dem heruntergelaldenen SP2 draufspielen? Nimmt der Computer das dann an, einfach so? Müssen ja Befehle drauf sein, damit das im Computer richtig eingebaut wird oder? Außerdem interessiert mich noch, ob bei Neuaufsetzen also Auslieferungszustand herstellen mittels der Application CD von Medion 2005, alle Laufwerke neu aufgsetzt werden oder nur C? Für was sind die Laufwerke Backup und Recover überhaupt da? Und was kann ich damit anfangen? (genauer wenns geht). Lieber Undoreal, das alles sind keine aktuten Fragen, da du und auch der Experte mir sagte, ich bräuchte jetzt gar nichts tun. Also wenn du keine Zeit und Lust hast, bin dir nicht böse, wenn keine Antwort kommt. Aber da ich ja Interessierter bin, interessierts mich natürlich jetzt für eventuelle künftige Fälle oder überhaupt. Schöne Grüße Interessierter |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:23 Uhr. |
Copyright ©2000-2025, Trojaner-Board