Hartnäckiger Virus

[Lionelinho]

Sagt mal, wenn ich Anti-Vir durchlaufen lass unds mir anzeigt da gäbe es einen Virus bei der datei 0C.dat oder OC.dat, weiß jetzt nicht genau, und zwar, ADSPY/Wild Tangent.B, was mach ich denn dann? Es heißt nämlich, dass Dateien aus Archiven weder repariert noch gelöscht werden. Spybot und Ad-Aware hab ich auch schon drüberlaufen lassen, aber danach ist das Problem immer noch da.

Nach ewigem Suchen habe ich festgestellt, dass der WildTangent Virus in Dateien meiner Antivir PE zu sitzen scheint. Ich kann allerdings nicht genau zuordnen wo...wenn ich die Dateien (6 AVWIN irgendwas Ordner mit wtvh.dll Dateien) öffne, heißt es bei einigen "FUND! Von Wild Tangent Virus befallen...blabla". Z.T. steht gelöscht, zum Teil nix, dann hab ich die Suche öfter abgebrochen usw..
Jedenfalls wollte ich nun Anitvir deinstallieren, damit wären die infizierten Dateien ja auch erstmal weg. Allerdings zeigt es mir bei dem Vorgang an "...wenn Sie AV deinstallieren gehen alle Logs und infizierten Dateien verloren (soweit ok)...und wenn Sie es wieder installieren wollen, brauchen Sie Administratorenrechte.." Heißt das, das ich das Dingens im Prinzip nicht wieder draufhauen kann anschließend? Oder ginge das dann schon noch per CD nur nicht per Download?? Ich bin verwirrt... Rolling Eyes

Zuvor hatte ich schon so ein WildTangent Removal Programm runtergeladen, das anzeigte, dass alle Komponenten entfernt seien, was aber nicht stimmt...der Virus ist immer noch da. Und mit Hijackthis hatte ich auch gesucht, aber der angegebene Pfad, der gelöscht werden hätte sollen, existierte nicht.

Tja, hab aber keine große Ahnung von der Materie, da wissen einige hier sicher mehr. :icon_sad:

[Lionelinho]

Also hab grad gesagt bekommen, dass das mit den "Adminrechten" bei Neuinstallation jedesmal so sei, und das nix heißt. Sollte ich also bedenkenlos AV de- und wieder neu installieren, in diesem Falle?

[dÜnni]

hi

Wenn ein Antivirenprog einen Virus nicht löschen kann werden die Dateien oft in einen sog. Quarantäneordner verschoben der meistens im selben Ordner wie das Antivirenprog liegt.
Kann es sein das das Programm die infizierte Datei einfach in so einen Ordner verschoben hat und sie deshalb beim scannen wieder findet?
Hast du Anti-Vir schon deinstalliert?
Du solltest auf jeden Fall rausfinden welche Dateien infiziert sind und mal in den Optionen des Programms schauen was er mit Dateien macht die nicht desinfiziert werden können.

Das mit den Adminrechten ist ok, ist bei vielen Programmen der Fall das sie nur mit Adminrechten installiert werden können. Das Standardbenutzerkonto bei Windows hat Adminrechte. Benutzt du das, oder hast du mehrere Konten?

gruss

[Lionelinho]

hi

Wenn ein Antivirenprog einen Virus nicht löschen kann werden die Dateien oft in einen sog. Quarantäneordner verschoben der meistens im selben Ordner wie das Antivirenprog liegt.
Kann es sein das das Programm die infizierte Datei einfach in so einen Ordner verschoben hat und sie deshalb beim scannen wieder findet?

Genau so sieht es aus.

Hast du Anti-Vir schon deinstalliert?

Noch nicht, wollte es aber baldmöglichst vornehmen.

Du solltest auf jeden Fall rausfinden welche Dateien infiziert sind und mal in den Optionen des Programms schauen was er mit Dateien macht die nicht desinfiziert werden können.

Das müsst ich tatsächlich noch tun. Aber offensichtlich verschiebt er, wie du auch bereits meintest, die Dinger einfach in einen seiner eigenen Ordner/Dateien.

Das mit den Adminrechten ist ok, ist bei vielen Programmen der Fall das sie nur mit Adminrechten installiert werden können. Das Standardbenutzerkonto bei Windows hat Adminrechte. Benutzt du das, oder hast du mehrere Konten?

Nein den Standard. Das sollte dann auch kein Problem sein.


Vielen Dank für deine Hilfe :icon_smile:

[dÜnni]

Du brauchst das Programm aber nicht zwangsläufig zu deinstallieren. Versuch einfach die Dateien im Quarantäneordner manuell zu löschen.
Dann holst du dir ein Update und scannst nochmal, am besten auch noch mit einem anderen Scanner wie z.b. Bitdefender (auch vorher updaten).

gruss

[Lionelinho]

Also ich hab das Programm jedoch schon deinstalliert. Nächstes mal versuch ichs manuell. Jetzt zeigt Antivir nix mehr an.


Andere Sache: Woran liegt es, dass Spybot mir stets die gleiche Spywaremeldung anzeigt (desexploit)? Wenn ich einmal scanne und die Dinger entferne, dann müsste das doch erstmal gegessen sein. Wenn ich aber direkt im Anschluss wieder scanne, ist genau das gleiche Problem wieder (oder immer noch) vorhanden. Jedesmal das gleiche, "five problems fixed"...komisch

Und: ist es normal, dass ein Programm wie Spyware Doctor so ziemlich immer ne bestimmte Anzahl befallener Dateien anzeigt, wenn zur gleichen Zeit Spybot, Ad-Aware und Anti-Vir gar nichts anzeigen?

[DragonBay]

Und: ist es normal, dass ein Programm wie Spyware Doctor so ziemlich immer ne bestimmte Anzahl befallener Dateien anzeigt, wenn zur gleichen Zeit Spybot, Ad-Aware und Anti-Vir gar nichts anzeigen?

Ob das normal ist, kann ich dir nicht sagen, aber bei mir ist es genauso. Wenn AntiVir, Ad-aware und Spybot nix anzeigen, findet Spyware Doctor immer trotzdem noch so 100 Sachen, die er löschen möchte. Lebe mit diesem Problem, seit ich Spyware Doctor installiert hab. Ernsthafte Probleme hatte ich bislang noch nicht.

[Lionelinho]

Andere Sache: Woran liegt es, dass Spybot mir stets die gleiche Spywaremeldung anzeigt (DSO exploit)? Wenn ich einmal scanne und die Dinger entferne, dann müsste das doch erstmal gegessen sein. Wenn ich aber direkt im Anschluss wieder scanne, ist genau das gleiche Problem wieder (oder immer noch) vorhanden. Jedesmal das gleiche, "five problems fixed"...komisch

Hab mir jetzt auf Anraten Microsoft Anit Spyware als zusätzliche Komponente runtergeladen. DSO Exploit wird nicht entdeckt, auch nicht im Full System scan. Dafür entdeckt ihn Spybot auch weiterhin, und nach dem 50. Entfernen, kommt beim 51. Mal immer noch die gleiche Meldung: DSO Exploit (5 Entries). Was kann man da noch tun? Kann es sich um einen Fehler von Spybot handeln?

[satan]

Ich hatte auch immer diese 5 Meldungen gehabt, die ich wieder und wieder löschen konnte. Mein Verdacht liegt bei der Firewall (ZoneAlarm), dass die Daten zu der gehörten. Irgendwann habe ich mal den Rechner neu aufgesetzt und die FW zum Schluss installiert. Komischer Weise erhalte ich die Meldungen jetzt nicht mehr.

satan

[Lionelinho]

Falls die Daten wirklich zur Firewall gehören sollten, wären sie ja harmlos, oder?

Neuaufsetzen hatte ich wirklich nicht vor, und schon gar nicht im Internet erst ne neue Firewall ohne Schutz runterladen zu müssen.  :icon_sad:

Sonst hatte noch niemand das Problem? :00000109:

[satan]

Falls du dir eine aus dem Netz saugen willst und du die Alte schon vorher deinstalliert hast, kannst du doch die Windows FW aktivieren. Zur Not reicht die auch aus.

satan

[Lionelinho]

Also Zone Alarm deinstallieren, Windows-Firewall aktivieren, dann wieder online gehen und erneut Zone Alarm (oder gibts da großartig Alternativen?) runterladen und installieren?

Blöde Frage: Wie aktiviere bzw. wo finde ich die Windows-Firewall?

Danke :icon_smile:

[satan]

Aktivieren der FW. Entweder die meldet sich in der Taskleiste (unten rechts) dann drauf cklicken.
Ansonsten: (XP Ansicht!) Start, Systemsteuerung, Sicherheitscenter, Windows - FW, Punkt bei "Aktiv" rein.
Ich für mein Teil fahre mit der ZoneAlarm ganz gut. Die einfache Version bekommst du auch in verschiedenen Zeitungen wie "PC Praxis" gratis.

satan

[Lionelinho]

Danke. Werde ich morgen mal ausprobieren...

[Lionelinho]

Scheint mit dem Spybot zusammenzuhängen, schaut mal...


«Bei dem DSO Exploit handelt es sich um eine Sicherheitslücke im Internet Explorer, diese betrifft auch Outlook und Outlook Express. Microsoft hat diese Sicherheitslücke bereits mit einem Sicherheitsupdate für den Internet Explorer behoben (updaten falls noch nicht geschehen).
Spybot S&D 1.3 macht leider beim Entfernen dieser Sicherheitslücke einen falschen Eintrag, wodurch Spybot diesen DSO Exploit immer wieder findet. Dieses wird mit einem baldigen Update von Spybot S&D behoben werden. Der DSO Exploit stellt aber keine Gefahr mehr dar, wenn die Microsoft Sicherheitsupdates installiert sind, auch wenn Spybot die DSO Exploit Einträge noch findet.
Das Main-Update ist mittlerweile schon als TX-Version verfügbar.
Laden Sie diese Datei herunter, führen Sie sie aus und wählen Sie den Spybot-S&D-Ordner für die Installation. Dann starten Sie den Computer neu, öffnen Spybot-S&D und führen eine Suche durch. Beheben Sie nun die DSO Exploits. In zukünftigen Suchen sollten diese nicht wieder erkannt werden.

Eine weitere Möglichkeit ist, die DSO-Überprüfung auszuschalten. Wählen Sie dazu unter «Modus» den «Erweiterten Modus», dann setzen Sie unter «Produkt-Ausnahmen» den Haken bei «DSO Exploit». So wird beim nächsten Scann der DSO Exploit nicht mehr angezeigt. Natürlich sollten alle Updates von Windows installiert sein. (ba)

[satan]

In der Zwischenzeit ist doch Spybot 1.4 schon draußen. Vielleicht probierst du diesen mal aus.

satan

[Lionelinho]

Ich hab jetzt mal ein Windows- und Service Pack-Update gemacht. Der Virus ist zwar im Moment immer noch da, aber ich aktualisier wirklich jetzt mal den Spybot, mal sehen, was dabei rauskommt...

[satan]

Ich glaub es wurde oben schon erwähnt. Aber wie sieht es aus, wenn du AntiVir, Spybot und ZoneAlarm deinstallierst, über die Suchfunktion alle restlichen Ordner löscht, (vorzugsweise mit einem Shredder "Eraser") 'nen Registry-Cleaner (Advanced Registry Cleaner oder/und XP-Clean - beides Freeware) drüberlaufen  lässt und eventuell die Registry noch manuell nach Einträgen von den Programmen durchsuchst. Dann pack alles wieder drauf, updaten und durchsuchen. Das wäre jetzt mein Vorschlag. Ein bisschen umständlich, radikal und viel, aber vielleicht hilfts. Weiterhin kann ich dir immer noch die "PC-Praxis" empfehlen. Dort ist ein sogenanntes Sicherheitspaket auf der CD mit allen oben genannten Programmen - alle unbegrenzt Freeware. Für andere Zeitungen kann ich jetzt nicht sprechen.

satan

[Lionelinho]

Gott sei Dank, Mann, Mann, Mann...Hab Spybot 1.4 draufgepackt. Der hat nicht nur 60 (!) Einträge gefunden (wo die alte Version nur diesen einen fand), sondern zeigt nun auch nicht mehr den DSO Exploit an. Laut dem Text war dieser nach dem Windows- und Service Pack- Update ja ohnehin nicht mehr gefährlich, aber nun wird er auch nicht mehr angezeigt. Scheint so, als hätte Spybot bei dieser Version bereits den Fehler behoben :icon_biggrin:

Ein dickes Danke Schön für die Mühe, Satan, und auch danke an die anderen.

[satan]

Keine Ursache.
SpyBot 1.4 hat noch eine kleines Feature - den "Tea Timer". Dieser meldet sich bei sämtlichen Veränderungen in der Registry, welche du dann "Erlauben" oder "Ablehnen" kannst. Es kann sei, dass er sich bei dir bekannten Programmen auch meldet. Leider hat das Programm einen Bug, der die Button von "Erlauben" und "Ablehnen" nicht richtig anzeigt. Also merke: Links erlauben, Rechts ablehnen!

satan

[ganymed]

hab mich schon gewundert beim tea timer hab immer das meldungsfenster nur weggekluickt

und man kann ja auch immunisieren über spybot

seitdem hab ich nichts mehr gefunden

[Lionelinho]

Neues kleines Problemchen, vielleicht könnt ihr mir (aus eigener Erfahrung) mehr dazu sagen:

Kriege seit ner Weile ständig ne Meldung von Spybot, wenn ich ICQ starte, aber vorhin auch irgend ne Browsermeldung, also nicht nur bei ICQ.

Folgendes steht so ungefähr da: Spybotmeldung:

Kategorie: System Start up user entry
Änderung: Wert hinzugefügt
Eintrag: ICQ Lite

C:\Programme......exe-trayboo

Anschließend öffnet sich ein Fenster namens "Resident"...: Änderung an der Registrierungsdatenbank wurde untersagt..


Vorhin stand bei der Browsersache statt wie bisher "Eintrag hinzugefügt", "Eintrag gelöscht" - danach kam wieder die Resident-Untersagungs-Meldung.



Ich bin etwas ratlos, ich hoffe, ihr wisst da mehr :00000109:

[Lionelinho]

Hm, hab eben ausversehen nen verdeckten Button gedrückt, bei der Meldung, und dann stand da, dass der Registrierungseintrag erlaubt wurde. Als ich eben ICQ noch mal ausprobiert habe, kam die Meldung nicht mehr...

Stellt sich nur die Frage, ob das jetzt gut oder schlecht ist :idea:

[dÜnni]

Startet sich ICQ jetzt automatisch wenn du Windows startest?

Sieht aus als wollte es das gerne machen ;).

[satan]

Wenn du ICQ oder andere Programme installiert, werden ja auch Einträge in die Registry geschrieben bzw. verändert. In diesem Fall meldet sich Spybot. Ich nehme mal an, dass du ICQ nutzen möchtest. In diesem Fall hätte ich es auch "erlaubt". Bei Programmen, die ich nicht kenne, die ich mir vielleicht irgendwo eingefangen habe, würde ich immer auf ablehnen gehen. Du kannst auch einen Haken in das Kästchen unter erlauben machen, dann fragt Spybot das nächste Mal nicht mehr nach. Es wird dir beim hochfahren des Rechners auf der rechten Seite allerdings immer kurz angezeigt. Das kann mitunter schon nerven.

satan

[Lionelinho]

Hi,

also ICQ startet sich nicht automatisch, aber die Meldung kommt tatsächlich nicht mehr.

Da ich nicht so bewandert in der Materie bin, wusste ich gar nicht, was es bedeutet "wenn ein Registrierungseintrag geändert" wird.

Zu meiner Verteidigung sei noch gesagt, dass ich gar nicht erkennen konnte, was auf den Buttons stand und ich den "Erlaubnisbutton" eher zufällig gedrückt habe. :icon_wink:


Danke für eure Antworten. :icon_smile:

[satan]

Siehe 7 Postings weiter oben! :icon_wink:

satan