Entfernung Spyware Protect

Diskutiere Entfernung Spyware Protect im Viren, Würmer, Spyware Forum im Bereich Computerprobleme; Hallo Mein Arbeits Kollege hat sich gestern Abend das Programm Spyware Protect eingefangen. Wie ist weiter vorzugehen? Als AV Programm hat er...

  1. #1 stockcarpilot, 24.11.2010
    stockcarpilot

    stockcarpilot
    Moderator

    Dabei seit:
    20.06.2008
    Beiträge:
    4.140
    Zustimmungen:
    8
    Ort:
    NRW
    Hallo

    Mein Arbeits Kollege hat sich gestern Abend das Programm Spyware Protect eingefangen.
    Wie ist weiter vorzugehen? Als AV Programm hat er Avast. Sollte er in den abgesicherten Modus und dann mit Avast einen Bootscann machen?
    Oder Malwarebytes im abgesicherten Modus scannen? Logfile von HijackThis erstellen? Betriebssystem ist XP.

    Gruß stockcarpilot
     
  2. Anzeige

    schau mal hier: Windows-Wartungs-Tool. Viele Probleme lassen sich damit einfach beheben. Oftmals ist der PC dann auch schneller!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  3. Sigi

    Sigi
    Moderator

    Dabei seit:
    14.08.2008
    Beiträge:
    8.341
    Zustimmungen:
    2
    Ort:
    Schillsdorf
    Hi,
    er soll erst mal mit Malwarebytes im normalen Modus(!) den vollständigen Scan machen.
    Avast kann er erst mal vergessen. Wenn MWB etwas findet, natürlich erntfernen und neu booten. Dann nochmal den QuickSan zur Prüfung.
    Es gibt danach noch einiges zu tun:
    -den Systemstart untersuchen (Windwostaste und R>msconfig eingeben und mit Enter bestätigen. Dann auf den reiter Systemstart und alles weghaken bis auf Avast und eventuell den WLAN-Adapter, der zwingend mitgeladen werden muss, weil er sonst nicht mehr ins Netz kommt. Aber alles ander kann getrost weg.
    - Systemsteuerung>System>Systemwiederherstellung
    Die Systemwiederherstellung daktivieren, neu starten und dann dieselben Schritte wieder machen und den Haken bei "Systemwiederherstellung deaktivieren" wieder entfernen. Dann ist er sicher, dass auch in den gesicherten Dateien der Wiederherstellung kein Virusdateien mehr sind.
     
  4. #3 stockcarpilot, 24.11.2010
    stockcarpilot

    stockcarpilot
    Moderator

    Dabei seit:
    20.06.2008
    Beiträge:
    4.140
    Zustimmungen:
    8
    Ort:
    NRW
    Hallo Sigi

    An Malwarebytes kommt er im normalen Modus nicht mehr heran. Das Fake Programm blockiert alles. Deswegen bin ich auf den Gedanken mit dem abgesicherten Modus gekommen.
    Avast hat ja die Möglichkeit einen Boot Scann machen zu lassen, bevor Windows hochfährt. Ist das eine Lösung?

    Gruß stockcarpilot
     
  5. Sigi

    Sigi
    Moderator

    Dabei seit:
    14.08.2008
    Beiträge:
    8.341
    Zustimmungen:
    2
    Ort:
    Schillsdorf
    Hallo,
    nein das glaube ich nicht. Aber wenn er noch in den abgesicherten Modus kommt, kann dert dort aoch den Scan machen.
    Sonst hat doche Leonixx so viele Dinge in seiner Signatur. Eventuell ist dort ein Programmm dabei, dass einen Bootscan erlaubt. Sonst gib ihm doch mal eine PN. Ich bin nicht so der Virusexperte - GsD!:)
     
  6. #5 Leonixx, 24.11.2010
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.904
    Zustimmungen:
    0
    Ort:
    NIX DO
    Hi,

    Post 2 abarbeiten. rskill.com anwenden um bekannte Malwareprozesse zu stoppen. Anschließend Malwarebytes starten. Wenn sich die Datei nicht starten lässt, dann in den Programmordner von Malwarebytes navigieren, die mbam.exe umbenennen in mbam.com. Dann sollte sich Malwarebytes starten lassen. Komplett scan durchlaufen lassen und anschließend Logfile posten.

    http://www.trojaner-board.de/84400-your-protection-entfernen.html

    Dann geht es weiter.
     
  7. #6 stockcarpilot, 24.11.2010
    stockcarpilot

    stockcarpilot
    Moderator

    Dabei seit:
    20.06.2008
    Beiträge:
    4.140
    Zustimmungen:
    8
    Ort:
    NRW
    Hallo Leonixx!

    Alles klar. Werde ihm gleich eine Mail senden und bin mal gespannt morgen auf das Ergebnis.

    Gruß stockcarpilot
     
  8. #7 Leonixx, 24.11.2010
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.904
    Zustimmungen:
    0
    Ort:
    NIX DO
    Hi,

    poste mal, was sich tut. Am besten wäre aber wenn dein Kumpel sich hier anmelden würde, damit man zeitnah verschiedene Dinge abarbeiten kann.

    Gruss
     
  9. #8 stockcarpilot, 24.11.2010
    stockcarpilot

    stockcarpilot
    Moderator

    Dabei seit:
    20.06.2008
    Beiträge:
    4.140
    Zustimmungen:
    8
    Ort:
    NRW
    Hallo

    Er hat Malwarebytes laufen lassen und das Schadprogramm wurde entdeckt und entfernt. Nun will er Sigi`s Vorschlag weiter abarbeiten. Das Programm blockiert im Moment nichts mehr. Werde Morgen mit ihm wegen dem anmelden drüber sprechen.

    Gruß stockcarpilot
     
  10. #9 Leonixx, 24.11.2010
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.904
    Zustimmungen:
    0
    Ort:
    NIX DO
    Erstmal RSIT anwenden und beide Logs hier posten. Ausserdem soll er das Logfile von Malwarebytes hier posten. Nur weil Malwarbytes Dateien gelöscht hat, kann noch ein Rootkit im Hintergrund schlummern .
     
  11. #10 stockcarpilot, 24.11.2010
    stockcarpilot

    stockcarpilot
    Moderator

    Dabei seit:
    20.06.2008
    Beiträge:
    4.140
    Zustimmungen:
    8
    Ort:
    NRW
    Hallo

    OK, alles klar. Habe ihm gerade einen Link zu diesem Threat geschickt, dass er sich hier anmeldet und weiter versorgt wird.

    Gruß stockcarpilot
     
  12. Sigi

    Sigi
    Moderator

    Dabei seit:
    14.08.2008
    Beiträge:
    8.341
    Zustimmungen:
    2
    Ort:
    Schillsdorf
    Und wie nennt er sich, damit wir ihn schnell identifzieren könnne?
     
  13. #12 elesar_07, 25.11.2010
    elesar_07

    elesar_07 Neuer Benutzer

    Dabei seit:
    25.11.2010
    Beiträge:
    6
    Zustimmungen:
    0
    Hallo Sigi

    mir ist das ganze passiert.
    Ich hab hier mal das Log-File vom MWB eingestellt. Nach der Beseitigung habe ich zur Zeit keine Probleme arbeite aber eure Tips noch ab.
    Von der Optik sah der Trojaner genau so aus wie "Your Protection"
    im Link von Leonixx auf Trojaner-Board
     

    Anhänge:

  14. #13 elesar_07, 25.11.2010
    elesar_07

    elesar_07 Neuer Benutzer

    Dabei seit:
    25.11.2010
    Beiträge:
    6
    Zustimmungen:
    0
    So

    RSIT hab ich auch durchlaufen lassen.
     

    Anhänge:

    • info.txt
      Dateigröße:
      41,6 KB
      Aufrufe:
      18
    • log.txt
      Dateigröße:
      33,5 KB
      Aufrufe:
      17
  15. Sigi

    Sigi
    Moderator

    Dabei seit:
    14.08.2008
    Beiträge:
    8.341
    Zustimmungen:
    2
    Ort:
    Schillsdorf
    Da muss Leonixx sich melden. Ich sehe da überhaupt nix außer eine Menge Zeilen :D Aber wie gesagt, ich bin auch nicht der Virus-König..

    Aber herzlich willkommen bei uns im Forum und "bei Freunden" (wenn Du so willst) !
     
  16. #15 elesar_07, 25.11.2010
    elesar_07

    elesar_07 Neuer Benutzer

    Dabei seit:
    25.11.2010
    Beiträge:
    6
    Zustimmungen:
    0
    Erst schon mal herzlichen Dank für die Hilfe.

    Man kann ja nicht alles wissen aber wenn da welche sind die sich besser auskennennen, kann sich nur freuen wenn man die zur Hand hat....
    UPSSS...
    jetzt hat sich grade Avast gemeldet das er einen Rootkit geblockt hat.
    Da muss ich nach sehen...
     
  17. #16 Leonixx, 25.11.2010
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.904
    Zustimmungen:
    0
    Ort:
    NIX DO
    Hi und Willkommen,

    sehe keine Anzeichen, heißt aber nichts. Wie schon vermutet schlummert noch ein Rootkit auf dem System.

    Online Scan mit Eset durchführen. Anleitung findest du hier. Poste das Logfile.

    Kostenlose Online Scanner
     
  18. #17 elesar_07, 26.11.2010
    elesar_07

    elesar_07 Neuer Benutzer

    Dabei seit:
    25.11.2010
    Beiträge:
    6
    Zustimmungen:
    0
    Hallo Leonixx

    ich habe gerade wie in dem Link beschrieben versucht einen Online-Scan durchzuführen. Das klappt nicht.
    Jeder dieser Scaner auf der Seite werden nach einer gewissen Zeit von Windows wegen einem "schadhaften oder bösartigem AddOn" zurückgewiesen.
    Was mach ich falsch?
     
  19. #18 Leonixx, 26.11.2010
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.904
    Zustimmungen:
    0
    Ort:
    NIX DO
    Die Anleitung genau abgearbeitet?

    Wenn es nicht funktioniert, dann lade dir Emisoft Free Emergency Kit. Auf USB Stick kopieren, einstecken, Setup starten, updaten und Rechner scannen.

    Emsisoft Free Emergency Kit
     
  20. Anzeige

    Es ist generell erstmal empfehlenswert alle ggf. veralteten oder fehlerhaften Treiber zu scannen und auf neue zu aktualisieren. Hier kannst du einen Treiber-Scanner downloaden. Das erspart oftmals viel Ärger und hilft gegen diverse Probleme.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  21. Sigi

    Sigi
    Moderator

    Dabei seit:
    14.08.2008
    Beiträge:
    8.341
    Zustimmungen:
    2
    Ort:
    Schillsdorf
    Du müsstest mal dringend den Systemstart bereinigen! Es wird zu viel Mist mitgeladen, was für den Start von Windows nicht nötig ist.

    ---
    O4 - HKLM\..\Run: [avast5] "C:\Programme\Alwil Software\Avast5\avastUI.exe" /nogui
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
    O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam\Quickcam.exe" /hide
    O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
    O4 - HKLM\..\Run: [Dit] Dit.exe
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [CHotkey] zHotkey.exe ????
    O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
    O4 - HKLM\..\Run: [SHIWebOnDiskManager] "C:\Programme\SHIWebOnDiskManager\SHIWebOnDiskManager.exe"
    O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

    ----

    Alles weghaken, bis auf Avast und Ctfmon (das kommt immer wieder und müsste anders deaktiviert werden. Stört aber nicht )

    Wie kommst zum Systemstart?:
    Windowstaste und R drücken>msconfig eintippen und mit Enter bestätigen. Dann im neuen Fenster auf den Reiter "Systemstart"
     
  22. #20 elesar_07, 28.11.2010
    elesar_07

    elesar_07 Neuer Benutzer

    Dabei seit:
    25.11.2010
    Beiträge:
    6
    Zustimmungen:
    0
    Hallo Leonixx

    Ich habe Emsisoft durchlaufen lassen. Das hat problemlos geklappt. Der hat auch noch etwas gefunden. Wobei da viele Tracer (Cookies) bei waren. allerdings auch Trojaner. Ich hab die Reports angehängt.
    Was hälst du davon?
     

    Anhänge:

Thema: Entfernung Spyware Protect
Besucher kamen mit folgenden Suchen
  1. shiwebondiskmanager

    ,
  2. was ist shiwebondiskmanager

    ,
  3. SHIWebOnDiskManager entfernen

    ,
  4. was SHI WebonDiskManager,
  5. anwendungen shiwebondiskmanager,
  6. shiwebondiskmanager systemstart,
  7. shiwebondiskmanager.exe deaktivieren ,
  8. ?shiwebondiskmanager
Die Seite wird geladen...

Entfernung Spyware Protect - Ähnliche Themen

  1. bestimmte Icons aus dem Infobereich per GPO entfernen

    bestimmte Icons aus dem Infobereich per GPO entfernen: Gibt es die Möglichkeit bestimmte Icons per GPO aus dem Infobereich (Taskleiste) zu dauerhaft zu entfernen. Ich möchte gern verwehren, das in den...
  2. Einzelne Einträge aus Updateverlauf entfernen.

    Einzelne Einträge aus Updateverlauf entfernen.: Nabend Boardies, gibt es eine Möglichkeit in Windows 10 einzelne Einträge aus dem Updateverlauf zu löschen? Ich weiß nur davon, dass man den...
  3. Splitter entfernen/Adapter für Western 6/2 Stecker

    Splitter entfernen/Adapter für Western 6/2 Stecker: Hallo liebe Community, Nachdem ich mir auf anraten der Telekom meinen Anschluss auf IP, sprich Magenta, habe umstellen lassen brauche ich...
  4. mystartsearch entfernen

    mystartsearch entfernen: Moin! Ich habe jetzt W7 neu aufgesetzt. Jetzt hat sich bei mirMystartsearch eingenistet und ich werde es nicht wieder los. Wenn man über...
  5. fvd product search bar entfernen

    fvd product search bar entfernen: Hey ich hab das Problem bei meinem PC das wenn ich im Firefox eine Seite aufmache ich unter den Bildern immer die fvd product seracht bar...