Hallo
Seit ich gesteren TrendMicro Upgedatet habe findet der Scanner einen Virus der heißt SPYW_NETVZRVW.B und ist in einer uninstaller Datei die heißt unvise32qt.exe diese liegt wiederum im WinNt ordner.Diese Datei ist von Mindvision und schon drinnen seit ich den PC installiert habe das letzte mal.Kennt vielleicht jemand eine solche Datei und was soll ich mit ihr tun. Ich könnte sie wahrscheinlich auch löschen ohne bedenken, aber wenn ich nicht genau weis für was für ein Programm sie gehört bin ich etwas vorsichtig geworden. Habe das schon mal gemacht und konnte ein Programm später nicht mehr deinstallieren. Könnt ihr mir vielleicht Tips geben?
Virenfrage
-
-
Moin,
ist die Uninstall Datei für QuickTime. Wenn es kein Fehlalarm ist.
Welche QuickTime Version hast Du? Meine ist 6.5.2.
Gruß
Ulrich -
Hallo Ulrich
Ich weis nicht ob das für Quicktime ist, im WinHelpline Forum wurde mir das schon bestätigt das es für Quicktime sei. Meine Version ist die gleiche wie bei dir. Was soll ich deiner Meinung nach mit dieser Datei machen? Ich habe sie momentan in Quarantäne aber das ist für mich jetzt nur mal eine Übergangslösung , ich möchte das schon richtig gelöst bekommen.Habe jetzt nochmal alles durchgesehen und bemerkt das es nicht die Datei wie oben angeben ist, sonder die unvise32.exe.Ich glaube aber schon das es von QuickTime ist.
-
Moin,
hab sie Dir gemailt. Mag sein das sie zu einer alten QuickTime Version gehört. Ich halte es aber für höchst unwahrscheinlich, das Du Deine Datei nicht mit meiner überschreiben kannst. Es ist die einzige dieses Namens die ich im Windows Verzeichnis habe.
Wenn bei meiner Datei auch ein Virus festgestellt wird, dann ist es ein Fehlalarm.
Gruß
Ulrich -
Hi,
eine unvise.exe gibt es bei mir nicht, dafür aber mehrere unwise.exe mit Datum von 03.07.1997 bis 28.09.2001.
Das sind Uninstaller der Fa. Wise.
Sollte es sich bei Dir wirklich um die unvise.exe handeln, so kann das wirklich ein Virus sein.
Happy day vom
Tom -
Moin,
nö Tom, heißen wirklich unvise32.exe und stehen direkt im Windows Stammverzeichnis, sowohl bei XP als auch bei Win98SE.
Auf die unvise32qt.exe verweißt die Verknüpfung des aktuellen QuickTime im Startmenü. Ohne die 32 ist mit Sicherheit von einer alten QuickTime Version.(kleiner Version4)
Gruß
Ulrich -
Hi,
stimmt, ich kam durcheinander, weil zuerst von der "unvise32qt.exe" die Rede war.
Ja, eine "unvise32.exe" ist auch bei mir im Stammverzeichnis.
Ich sprach aber auch von der "unvise.exe". Und insofern stimmt dann die Aussage "könnte ein Virus sein" schon.
Happy day vom
Tom -
Zitat
Original von cybertom
Ich sprach aber auch von der "unvise.exe". Und insofern stimmt dann die Aussage "könnte ein Virus sein" schon.Stimmt so gesehen hast Du Recht.
Gruß
Ulrich -
Hallo
Also die Datei von Ulrich ist auch infiziert. Tom könntest du mir mal die deinige schicken wenn es dir nichts ausmacht? Ist eine Spyware laut Trend Micro. Ich habe jetzt mal diese Datei in Quarantäne genommen, mal schauen was QuickTime dazu sagt. Habe es schon getestet und es funzt alles. Ihr könntet aber mal die Datei genauer anschauen laut meinen Angaben wird sie im Hintergrund gestartet. Kenne mich da nicht so recht aus für was diese Datei überhaupt ist. Vielleicht wisst ihr mehr davon, ihr seit ja alte Hasen im Geschäft. -
Zitat
Moin,
ich zweifle immer noch. In dieser angehängten Datei auch?
Dann dürfte sie nicht ankommen, da diese Mail durch unsereen Trend Mikro Firmenscanner gekommen ist.
Manchmal ist das auch Fehlalarm, weil die Signatur passt. Wie gesagt alle Ulead Programmpatches gehen als
Spyware durch.
Bin gespannt.
Gruss
Ulrichwar meine Antwort darauf an Andreas.
Gruß
Ulrich -
Schau mal auf die TrendMicro Seite , und unter dem oben angebenen Namen des Virus von mir. Dann wirst du fündig.
-
Hi,
meinst Du diese Seite
http://de.trendmicro-europe.co…se/vinfo/encyclopedia.php???
Wenn ich dort "unvise32qt.exe" eingebe, erhalte ich "0 record(s) match your query."
Dito mit "SPYW_NETVZRVW.B"
Wo hast Du die Info her?
Happy day vom
Tom -
Moin,
Deinen Link kann ich nicht ausführen, da ich nicht im Besitz der Enterprise Zugangsdaten, es wird unter Info nichts angezeigt. Bei McAfee ist der angebene Virus nicht bekannt. Dann habe ich mir noch die Mühe gehabt mit dem HouseCall von Trend Mikro mein System zu scannen und nix gefunden. Was anderes habe ich auch nicht erwartet, denn wie kann es sein das unser Firmen Trend Mikro den Mail Versand einer infizierten Datei zuläßt, Dein Trend Mikro mit gleichen Versionsstand aber eine infizierte Datei feststellt?
Das würde ja bedeuten, das die Datei beim Eintreffen bei Dir infiziert wird. Irgendwo bei Chip.de habe ich gelesen das die AdAware Software selber der Schuldige ist. Vielleicht trifft das bei Dir auch zu.
Gruß
Ulrich -
Hi,
Nachtrag:
hier
http://www.trendmicro.com/vinf…W%5FNETVZRVW%2EB&VSect=Snwird die Entfernung beschrieben.
Allerding ist dort von "unvise32.exe" die Rede und nicht von "unvise32qt.exe".Außerdem muss diese Datei (unvise32.exe) durch den "Autorun-Befehl" in der Registry gestartet werden.
Das ist bei mir nicht der Fall..Happy day vom
Tom -
Moin,
Uups hatte gedacht Virus Encyclopedia deckt alles ab.
Und warum findet es dann Trend Micro bei mir bzw. in der Firma nicht?(Der Firmenstand aktualisiert sich selbständig und ist aktuell, das habe ich überpürft, steht ja auch bei Toms Link)
Bei Andreas aber schon? Merkwürdig.
Gruß
Ulrich -
Hi,
>>da ich nicht im Besitz der Enterprise Zugangsdaten,<<
die habe ich auch nicht, dennoch kann ich den Link ausführen.
Dann rufe doch diese Seite auf:
http://de.trendmicro-europe.com/index.phpund dann auf "Security Info" gehen.
Happy day vom
Tom -
Hi,
übrigens: AdAware habe ich auch auf dem PC und erhalte kene Virenwarnung.
Sehr sonderbar.
Tom
-
Moin,
wenn ich das hier richtig verstehe:ZitatDetails:
This spyware arrives on a system from a Web site. Upon execution, it creates the folder NetVizor in the Program Files folder and drops the following files in the Windows folder:
sbrowse.exe
nvvopts.dat
unvise32.exe
It creates the following registry entries that enable its automatic execution at every system startup:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\SharedDLLs
%windows%\unvise32.exe = dword:00000001(Note: %Windows% is the Windows folder, which is usually C:\Windows or C:\WINNT.)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Uninstall\NetVizorIt then monitors the affected user's activity and performs the following commands on the system:
Take screenshots
Run in stealth mode
Log keystrokes
Connect to the internet
Stay memory-resident
Allow remote connectwird die Datei immer "umgeschrieben" spätestens bei Systemstart. Daher ist die Datei immer infiziert, da die richtige immer eleminiert wird, oder?
Gruß
Ulrich -
Hi,
vielleicht sollte Andreas die Datei mal hier prüfen:
http://www.kaspersky.com/de/remoteviruschk.html
Es kann sein, dass er nicht die Original-Datei hat sondern eine gefälschte.
Den Registry Eintrag bzgl. Shared DLL's habe ich auch.
Allerdings mit einem Wert "6", d.h. 6 Programme greifen auf diese Datei zu.Jedenfalls sollte er auch nach dem Ordner "NetVizor" und den Dateien "sbrowse.exe"
und "nvvopts.dat" Ausschau halten.Happy day vom
Tom -
Sorry das ich mich erst jetzt melde war gestern und heute unterwegs. Werde mir aber das mal alles anschauen. Ich kann dem was ihr da schreibt aber nicht so genau folgen muß mich erstmal richtig reinlesen. Mich wundert aber nur warum das meine Scannersoftware Alarm schlägt , ich habe doch nichts anderes gemacht als das Update ausgeführt.