Shice Spyware/Malware

  • Problem

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Shice Spyware/Malware

    Guden 8|

    Ich hab ehrlich gesagt net die perfekte Kategorie gefunden, aber da Spyware ja nur unter Windows vorkommt mach ich es mal hier ^^

    Hab mir irgendso einen Rotz eingefangen.
    Auf dem Desktop ist ein Aktiv Desktop der auf ne HTML-Datei auf der Platte verweist wo dann so was steht: "Protect you against spyware ..."
    Wenn ich zu den Eigenschaften geh und dann zum Reiter "Desktop" schließt sich das Fenster gleich und ne rundll32-Fehlermeldung kommt :o
    Weiterhin kommt rechts unten so ein Warndreieck, das alle paar Minuten so ne shice Meldung macht, die so aussieht:

    Ich kann aber weder im Taskmanager noch in pslist die exe ausfindig machen ! Is net dabei 8|

    Hat jmd n Plan was ich machen könnte ? Das suckt gewaltig !
    [SIZE=1]
    Ein Nickname sagt nichts über die wahren Ziele eines Menschen aus !
    [/SIZE]
    [SIZE=1](+BeefCake) hg du weißt nichmal wo kolumbien liegt ? || (+HG) doch, süd-afrika is schon noch klar
    (+N1GHT-R3NT13R) keiner Lust n bisschen Zombie metzeln ? | (+misfits) doch ich | (+misfits) aber bin erst bei 77 % porno laden
    (@WM-Shrotty) wie kann man alle lieder die man in itunes hat inne txt datei schreiben? || (+LordRiot) notepad[/SIZE]
  • Update:

    AdAware durchlaufen, nix gefunden
    Mit HijackThis hab ich 4 dlls und auch exe-Datein gefunden.
    Nachdem ich das bereinigt habe, is jetzt der Hintergrund und auch die exe-Datei weg (war spoolsvr32.exe - die war aber net zu sehen !).
    Allerdings ist noch das Problem mit dem Desktop-Eigenschaften da. Sobald ich die öffne wird sie automatisch wieder geschlossen !

    Jmd ne Idee dazu ???


    UPDATE 2:

    EXE is gerade wieder gekommen (also das Symbol). Desktop-Bild noch normal
    grrrrrrrrr
    [SIZE=1]
    Ein Nickname sagt nichts über die wahren Ziele eines Menschen aus !
    [/SIZE]
    [SIZE=1](+BeefCake) hg du weißt nichmal wo kolumbien liegt ? || (+HG) doch, süd-afrika is schon noch klar
    (+N1GHT-R3NT13R) keiner Lust n bisschen Zombie metzeln ? | (+misfits) doch ich | (+misfits) aber bin erst bei 77 % porno laden
    (@WM-Shrotty) wie kann man alle lieder die man in itunes hat inne txt datei schreiben? || (+LordRiot) notepad[/SIZE]
  • ich hatte das auch mal, hast du schon nen virencheck drüberlaufen lassen?
    ich kann dir nicht genau sagen wie ich es damals wegbekommen hab aber ich hab exakt die selben sachen versucht wie du (bis auf den virencheck).
    ich glaub ich hab noch meinen temporary internet files ordner gelöscht.
    bei mir hat die anti-spyware aber auch nichts gebracht und ich hab mehrere programme drüberlaufen lassen
  • Klingt sehr ominös das ganze, auf jeden Fall wohl nicht leicht zu finden. Mal einen aktuellen Virenscanner über dein Systemlaufen lassen? Der BitDefender hat bei mir auch so einige AdWare beseitigt mit denen AdAware seine probleme hatte. nun die Spoolsrv32.exe ist eine windows system Datei sie sollte man eigentlich nich löschen XP hat sie also selbständig wieder hergestellt. ich tippe mal evtl auf einen aktuellen Trojaner der sich da eingenistet hat.

    ich würde auch mal im Taskmanager nach verdächtigen einträgen suchen und zwar unter der Registerkarte Prozesse.


    Idee 2: hast du Service Pack 2 installiert? und automatische Updates aktiviert? dann könnte es sich um Microsofts neues Tool zum entfernen bösartiger Software handeln welches bei dir die Fehlermeldungen ausgibt, das sollte sich im Sicherheitscenter deaktivieren lassen.

    Greetings

    BadBOyB
  • SP2 hab ich nicht und will ich auch nicht ;)
    Die Windows-Updates könnte ich mir allerdings mal reinziehen :D

    Hab jetzt Search & Destroy draufgehaun und ma durchgucken lassen. Hat natürlich was gefunden ^^ Allerdings nur Cookies und Reg-Keys, keine Exe ...


    Hier was alles beim Start gebootet wird:

    [SIZE=1]
    Ein Nickname sagt nichts über die wahren Ziele eines Menschen aus !
    [/SIZE]
    [SIZE=1](+BeefCake) hg du weißt nichmal wo kolumbien liegt ? || (+HG) doch, süd-afrika is schon noch klar
    (+N1GHT-R3NT13R) keiner Lust n bisschen Zombie metzeln ? | (+misfits) doch ich | (+misfits) aber bin erst bei 77 % porno laden
    (@WM-Shrotty) wie kann man alle lieder die man in itunes hat inne txt datei schreiben? || (+LordRiot) notepad[/SIZE]
  • Meine oldschool Methode:

    • alle Einträge von Srv32 spool usw und UpdReg deaktivieren
    • Konsole öffnen
    • eingeben:
    cacls c:\windows\updreg.exe /d Jeder
    cacls c:\windows\system32\spoolsrv32.exe /d Jeder

    Außerdem checken:

    • mit dir /o:d c:\windows\*.exe und selbigen Befehl je mit c:\windows\system32 und mit *.dll (also 4 Befehle jeweils) alle ausführbaren Dateien im Win-Verzeichnis suchen und nach Datum sortieren (die untersten Einträge interessieren). Dort nach allem schaun, was nach der Windows-Installation hinzugekommen ist. Was dir nicht passt, wird gleich mit cacls <pfad> /d Jeder bearbeitet. :)

    • außerdem in der Registry unter HKCU und HKLM in \Software\Microsoft\Windows\CurVer\Explorer\Browser Helper alle Einträge anschaun und die dort zu findenen GUIDs (diese {7377a-blabla} Dinger) in HKCR\CLSID suchen und die zugehörigen exen bzw dlls überprüfen (zugehörig = stehen dort als Eintrag drinne)

    Mehr fällt mir auf die schnelle auch nicht ein. Naja vielleicht noch Startup Scripts (am besten in gpedit.msc schaun - allerdings kenne ich nichts was sich dort einnistet - warum weiß ich auch nicht, egtl keine schlechte Sache um unenddeckt zu bleiben :D)

    Ich weiß, wirdn hartes Stück Arbeit, aber wie du selbst sagst ist der Sack nicht so einfach zu vertreiben.

    Versuchs mal. ;)
  • Die spoolsrv32.exe gehört da wohl nicht hin. Der Druckerspool heisst spoolsv.exe
    Ausserdem kannst du alles aus der run und der runonce rausschmeissen. davon wird NICHTS vom System benötigt.
  • Nun ja, ALLES ist übertrieben - einige Programme sind ja erwünscht, wie z.B. die Stardock Proggies (Windows Style, echt gutes Prog :D) oder die Audio-Tools von Creative oder ctfmon (kleines Tool von MS Office, stört keinen :)).
  • cacls c:\windows\updreg.exe /d Jeder
    cacls c:\windows\system32\spoolsrv32.exe /d Jeder

    Das habe ich ausgeführt ;)
    Nach nem Neustart jetzt sagt er er hätte nicht die Berechtigung die Datei auszuführen oder so ^^
    Auf jeden Fall is das Prog weg, der Desktop-Shit auch und die Einstellungen funzen wieder :D JUHU ^^
    [SIZE=1]
    Ein Nickname sagt nichts über die wahren Ziele eines Menschen aus !
    [/SIZE]
    [SIZE=1](+BeefCake) hg du weißt nichmal wo kolumbien liegt ? || (+HG) doch, süd-afrika is schon noch klar
    (+N1GHT-R3NT13R) keiner Lust n bisschen Zombie metzeln ? | (+misfits) doch ich | (+misfits) aber bin erst bei 77 % porno laden
    (@WM-Shrotty) wie kann man alle lieder die man in itunes hat inne txt datei schreiben? || (+LordRiot) notepad[/SIZE]