Spyware, die nicht weggeht

Dieses Thema im Forum "Windows" wurde erstellt von Da Only, 27. Oktober 2005 .

Schlagworte:
Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. 27. Oktober 2005
    Ich hab mir durch irgendwas Spyware reingehauen.

    Ich kann mich nocht an/abmelden, aber Desktop und alles andere reagieren nicht, ich hab nur den TaskManager zur Verfügung.

    Sobald ich mich anmelde hab ich ca. 5 Sekunden Zeit bis gar nix mehr reagiert und in diesen 5 Sekunden hab ich versucht versucht allmöglichen Programme zu starten ... Internet kann ich ya soweit auch nutzen, ich muss es halt nur zum starten bringen.

    SpyTrooper,SpyBot, XoftSpy ... alles hab ich schon versucht und ich hab schon weniger Spyware, aber trotzdem geht da nichts mehr.

    Ich hab Ad-Aware und kann auch updaten/scannen, aber am Ende des Scans oder wenn ich auf Stop Scan klicke, reagiert das System gar nicht mehr. Wie kann ich das umgehen um Ad-Aware zu starten!?

    Abgesicherter Modus ... hab ich auch alles hinter mir, ich komm einfach nicht weiter.

    BITTE HELFEN!!!
     
  2. 27. Oktober 2005
    k.

    1. ein virenscan unter einem anderem betriebssystem

    http://www.inside-security.de/INSERT.html

    2. die starteinträge überprüfen

    HijackThis Logfileauswertung

    logfile hier posten
     
  3. 27. Oktober 2005
    Sry, hab das nicht richtig verstanden ...

    zu 1: Soll ich yetzt INSERT v1.3.5a laden? Wenn ya was is das und was soll ich dann damit machen?

    zu 2: Soll ich das Programm Hijack laden? Welches Logfile?


    PS. BIG THX!!!!!!! Echt hammer nett von dir!!!!
     
  4. 27. Oktober 2005
    "insert" ist eine bootcd auf linuxbasis mit dem zu zugriff auf deine platte und eben auch die programme hast ohne dein windows zu starten... einfach runterladen, bei nem zweitrechner oder freund brennen und ab geht die post...

    weißt du wie man starteinträge prüft?
    wenn nein hör gut zu: start - ausführen, dann gib "msconfig" ein (ohne "") und geh auf startup... dann schau was du kennst - das lass drinnen und den rest kickste raus und startest neu...

    hijackthis ist ein programm, dass deinen ganzen pc auf laufende programme scannt und dir davon ne liste macht -> logfile
    und das sollst du hier reinkopieren, damit wir dir sagen können ob da was nicht stimmt

    alles klar? :]

    @spotting: sorry, dass ich dir deinen "schützling" weggeschnappt habe
     
  5. 27. Oktober 2005
     
  6. 27. Oktober 2005
    ich habs nicht runtergeladen, aber es sollte ein iso image sein, das brennste irgendwo auf cd und startest deinen betroffenen pc von der cd aus mit dem tool... verstehste nun was ich meine?
     
  7. 27. Oktober 2005
    Achso ... ok, verstanden!

    Hier mein HiJack Log:

    Logfile of HijackThis v1.99.1
    Scan saved at 23:46:55, on 27.10.2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\alg.exe
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\wdfmgr.exe
    C:\WINDOWS\System32\imapi.exe
    C:\WINDOWS\system32\userinit.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\RUNDLL32.EXE
    C:\Programme\Synaptics\SynTP\SynTPLpr.exe
    C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Programme\MessengerPlus! 3\MsgPlus.exe
    C:\Programme\WinRAR\WinRAR.exe
    C:\PROGRA~1\FIREFOX\FIREFOX.EXE
    C:\DOKUME~1\PLAYAH~1\LOKALE~1\Temp\Rar$EX00.045\HijackThis.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.de
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title =
    O2 - BHO: HomepageBHO - {3bf1f86f-b1a8-489b-8d8b-43781d51411f} - C:\WINDOWS\System32\hpB47C.tmp
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
    O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
    O9 - Extra button: MedionShop - {A6747686-5D18-4BA9-9F88-1D27ACFAAB18} - http://www.medionshop.de (file missing) (HKCU)
    O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
    O15 - Trusted Zone: *.coolwebsearch.com
    O15 - Trusted Zone: *.searchmeup.com
    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{623A2255-0490-4795-8132-44EF5C1142AC}: NameServer = 192.168.2.1
    O20 - Winlogon Notify: st3 - C:\WINDOWS\system32\st3.dll
    O20 - Winlogon Notify: st3i - C:\WINDOWS\q38739945.dll
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
    O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
     
  8. 28. Oktober 2005
    also so auf den ersten blick fällt mir da nichts besonderes auf... die exe's sind soweit in ordnung und am richtigen platz...
    aber vielleicht schaut sich das noch jemand anderer an zb spotting... ne zweite meinung ist immer gut...

    ich werd morgen schauen was sich bei dir tun lässt, falls niemand anderer in der zwischenzeit hilft...

    probier aber dennoch die iso aus!
     
  9. 28. Oktober 2005
    hmmm ok, gehe ich recht in der annahme, dass du eine realtek soundkarte verwendest?

    wenn nicht sind sämtliche einträge von soundman.exe wahrscheinlich böse.

    gehe mal auf
    http://virusscan.jotti.org/de/
    unf lass dort die datei scannen

    ist es ein virus, dann befolge die antivirenanweisungen von zum beispiel sophos, die man zum "W32/Agobot-JS" finden kann (andere virenscanner nennen den anders) das wäre ein backdoor wurm,

    dann

    O2 - BHO: HomepageBHO - {3bf1f86f-b1a8-489b-8d8b-43781d51411f} - C:\WINDOWS\System32\hpB47C.tmp

    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

    O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

    O15 - Trusted Zone: *.coolwebsearch.com

    O15 - Trusted Zone: *.searchmeup.com

    O20 - Winlogon Notify: st3 - C:\WINDOWS\system32\st3.dll

    O20 - Winlogon Notify: st3i - C:\WINDOWS\q38739945.dll

    sind alles fragwürdige dinge.
    sorgen bereiten mir vor allem die in vertrauenswürdige sites (trusted zone) einträge.
    die können von zuvor entfernten trojanern herrühren, oder aber noch auf bestehende hinweisen.

    die einträge winlogon (O20) sind mir unbekannt, hijackthis auch, also fixxen,

    so, aber

    zum fixxen.

    1. in den abgesicherten modus gehen,
    dann erneut scannen, und dann die betroffenden einträge fixxen.
    (alles in O2 und O3 alles in O15 und O20 markieren und fixxen.)
    dann neu starten, erneut scannen, und logfile hier neu posten.

    sry aber das hab ich inzwischen drauf.
     
  10. 28. Oktober 2005
    Weg mit, das ist Spyware!
    Bei den anderen Dingen, die Spotting da gepostet hat, bin ich mir nich sicher, ich weiß ja nich was so alles auf deinem Rechner läuft/installiert ist!

    Also, das Prog "eTrust Pest patrol" hat bei mir bisher bei jedem Problemchen geholfen!
    Meiner Erfahrung nach würd ich mich auch nich auf Ad-Aware verlassen, und mit Hijackthis isses auch nich immer das beste wo du dran sein kannst!
    Da sachste ma "Fixxin" und als Antwort bekommste das alles erfolgreich war, aber wenn du nach einen neustart wieder suchst is nix verschwunden, alles wieder da!

    Wie gesagt, eTrust Pest Patrol hilft bestimmt!
    Wenn nich, Format C: tuts auf alles Fälle !

    Also alternativ Möglichkeit würd ich auch mal bei "Msconfig" --> Startup ALLES deaktivieren!
    Nur mal so zum Test!
    Es muss nich immer unerwünschte Spyware oder ein böser Virus/Wurm sein !

    Grz
    Darkspy
     
  11. 30. Oktober 2005
    Yetzt kann ich nicht mehr ins Internet kommen, aber hab immernoch 5 Sekunden Zeit bis gar nix mehr reagiert ...

    Ich hab alles versucht, alles ... aber nichts klappt.

    Insert hab ich auf CD und auch schon 1x auspropiert, aber ich komm damit nicht klar.

    Kann ich mit Insert/Linus z.B. Ad-Aware oder TuneUp von Windows oder so starten!? [/b]
     
  12. 30. Oktober 2005
    Ich würde dir noch empfelen FireFox zu benutzen nicht I-Exp.
    Und außerdem Install Service Pack 2 !

    greetz. MF
     
  13. 2. November 2005
    k, nun, wie wirst du wieder spyware frei.

    ersteinmal zitiere ich sinngemäß eine aussage von microsoft.

    ein einmal durch malware (viren/trojaner/spyware) befallenes system kann man nur auf eine art und weise wieder sauber bekommen. indem man die gesammte festplatte formatiert, und windows neu installiert.


    nun, das ist jedoch in den meisten fällen nicht möglich, vor allem weil man vorher noch wichtige daten sichern muss ...

    wie solltest du jetzt vorgehen...

    1. lege deine windows cd ins laufwerk, und starte deinen pc von cd.

    2. wähle in der auswahl die option windows reparieren.

    3. folge den anweisungen auf dem bildschirm

    das bringt dir die möglichkeit, die wichtigsten daten zu sichern, oder zumindest dich von deinen daten zu verabschieden.

    4. gehe auf http://www.cbltech.de/daten-schredder.html
    undlade dir einen festplatten shredder (programm selber nicht getestet)
    herunter.

    nutze es, und lösche deine festplatten so, dass es nicht möglich irgendwelche daten wieder herzustellen.

    5. starte deinen pc erneut unter zuhilfe name von deiner windows cd, und installier deinen pc neu.

    wenn du das getan hast, besuche http://www.ntsvcfg.de
    lese, lerne und handele danach.

    dann besorge dir firefox oder opera, und surfe in zukunft mit einem alternativen browser, der kein activec unterstützt.

    mfg spotting
     
  14. 2. November 2005
    das prob hatt ich auch mal ich denke nicht dass ich dir weiter helfen kann aber hab ma n tipp:ich hab die spyware,die bei mir auch net weg ging,so gelöscht,indem ich geguckt hab wo die spyware ist und den ordner gelöscht habe,wenn das nicht geht,versuch die spyware einzeln zu löschen such genau diese datei.nur son tipp,denk aber net dass es funktioniert
     
  15. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.