Hilfe, Spyware!?

GabiB

Schatzjäger

Posts: 2,111

Date of registration: Nov 9th 2003

1

Saturday, April 9th 2005, 2:12pm

Ich weiss net recht, obs hier oder ins Technical gehört. Bitte ggf. verschieben - @Mods.

Seit drei Tagen erhalte ich auf dem zweiten PC (erst drei Wochen alt und völlig neu eingerichtet) sofort nach dem Einschalten folgende Meldung. Bild1. Der normale Windowsdesktop wird nicht angezeigt (befindet sich aber im Hintergrund) und das Fenster führt zu einer Suchseite mit Spyware-Programmen. (Spybot und ad-aware führen auch zu keinem Ergebnis. :heul:

)

Desweiteren werden in den Favoriten einige Sites angezeigt, die nie angesurft wurden und die trotz Löschens beim Neustart des Explorers wieder in die Favoriten eingereiht werden. Bild2 :scratch:

Ich weiss nimmer weiter. Hat jemand von euch ne Lösung?

edit: Der Explorer wird auch geändert, indem die eingestellte Startseite (derzeit. www.sport1.de) gelöscht und dafür about:blank angezeigt wird.

Gute Mädchen kommen in den Himmel, böse überall hin! Sprichwort

This post has been edited 2 times, last edit by "GabiB" (Apr 9th 2005, 2:18pm)

Go to the top of the page

FrankB

Boardsmutje

Posts: 953

Date of registration: Dec 14th 2003

2

Saturday, April 9th 2005, 2:29pm

Ich habe sowas noch nie gehabt, aber es sieht nach einem Browser-Hijack aus. Schau mal auf dieser Seite nach, ob die Beschreibung auf Dich zutrifft. Ich würde erst mal HijackThis ausprobieren; falls das nicht ausreicht, versuche es mit einem der weiteren Tools, die auf trojaner-info.de angeboten werden (es gibt dort auch ein Forum...).

Und... ich würde auf Firefox, Opera oder Mozilla umsteigen. Mein Favorit ist derzeit ja Firefox - zusammen mit der Adblock-Extension macht das Surfen sehr viel mehr Spaß als mit dem IE.

Go to the top of the page

Sir Henry

Pensionierter Oberbordschrauber

Posts: 1,710

Date of registration: May 24th 2003

3

Saturday, April 9th 2005, 2:49pm

Wenn das gleich nach dem Einschalten auftritt, hat das doch erstmal mit dem Browser nichts zu tun, denke ich mal. Oder wird dein Browser automatisch gestartet?

Ruf doch mal Start/Ausführen/msconfig auf, unter dem Reiter "Systemstart" wirst du wahrscheinlich den Übeltäter entdecken und das Häkchen entfernen können.

Cheers, Sir Henry
Schon im Anno-Pool vorbeigeschaut?

Go to the top of the page

Bomi

Meister der Kleintools

Posts: 3,175

Date of registration: May 2nd 2003

4

Saturday, April 9th 2005, 7:04pm

RE: Hilfe, Spyware!?

Quoted

Original von GabiB
Seit drei Tagen erhalte ich auf dem zweiten PC [...] sofort nach dem Einschalten folgende Meldung. Bild1.

Sch**ss Teil, das - hatten wir auf einem der PCs der Kidds - trotz speziell eingeschränktem Internet-Benutzerkonto ;-) Das Teil nistet sich so hartnäckig ins System ein, dass ich schließlich einfach das gesamt Konto gekillt und neu angelegt habe - das geht aber nicht mit jedem Konto, da dabei sämtliche benutzerspezifischen Datern den Bach runtergehen. Wie der Sir FrankB schon sagt: HijackThis im abgesicherten Modus laufen lassen, der sollte das inzwischen auch rauskriegen. Ansonsten http://www.dialerschutz.de oder http://www.computerbetrug.de - da werden Sie geholfen...

Und für die Zukunft: BHODemon, PopOops, Spy Bot S&D Resident und AntiVir einrichten, dann kannste auch mit dem IE einigermaßen beruhigt ins Internet...

ATH, Bomi

Contests: 2008 BEC BOC 1602 | 2007 BEC BOC | 2006 BEC BOC | 2005 BEC BOC | 2004 BEC

ANNOTunes • ANNOTools • Metropolaris, Georgolaris • 1602-Zeugs • 1503-Szenarien • Dieter's 1503-Editor

This post has been edited 1 times, last edit by "Bomi" (Apr 9th 2005, 7:06pm)

Go to the top of the page

Bomi

Meister der Kleintools

Posts: 3,175

Date of registration: May 2nd 2003

5

Saturday, April 9th 2005, 7:16pm

Quoted

Original von Sir Henry
Wenn das gleich nach dem Einschalten auftritt, hat das doch erstmal mit dem Browser nichts zu tun, denke ich mal. Oder wird dein Browser automatisch gestartet? Ruf doch mal Start/Ausführen/msconfig auf, unter dem Reiter "Systemstart" wirst du wahrscheinlich den Übeltäter entdecken und das Häkchen entfernen können.

Dieses Sch**ssteil schaltet den interaktiven Desktop ein und legt eine riesige HTML-Seite über den gesamten Desktop - egal was Du machst, Du gehst dem Teil immer in die Falle. Außerdem nistet der sich an so vielen Stellen im System ein, dass es fast einfacher ist, die Kiste neu aufzusetzen. Hat mich 'ne ganze Nacht und 'n halben Vormittag gekostet - in der Zeit hat der Spruch "Wenn ich den Kerl erwische, reiß ich ihm die Eier raus" 'ne ganz neue Bedeutung für mich erlangt :ohoh:

ATH, Bomi

Contests: 2008 BEC BOC 1602 | 2007 BEC BOC | 2006 BEC BOC | 2005 BEC BOC | 2004 BEC

ANNOTunes • ANNOTools • Metropolaris, Georgolaris • 1602-Zeugs • 1503-Szenarien • Dieter's 1503-Editor

Go to the top of the page

GabiB

Schatzjäger

Posts: 2,111

Date of registration: Nov 9th 2003

6

Sunday, April 10th 2005, 2:43pm

Quoted

Original von Bomi

Dieses Sch**ssteil schaltet den interaktiven Desktop ein und legt eine riesige HTML-Seite über den gesamten Desktop - egal was Du machst, Du gehst dem Teil immer in die Falle.

Diese Seite hab ich inzwischen erfolgreich gekillt, indem ich sie über die Eigenschaften von Anzeige/Desktob/web gekillt habe. Das andere Prob inclusive der Warnung vom Virenscanner besteht allerdings immer noch. Der VS meldet Infektion durch eine Datei Namens prvdi.exe mit fehlgeschlagener Entfernung.

Trotzdem erstmal Dank an alle Berater. :blumen:

Gute Mädchen kommen in den Himmel, böse überall hin! Sprichwort

Go to the top of the page

W-O-D

Team AnnoZone

Posts: 7,128

Date of registration: Feb 3rd 2003

7

Sunday, April 10th 2005, 8:32pm

Lies dir diesen Thread mal durch @ GabiB,
das Teil sollte doch wegzukriegen sein.

Ich will meinen Scout zurück :keule:

Go to the top of the page

GabiB

Schatzjäger

Posts: 2,111

Date of registration: Nov 9th 2003

8

Tuesday, April 12th 2005, 2:06pm

So, Zwischenmeldung. Allmählich kämpf ich mich durch die Trojanermeldungen des PC-Cillin durch und hab bisher 36 dieser Dinger gefunden. Eine Datei Namens cruu32.exe lies sich allerdings nur per Hand entfernen. dem Virenscanner hat sie sich entgegngestellt. :evil:

Gute Mädchen kommen in den Himmel, böse überall hin! Sprichwort

Go to the top of the page

Bomi

Meister der Kleintools

Posts: 3,175

Date of registration: May 2nd 2003

9

Tuesday, April 12th 2005, 4:53pm

Quoted

Original von GabiB
hab bisher 36 dieser Dinger gefunden

Äh, alle auf einem Rechner? :scratch:

ATH, Bomi

Contests: 2008 BEC BOC 1602 | 2007 BEC BOC | 2006 BEC BOC | 2005 BEC BOC | 2004 BEC

ANNOTunes • ANNOTools • Metropolaris, Georgolaris • 1602-Zeugs • 1503-Szenarien • Dieter's 1503-Editor

Go to the top of the page

Sir Henry

Pensionierter Oberbordschrauber

Posts: 1,710

Date of registration: May 24th 2003

10

Tuesday, April 12th 2005, 5:10pm

RE: Hilfe, Spyware!?

Quoted

erst drei Wochen alt und völlig neu eingerichtet

Quoted

hab bisher 36 dieser Dinger gefunden

Ich komm da auch noch nicht drüber weg... wie schafft man das?

Cheers, Sir Henry
Schon im Anno-Pool vorbeigeschaut?

Go to the top of the page

GabiB

Schatzjäger

Posts: 2,111

Date of registration: Nov 9th 2003

11

Wednesday, April 13th 2005, 2:59pm

Also, um es genauer zu sagen. Es handelt sich um Den TROJ_DLOADER:GE und der Virenscanner hat folgende Dateien gefunden und in Quarantäne gaschickt.

C:\WINDOWS\adduy.exe
C:\WINDOWS\appds.exe
C:\WINDOWS\atllc.exe
C:\WINDOWS\crrd32.exe
C:\WINDOWS\cruu32.exe
C:\WINDOWS\d3a32.exe
C:\WINDOWS\d3vj32.exe
C:\WINDOWS\ipmj32.exe
C:\WINDOWS\javamu.exe
C:\WINDOWS\mfcag.exe
C:\WINDOWS\msrw32.exe
C:\WINDOWS\ntyi.exe
C:\WINDOWS\ntzd.exe
C:\WINDOWS\sdkjr.exe
C:\WINDOWS\sysez32.exe

C:\WINDOWS\system32\addop.exe
C:\WINDOWS\system32\addux.exe
C:\WINDOWS\system32\addzn.exe
C:\WINDOWS\system32\apidn32.exe
C:\WINDOWS\system32\atlps.exe
C:\WINDOWS\system32\cryn.exe
C:\WINDOWS\system32\d3ga32.exe
C:\WINDOWS\system32\icef.exe
C:\WINDOWS\system32\javamc.exe
C:\WINDOWS\system32\lpmn.exe
C:\WINDOWS\system32\mfcem32.exe
C:\WINDOWS\system32\mfcyv32.exe
C:\WINDOWS\system32\netgs32.exe
C:\WINDOWS\system32\msvl32.exe
C:\WINDOWS\system32\netmp32.exe
C:\WINDOWS\system32\ntez32.exe
C:\WINDOWS\system32\ntxs32.exe (wollte es eigentlich zweispaltig schreiben, geht aber wohl net)

Dazu kommen noch die Dateien prvdi.exe (TROJ_SMALL.UP) und bzjvs.dll (auch irgend son Biest).

Den Leuten gehört der Kopf abgeschlagen. Die Arbeit zur Einrichtung des PC war schon heftig genug... und nu sitz ich hier schon tagelang dran und überleg schon, ob ich net besser komm, wenn ich es neu mache. :evil:

Dabei läuft die Firewall von PC-Cillin und die des Routers.

Allerdings ärgere ich mich auch über mich selber, hab ich doch bisher immer verschoben, ein Backop von C zu machen. Würde mir jetzt ev. viel ersparen.

Gute Mädchen kommen in den Himmel, böse überall hin! Sprichwort

Go to the top of the page

W-O-D

Team AnnoZone

Posts: 7,128

Date of registration: Feb 3rd 2003

12

Wednesday, April 13th 2005, 3:29pm

So einen Loader muss man aber (bewusst oder unbewusst) aktiviert haben,
ansonsten kamman sich doch kaum soviel reindonnern, oder ? :scratch:

Wenigstens rausgekriggt von wo der kam ?

Edit:
Ein Backup nütz nur dann was wenns nicht über die Windooffunktion gemacht wurde,
die Autosicherung wird auch von den Dingern betroffen, einmal drinn holt sich Windoof das immer wieder zurück. :tischb:

Ich will meinen Scout zurück :keule:

Go to the top of the page

GabiB

Schatzjäger

Posts: 2,111

Date of registration: Nov 9th 2003

13

Wednesday, April 13th 2005, 3:40pm

Ne, nicht rausbekommen. Ist net mein PC, ich darf nur ran, wenn die Kacke am Dampfen ist.

Ob nun bewusst oder net, kann ich auch nicht sagen. Mein Mann ist nur Knöpfendrücker. Ich vermute mal, dass es über die Startseite www.Sport1.de gekommen ist. Die ist ja vom DSF und was man da so in der Nacht sieht... legt für mich zumindest die Vermutung nahe, bei den Linkeinträgen.

Gute Mädchen kommen in den Himmel, böse überall hin! Sprichwort