[HaBo]

RemoteC

Anzeige

Seit ich vor ca. 2 Std. aufgehört habe GTA-Tournament zu spielen hab ich ein komisches Symbol in der Systray. Wenn ich draufklicke komm ich zu irgendeiner (angenlichen?) Anti-Spy-Seite. Aja die Quickinfo ist kurz und bündig "Your computer is infected!". Außerdem ist da noch ein 2. Symbol das die ganze Zeit blinkt und ebenfalls nur zu einer suspekten Website führt.
Ich habe natürlich sofort sämtliche Antiviren und Spy Programme drüber rennen lassen. AdAware hat zwar 2 gefährliche Dateine gefunden konnte diese aber nicht löschen. Also hab ich mich selber auf die Suche begeben und habe unter WINDOWS/System32 eine Datei Namens "intel32.exe" gefunden die als Erstelldatum das heutige hat und als Symbol das selbe rote Rufenzeichen das in der Systray ist. Narürlich lässt es die Datei nicht zu manuell gelöscht zu werden
Ich habe schon Spybot, AdAware und BitDefender prüfen lassen und trotzdem hab ich die komischen Symbole immer noch in der Systray.
Aja, als Firewall hab ich ZoneAlarm und OS ist Win XP pro SP2.

Was ist das für ein Virus bzw. Spyware und wie krieg ich das wieder weg??

Im Anhang ist ein Screenshot der Systray mit den beiden komischen Symbolen (das Rufenzeichen im roten Kreis und das Rufzeichen im gelben Dreieck das die ganze Zeit blinkt).

PS: Verzeiht mir Rechtschreibfehler, ich bin schon sehr müde weil ich die ganze Zeit nach Viren gescannt hab.

Edit: das 2te Symbol dürfte zu msole32.exe gehören, ebenfalls in system32 gespeichert.

Angehängte Grafiken

Taskleiste.jpg (1,4 KB, 1144x aufgerufen)

$oul

Versuch mal die Datei im abgesicherten Modus manuell zu löschen. Und guck mal im Autostart nach ob sich da ein entsprechender Eintrag befindet.

mfg Soul

__________________
Der eigene Wille müsste stets ein wenig mächtiger sein, als es das eigene Selbst ist.
Aber Wunschdenken stellt ein Risiko dar und so etwas können wir uns in einem Weltkapitalismus nicht leisten.

Rushjo

Also recht hilfreich wäre noch, wenn Du mal die "suspekte WebSite" beim Namen nennen würdest. Und danach würde ich bei google.de mal mit den Namen der WebSite und dem Begriff "Spyware" suchen. Kommt bestimmt was bei raus. Also ich habe mal nur schnell mit dem "String" und dem "Filenamen" bei google.de gesucht und herausgefunden, dass man dein Spyware Programm (wohl ein Browser Help Object) mit "HijackThis" entfernen können soll.

Quelle 1
Quelle 2

Diese zwei Links sollten Dir beim Entfernen helfen. Der dritte Link hier ist ein sogenannter "Browser Help Object" Scanner, der die gesamten installierten BHO des IE anzeigt. Wobei natürlich nicht jedes BHO zwangsläufig Spyware sein muss.

Hoffe, das hilft Dir erstmal weiter?!

rushjo

SUID:root

Probiere bitte mal die von Rushjo genannten Quellen und die Sache mit HiJackThis zu lösen. Ggf. das Log hier posten.

Wenn das alles nichts hilft, dann versuche mal, ob du hiermit
weiter kommst.

Das ist zwar umfangreich, sollte aber keine Fragen mehr offen lassen.

root

RemoteC

Danke für den Tipp, HijackThis kannte ich noch nicht. Hab sofort einen Scan gemacht und intel32.exe gelöscht. Danach hat sich die Datei auch manuell löschen lassen.

Mein Problem ist aber msole32.exe, das ist ein Backdoor-Trojaner und im Log-File von HijackThis erscheint das als laufender Prozess, aber ich kanns unten wo ich die Häckchen mache nicht auswählen. Hab die Autostart-Einträge geprüft und das ist da nicht drinnen, trotzdem ist jedes mal nach dem Hochfahren ein Prozess msole32.exe am Laufen. Übern Taskmanger kann ich ihn zwar ausschalten, aber löschen lässt er sich nach wie vor nicht.
Trotzdem: die Symbole in der Systray sind verschwunden.
Abgesicherter Modus probier ich gleich, mal schauen ob ich da irgendetwas machen kann!?

Edit: msole32.exe hat sich tatsächlich im abgesicherten Modus löschen lassen, aber bin ich diesen Trojaner jetzt wirklich los? In einem anderen Forum hab ich gelesen, das nur neu aufsetzten wirklich hilft und darauf hab ich echt keinen Bock.

Sven

Ich kann immer wieder nur Microsoft Antispyware empfehlen
http://www.microsoft.com/downloads/d...displaylang=en

__________________
Mein Portfolio
Meine Fotogalerie
best view with open eyes

Rushjo

@Sven

Ich würde mal die Lektüre des Artikels von TheRegister.co.uk empfehlen. Dort steht mal was drin zu "Microsoft Antispyware" und Microsofts Firmenpolitik drin. Microsoft plant derzeit Claria - den weltweit größten Spyware Hersteller - zu kaufen, da Microsoft mittlerweile "gesponserte Werbung" im Browser als "hilfreich" für seine User erachtet. Dazu gab es auch gerade einen kleinen Zwischenfall mit der Definition von Spyware des Herstellers Claria, die Spyware wurde im Rahmen eines Updates der Signaturen (nach dem geplanten Geschäftsdeal) nicht mehr als Spyware erkannt.

Ich weiss nicht, für mich sind damit nicht mehr "trusted". Aber das ist meine Meinung....

rushjo

[1] Quelle "Microsoft and Claria: together at last?", TheRegister.co.uk (english)

Mackz

@ Rushjo: Microsoft klassifiziert Spyware neu
Paranoia ist was feines.

__________________
RL sux big time... auch 2012!

Deleting pr0n is like killing your best friend

[HaBo] bei Facebook - Werde Fan

Rushjo

Meinetwegen nenn es Paranoia. Aber es ist schon extrem seltsam, wenn Microsoft mit ihrer AntiSpyware die Einzigen sind, die plötzlich die Software von Claria in der Bedeutung herabsetzt.

rushjo

RemoteC

Microsoft ist doch der größte SpyWare-Herstller der Welt. Was da im XP für Spyware drinen ist. Schon alleine dieser Fehlermeldungszeugsdingsbums ist meiner Meinung nach Spyware auch wenn die Informationen "vertraulich" (*g*) behandelt werden. Microsoft hat eine enorme Macht, und weiß die sehr wohl auch zu nutzen.