schnauze voll von spyware

[lost]

Norton,Ad-aware und Spybot helfen mir nichts,obwohl ich alles update löscht es ca 20 bedrohliche sachen nicht.

Keiner dieser Programme schafft es.
Ich muss es manuell machen. Dabei vergehen Stunden und ich habe nur ca 3 geschafft


Alle Sicherheitsmaßnahmen hab ich schon unternommen.
Ohne Erfolg.


Könnt ihr mir ein Programm empfehlen, was nach dem finden auch mit Sicherheit löscht??

 

[Mackz]

Probier mal Microsoft Antispyware: http://www.microsoft.com/athome/security/spyware/software/default.mspx

Das schlägt in Sachen Erkennung und Beseitigung der Sypware die beisherigen Produkte wie z.b. Adaware teilweise um Längen.

Hast du schonmal im abgesicherten Modus gestartet und dort einen Scan durchgeführt?
Um welche Spyware handelt es sich genau?

 

[SUID:root]

Alternativ zu Mackz Vorschlag kannst du einen Teil per Hand löschen.
Wichtig ist, dass du weißt, welche Prozesse Spyware sind.

In der Kurzform:

Beende deine Systemwiederherstellung (Arbeitsplatz, Rechtsklick, Eigenschaften, Registerkarte Systemwiederherstellung, Überwachung auf allen Laufwerken deaktiveren)
Lade dir Prozess-Radar runter. www.delphi-soft.de

Boote in dem abgesicherten Modus.
Lösche alle Temp-Files sowie Temporary Internet Files, trenne ggf. noch deine Internetverbindung um das Nachladen neuer Spyware zu verhindern.

Öffne MSConfig (Start, ausführen, msconfig)
Sieh nach welche Prozesse nicht bekannt sind.
Beende die Prozesse, sofern möglich mit Prozess-Radar und lösche die Dateien per Hand.

Deaktivere über MSConfig den Start der Programme

Starte danach Spybot, cleane und imunisiere dein System. Boote neu in den abgesicherten Modus.

Sollte noch immer Spyware gefunden werden, wiederhole die Vorgänge. (also wieder MSConfig, ..., )

Gruss

root

 

[Sven]

Original von Mackz
Probier mal Microsoft Antispyware: http://www.microsoft.com/athome/security/spyware/software/default.mspx

Das schlägt in Sachen Erkennung und Beseitigung der Sypware die beisherigen Produkte wie z.b. Adaware teilweise um Längen.

Hast du schonmal im abgesicherten Modus gestartet und dort einen Scan durchgeführt?
Um welche Spyware handelt es sich genau?

dem kann ich mich nur anschliesen, wenn du es beseitigt hast, damit kannst du die realtimprotection laufen lassen und sobald du wieder dir welche einfängst, weist du wenigstens woher

mfg
Sven

 

[lost]

hab schon alles probiert..wie im abgesichertem modus..hilft alles nichts

nicht mal der link mackz...

zeigt mir ständig nen fehler an.

 

[Sven]

was fürn fehler ?

 

[lost]

irgendwas mit ERROR:301...bin mir mit der zahl nicht sicher

 

[Snake?]

hatte auch so ne scheiße... sp.exe, instaliert sich nach dem löschen wieder von selbst

versuchs mal hiermit Hijack This

 

[lost]

kann ich anschließend die dinger löschen?

 

[Taranis]

HjackThis

hatte das gleiche prob wie du. bei mir hat der mist wie spybot nix geholfen. obwohl des sich manchmal echt bewährt hat.

ich kann dir persönlich auch nur HjackThis empfehlen. des is wirklich super. und man bekommt den mist auch wirklich runter

 

[Erde]

kann ich anschließend die dinger löschen?

Mache erst mal ein Scan mit Hijack This, und das Ergebniss mal hier Posten.

Wir guggen uns das mal an was da gefixt werden soll.

erde

 

[SUID:root]

Hallo truelove.

Vielleicht hilft dir ja dieses Tutorial weiter:

TUTORIAL: Spyware entfernen -So geht´s-

Ansonsten gibt es nur noch die Möglichkeit erdes Rat zu befolgen oder das System neu zu installieren.

Gruss

root

 

[boernd]

Hatte vor einiger Zeit auch eine sehr hartnäckige Spyware und hatte sie mit HijackThis und 2 Stunden langer Suche in der registry entfernen können.

Evtl. hilft es dir auch ...

Und zwar: Wenn du im abgesicherten Modus per HijackThis die schädlichen Prozesse erkannt hast und die betreffenden registry-Einträge auch gefunden hast, schau dir an was genau in der registry steht. Bei mir verwies der Autorun-Eintrag zusätzlich zu einer exe auch noch auf eine dll und eine CLSID, wenn du nach dieser CLSID suchst findest du evtl noch weitere, die wiederum auf exe, dll oder sonstiges verweisen. Diese Dateien dann löschen.

Du musst dir aber sicher sein vor dem Löschen ob es wirlich 'böse' Dateien oder vllt doch Systemdatein sind ...

Ich hab wie gesagt ca 2 Std suchen müssen bevor ich wirklich alles bereinigt hatte. Danach wurden diese registry- und Start/Suchseiteneinträge auch nicht wiederholt erstellt.

[EDIT]
Mir ist nochwas eingefallen:
Ich habe mir diese dll's dann auch noch im Editor angesehen, dort waren neben Buchstaben- und Zahlenwirrwarr auch noch registry-Pfade zu sehen. Diese wurden - wohl durch diese dll's - immer wieder neu erstellt, daher half auch das einfache cleanen des Systems durch Spybot, HjackThis nicht.
Diese Pfade natürlich auch noch löschen.
[/EDIT]

 

[lost]

tja...alles wunderbar erledigt...mit hijack this gings super...
allerdings wurde mein norton mit zerstört..musste es neu draufmachen

ich lass nachts nochmal norton drüber (nein, nicht über mich..sondern den rechner)

teile euch morgen das ergebnis mit

vielen dank



edit:

kanns nicht kopieren.und ein screenshoot ist zugross

 

[Erde]

kanns nicht kopieren.und ein screenshoot ist zugross

Wens bloß das ist, du kannst den Screenhot auch mit Paint bearbeiten

Hier oder hier kannst du auch noch Online Testen ob dein PC sicher ist von spyware.

erde

 

[lost]

du wirst es nicht glauben..mit paint geht es tatsächlich..aber dann kannste nur ein paar anfangsbuchstaben sehen..und mit PS. siehste nur ameisen..

danke für die links

 

[mig25]

hab dieses problem im netzwerk gehabt und auf ähnliche weise wie suid:root es beschreibt gelöst (vier tage herumgewurschtelt) hab aber auch in der registry einträge löschen müssen.

 

[Erde]

du wirst es nicht glauben..mit paint geht es tatsächlich..aber dann kannste nur ein paar anfangsbuchstaben sehen..und mit PS. siehste nur ameisen..

Geht ganz einfach;

Gehst auf => Bild => Strecken / Zerren, jetzt bei Horizontal und Vertikal 80% und 60% eingeben statt der 100%, ok bestätigen fertig.

erde

 

[Snake?]

Hijack this erstellt auch eine log file, Inhalt kopieren und hier posten

 

[lost]

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\PROGRA~1\NORTON~1\NO54F2~1\GHOSTS~2.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~1\NORTON~3\NPROTECT.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\PROGRA~1\NORTON~1\NORTON~3\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\OPScan.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\truelove\Eigene Dateien\Programme\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SpionFrei] "C:\Programme\SinEspias\no-spy.exe" /autorun
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O17 - HKLM\System\CCS\Services\Tcpip\..\{8C953EE9-F3A0-4BA2-B94F-859AC64E5F95}: NameServer = 217.237.151.97 217.237.150.33
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~1\NO54F2~1\GHOSTS~2.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~3\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~3\SPEEDD~1\NOPDB.EXE
O23 - Service: StyleXPService - Unknown - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe