Hilfe! unkaputtbare spyware!, *ratlos* Einstellungen

[AveMaria]

Guten Morgen, ihrs!

nun kämpfe ich schon den dritten Tag mit den Folgen eines heimtückischen Trojaner-Angriffs (Spyware vom bösesten Kaliber)...ich beschreibe mal den Tathergang und die Bekämpfungsmethoden..in der Hoffnung, dass es jemanden in diesem Forum gibt, der vielleicht einen Rat hat, was ich noch tun könnte... :unsure: ....das wird jetzt ein etwas umfangreicher Text....sorry schon mal im Voraus


alsooooooooo...."wie alles begann":

ich war im Netz und hab nach einer Serialnumber gesucht..fand sie, klickte drauf und der Terror begann..Warnhinweise von antivir auf trojan.Pferde (ich hab da immer brav auf löschen geklickt) dahinter poppte sich sone Pornoseite auf..die erst nach mehrmaligen wegklicken wegging..und dann oh graus!....ein Fenster, dass mir sagte, dass jemand auf meinen PC zugreifen will! (ich hab auf "nein" geklickt) dann ein dos-eingabe-fenster(hab ich gleich weggeklickt)...dann hab ich adaware und antivir drüber laufen lassen...nichts....als Desktop-Hintergrund hatte ich folgende Nachricht:

WARNING!
YOU'RE IN DANGER!

ALL YOU DO WITH COMPUTER IS STORED FOREVER IN YOUR HARD DISK. WHEN YOU VISIT SITES, SEND EMAILS... ALL YOUR ACTIONS ARE LOGGED. AND IT IS IMPOSSIBLE TO REMOVE THEM WITH STANDARD TOOLS. YOUR DATA IS STILL AVAILABLE FOR FORENSICS. AND IN SOME CASES FOR YOUR BOSS, YOUR FRIENDS, YOUR WIFE, YOUR CHILDREN.
Every site you or somebody or even something, like spyware, opened in your browser, with all images, and all downloaded and maybe later removed movies or mp3 songs - ARE STILL THERE and could broke your life!

SECURE YOURSELF RIGHT NOW! :ph34r: :blink:

(mit Aufforderung die spy-ware zu entfernen)

ich hab den PC mehrmals neugestartet, doch es war immernoch da....(selbst als ich die Internetverbindung schon längst getrennt hatte)...dann plötzlich wechselte dieser "warning you're in danger"-Hintergrund sich in Sekundenbruchteilen ständig ab mit dem ursprünglichen Desktophintergrund und einem Hinweis, dass der Desktophintgrund nicht funktioniert..ich hab im Taskmanager nachgesehen und bemerkt dass es "explorer.exe" ist, welches da aktiv ist, klickte auf "prozess beenden"..Antwort->"zugriff verweigert" ...immer wieder....ich schaltete die Kiste aus...


Ich fasste wieder Mut und führte dann mit "hijackthis" einen Scan aus, der mir die Prozesse und ihre "Gut-bzw.Bösartigkeit" verriet. Die "bösen" Prozesse hab ich "gefixt". Danach gehts bis auf 5 Reste, die ich einfach nicht wegbekomme:

1. ein Pop-up-Fenster, welches in regelmäßigen Abständen sich öffnet; in dem Balken oben steht "windows warning-microsoft internet explorer" im Fenster selbst steht ein Text, der mich darauf hinweist, dass spyware auf meinem Rechner installiert wurde...das ganze Fenster ist verlinkt..angeblich mit "removed spyware"...das kann ich aber alles nicht ganz glauben, da ich jetzt über "chip.de" mir das Tool "microsoft antispyware" installiert habe, welches spyware überwacht und mich darauf aufmerksam macht, sobald ein Angriff erfolgt...bisher hat dieses Programm bei jedem Scan mind. 4 spyware gefunden...und gelöscht....
das Fenster lässt sich einfach schließen, taucht aber immer wieder auf...

2. ein gelbes Dreieck mit Ausrufungszeichen in der Taskleiste neben dem Datum..es lässt sich nur mit links anklicken..wenn das geschieht öffnet sich ein Fenster "search "spyware" der Internetseite "topantispyware.com""...hm...

3. dieser schwarze "warning you're in danger" Desktophintergrund..er poppt sich auch immer wieder mal auf...ist relativ zwar einfach über "desktop anpassen"->"web"->und dort den Eintrag löschen..zu entfernen..taucht aber immer wieder auf

4. bei den Favoriten meines internet-browsers (crazy browser) sind vier Favoriten eingefügt, die ich zwar ständig lösche, die aber andauernd wieder da sind..keine Ahnung wie ich die wegkriegen soll...


5. als startseite mogelt sich ständig eine "best4u"-internetseite rein, egal wie oft ich das bei den internetoptionen gelöscht habe, egal wie oft ich es über dieses microsoft antispyware-tool entfernt habe.....


meine bisherigen Bekämpfungsmethoden/Bekämpfungsprogramme:

-antivir, adaware, hijackthis, stinger, spywareguard, mircosoftantispyware, spybot -> alle Programme auf dem neusten Stand
-ständiges Löschen der 4 Favoriten und der unerwünschten Startseite, sowie Löschen aller Cookies und temporären Internetdateien
-ich hab sogar schon defragmentiert in meiner Verzweiflung

bisher war alles erfolglos :(

kann mir hier irgendjemand helfen? hat jemand schon sowas erlebt?

[blue_moon]

guck mal hier, avemaria. angeblich kann kasperskyAV den mist erkennen und unschädlich machen. ausserdem der tipp (für die zukunft) den explorer durch firefox zu ersetzen. toi toi toi! :zustimm:

Der Beitrag wurde von blue_moon bearbeitet: 14.Feb.2005 - 14:10

[Lena_O.]

@AveMaria
falls es Dich ein wenig tröstet, ich habe seit einigen Tagen das gleiche Problem. Meine Startseite ist auch geklaut worden und ich krieg den Virus nicht in den Griff.

Habe u.a. von Ad-aware den neuesten Virenkiller drüberlaufen lassen, ohne Erfolg bisher.

Bin für jeden Hinweis dankbar.
Gruss
Lena

[alba]

ich möchte mich blui anschließen: nehmt andere browser!! der ie sucks!! ich schwör` auf opera, andere lieben firefox. tut sich, glaube ich, nicht sooo viel. ich mags, dass bei opera beschreibungen für die lesezeichen eingegeben werden können. hab aber auch schon gehört, dass viele seiten besser auf firefox abgeglichen sind als auf opera - hatte da aber bisher kaum, und wenn, dann mit beiden probleme.. ;)
in jedem falle: gips für lau im netz, und seitdem hatte ich nicht mehr auch nur ein problem mit viren etc. .. :)

viel glück euch beiden!!

[AveMaria]

@blue_moon: leider ist die Seite sehr englisch..und mein englisch ist nicht so gut..ich konnte aber herauslesen, dass es sich um dasselbe Problem handelt...

@Lena_O.: ich hab das mit der Startseite jetzt hinbekommen (alles andere noch nicht..naja..abwarten)...Antivir hat seit gestern ein neues Update mit dem ich ganze 6 trojanische Pferde und ein son html-virus-dingens unschädlich machen konnte..seitdem ist wenigstens diese olle Startseite weg

@alba: basieren die von die aufgeführten alternativen Browser auch nicht auf dem Microsoft-Browser? bei dem von mir verwendeten Crazy-Browser ists nämlich so

nieder mit den bösen Hackern und ein Hoch auf alle die zu deren Bekämpfung betragen! :)

[blue_moon]

ich übernehm mal die frage nach dem browser:

firefox ist ein abkömmling von netscape und hat in sachen sicherheit (und nicht nur da: vorteile in sachen geschwindigkeit, handling - zum beispiel die eingebaute google-suche etc. liegen auch bei firefox) derzeit die nase soweit vorn, dass microsoft's explorer kräftig marktanteile verliert. zwar ist der iexplorer immer noch der bei weitem meistgenutzte browser, aber ganz sicher nicht bei denen, die sich mit dem medium computer ein bisschen auskennen. firefox ist freeware und auf allen üblichen download-seiten zu bekommen.

ein artikel, den ich ganz gut und lesbar finde: hier

[Lena_O.]

Juhu, eine kleinen Erfolg kann ich auch vermelden: Antivir hat gerade 5 Trojaner aufgespürt und auch eliminiert.

Das mit der Startseite klappt auch wieder.
Leider öffnet sich immer noch ab und zu ein Fenster mit Sexlinks, auch wenn ich gerade beim Onlinebanking bin. Das beunruhigt mich schon ein wenig.

Über einen Browserwechsel werde ich mal scharf nachdenken.
Gruss
Lena

[AveMaria]

ok..überredet..ich installiere gleich firefox..aber nur weil der auch so schöne tabs hat wie mein crazybrowser ;)

Zwischenstand des "Kampfes" :ph34r: :type: :
diese 4 Favoriten sind nun endlich auch weg..es sind also nur noch 2 Reste des Angriffs übrig, die noch beseitigt werden müssen....zur Not muss ich wohl doch "reinen Tisch...ähmm..Platte" machen und neuinstallieren...

[metheny]

hallo AveMaria,

zusätzlich zu den hilfen hier im posting solltest du FALLS du winXP benutzt vor dem scannen die systemwiederherstellung DEaktivieren.
dort werden nämlich alle dateien grundsätzlich noch einmal verpackt in cab-dateien abgelegt. die scan-software erkennt zwar viren, trojaner, würmer usw. in diesen cabs, kann sie aber nicht löschen. nach allen scans kann die systemwiederherstellung wieder aktiviert werden.
LG
metheny

[AveMaria]

danke für den Tipp :)