---

Geschrieben von JessiBlue am 13.01.2006 um 15:00:

  Spystrike + Co

Einen wunderschönen Freitagmittag wünsch ich erstmal in die Runde!

Ich habe ein MEGA-Großes Problem und hoffe das mir hier jemand weiterhelfen kann! Ich habe zwar schon die Forensuche beansprucht, aber leider nicht sehr relevante themen bekommen!!! :-(

Seit einer woche einen "ekelhaften" Gesellen auf der Platte der sich Spystrike 2.5 oder ähnlich nennt! Ich habe ihn schon versucht mit Adaware zu kicken, genauso mit Spybot... bei letzterem habe ich das problem das dieses Programm sich zwar installieren lies, jedoch darauf besteht upgedatet zu werden und während des updatevorgangs einfach hängen bleibt! :-(( Ich bekomme weder dieses Spystrike weg, noch die ganzen nervtötenden Meldungen am unteren bildschirmrand!!!!

Folgende Rechnerkonfiguration:
ASUS A3000 P 4M 1,5GHz
248 MB RAM
Win Home +SP2

Bisherhige versuche:
habe die automatische Wiederherstellung deaktiviert!
Adaware se mehrfach durchlaufen lassen (Spystrike Installiert sich fast bei jedem neustart erneut! :-(( )
Spybot versucht zu installieren, aber bzgl. der Updates gescheitert
Sygate Firewall 5.0 installiert, leider schmiert die Firewall selbst oftmals ab! :-(( Besonders wenn versucht wird Spystrike zu blocken!
Panda antispy scan durchgeführt (online! Der findet zwar ordentlich was, lässt sich aber leider nicht dazu bewegen diese auch zu entfernen! :-((
Panda antivir activscan ... selbes spiel wie oben!
kaspersky sicherheitscenter installiert (bisher noch nicht durchlaufen!!!)

Es wäre spitze wenn mir jemand hier weiterhelfen könnte! Ich habe eigentlich keine Große lust alles platt machen zu müssen, vor allem weil da ne menge arbeit dahinter steckt! :-((( Leider kein Backup! :-((( Das ich einfach wieder zurückspielen könnte! :-((

Grüsse Jessiblue!

---

Geschrieben von mise am 13.01.2006 um 15:09:

  RE: Spystrike + Co

Probier mal den Link hier. Vielleicht hilft der dir weiter.
http://www.2-spyware.com/remove-spywarestrike.html
Da geht es um einen Trojaner. Auf der Seite gibt es auch ein Programm zum entfernen von dem Parasiten.

---

Geschrieben von JessiBlue am 13.01.2006 um 15:46:

 

Vielen dank für deine schnelle antwort! Werde ich sofort ausprobieren!!!! Poste es dann gleich! :-P

Edit: So nachdem ich einige Dienste einfach mal in der Msconfig beendet habe, habe ich jetzt mit dem notebook auch kein Internetzugang mehr! :-(( Das icon für meine PCMCIA Lanverbindung ist da, jedoch habe ich ein Ausrufezeichen daran mit der bemerkung das es sich bei dieser verbindung um eine mit eingeschränkter Konnektivität handeln würde! :-(((

Dienste die ich beendet habe:
5 (???) befindet sich im Userverzeichnis (also in meinem! ist eine tmp.exe????
5 (siehe oben!)
6 (siehe 5)
6 (siehe 5)
winstall befindet sich in c:\winstall.exe (???)
winue32 c:\windows\winue32.exe (???9

Aber dadurch, das ich den Spywaredoctor nicht updaten kann befürchte ich das dieser den wohl nicht komplett wegbekommt???? ich bin noch dabei die "manual remove" von der Seite durchzuackern! Aber bisher ohne erfolg, die punkte die ich bisher angesteuert habe, sind nicht auf dem NB aufzufinden! :-(((

Edit2: HALLO???? könnte das sein das dieses Removaltool selbst ein SPYPROGRAMM IS???? Vor allem funtkioniert es nicht! :-((!!!!!! bIch muss mich erst registrieren! VIELEN DANK!

Edit3: Falls das hier irgendjemand liesst und mir weiterhelfen könnte wäre ich ihm/ihr sehr verbunden! :-(

Also folgende Neuerungen:
Spybot konnte upgedatet werden
Ich bekomme mein System mit spybot für ca. 5 min. sauber! DAnach geht der gesamte R**** von vorne los! Das bedeutet Spystrike installiert sich WOHER ZUM TEUFEL AUCH IMMER ... erneut! Allerdings kann ich ihn einigermaßen aus der Registry halten! Da scheint Spybot ordentlich dicht zu machen!!!
Also es gibt 2 ANhaltspunkt die ich habe, zum einen ist da ständig eine Datei und gleichzeitig ein Prozess der mssearch.exe heisst! den kann ich im normal modus gar nicht löschen! und der Kommt immer wieder!!!
SpyBot kann fast alles löschen, bis auf diesen Schlingel "Vcodec" ... den bekommt er erst bei einem löschvorgang nachdem neustart weg ... aber nicht für lange! 5 min. später habe ich die sosse wieder! :-(( Wenn jemand rat weiss nur her damit!!!!

Also hier nochmal alle derzeitig installierten Programme:
WinXP Home+SP2
Norton Antivirus 2005
Spybot Search and Destroy
Adaware SE





Grüsse Jessi

---

Geschrieben von Peschel am 13.01.2006 um 23:47:

 

du hast dir Trojaner eingefangen und das wundert mich auch nicht, denn Panda und Konsorten (Norton) sind da schnell überfordert

lade dir die Trail Version von Kaspersky 5.0 Personal herunter und installiere ihn nach diesem Artikel

danach zur Sicherheit auch noch mal Stinger drüberlaufen lassen: klick

wichtig ist, das du die Systemwiederherstellung deaktivierst und alles im abgesicherten Modus durchführst

mit Spybot und Adaware bekommst du keine Trojaner weg und mit Kaspersky im Hintergrund kommen sie auch nicht wieder, wenn du für XP alle verfügbaren Updates installiert hast.
Einen Blick (dürfen auch zwei sein) in den Sicherheitsworkshop solltest du auch unbedingt werfen:klick

---

Geschrieben von JessiBlue am 14.01.2006 um 00:24:

 

Super für deine Tips Peschl, werd mich jetzt noch dran setzen und das zeuch installieren! ist der Kaspersky 5.0 denn freeware? weil ich doch den Norton im Abo gekauft habe (wurde mit dem NB mitgeliefert!) habe leider nicht soviel kohle über noch mehr Antiviren und co zu kaufen! :-(

Erst mal danke! ich melde mich sobald ich deine Tips mal durchgearbeitet habe!!!!! Grüsse
Jessi

Edit1: So nachdem ich mir nun die halbe Nacht um die Ohren gehauen habe! :-(( Folgendes Ergebnis:

Kaspersky 5.0 findet nix!!!! In der Trayleiste befindet sich immer noch eine "angebliche" Warnung vom Sicherheitscenter von Windows. Spybot findet abwechselnd immer wieder Vcodec oder einen anderen eintrag in der Registry!!! :-(
Ich behaupte mal das im moment die Spyware oder was auch immer da im hintergrund schlummert, sobald ich das NB wieder online stelle aktiv wird!!!! :-(( Bekomme ich dieses Ominöse Symbol in der Trayleiste irgendwie weg? Und auch das ständig eine neue Spyware entdeckt wird? trotz immunisierung, trotz registry reinigung etc!!!!!

Wäre spitze wenn mir dazu jemand helfen könnte! Der Sicherheitsworkshop hilft dahingehend leider nicht! da er nur das eindringen verhindert, sich jedoch nicht gegen vorhandene SPyware richtet! :-(((

Grüsse Jessi und vielen dank nochmal allen die mir bisher geholfen haben!


Ach ja habe ich vergessen stinger findet jarnüscht! :-(

---

Geschrieben von Peschel am 18.01.2006 um 02:26:

 

Zitat:

Wäre spitze wenn mir dazu jemand helfen könnte! Der Sicherheitsworkshop hilft dahingehend leider nicht! da er nur das eindringen verhindert, sich jedoch nicht gegen vorhandene SPyware richtet!

was heißt nur? wenns nicht reinkommt, mußt du dir darüber auch keinen Kopf machen

ich denke das bei dir noch mehr Malware schlummert und sich in den Systemdateien schon breit gemacht hat, Spyware ist das ganz sicher nicht

lade dir mal Hijackthis herunter: klick , führe das Programm aus und erstelle ein Logfile. Den Inhalt des Logfiles postest du dann in deiner Antwort

---

Geschrieben von JessiBlue am 22.01.2006 um 15:28:

 

Servus Peschl,
sorry das ich mich solange nich gemelde habe und danke an Athena die mich auf einem neueren post hierauf nochmals aufmerksam gemacht hat! (ich muss die email wohl versehentlich gelöscht haben!!! SCCUUUUSSIII!!!! :-(

Also ich hab jetzt mal noch nicht mit Hijack versucht, jedoch habe ich Spybot mitlerweile zum laufen bekommen und auch Adaware! Ich konnte ... ich weiss ich weiss... bitte ned steinigen aber s war halt dabei!!!! NAV 2005 installieren und alle updates ziehen! ... ich habe unter Spybot keinerlei befallenen Dateien mehr gefunden, du hast aber schon ganz recht da waren noch einige Dateien, die ich mit Killbox entfernen konnte, die aber leider immer wieder neu aufzutauchen schienen! Ich hab auch mal Sygate 5.5 Installiert ... bisher läuft er ohne weitere Zicken! Lediglich bei Ad-aware findet er immer wieder 2 befallene Dateien, da sich diese jedoch nicht vermehren und den PC auch nicht verlangsamern, ich auch mit anderen antispytools nichts mehr gefunden habe, habe ich den Verdacht, das Ad-aware vielleicht gewöhnliche Dateien von Spybot oder ähnlichem als Infiziert betrachtet! Denn es gibt bisher keine weiteren schwierigkeiten! .... Im moment erst mal vielen dank für eure, besonders deine hilfe Peschl!!! Ich werd wieder posten wenn ich mich doch geirrt haben sollte!!! :-( Hoffentlich bzgl. dieses Themas gar nicht!... Das Ding soll einfach laufen und ich will nicht unnötig viel arbeit reinstecken! Dafür habe ich andere Sorgen genug!!!! :-)

Nochmals erstmal vielen dank und entschuldigung für die verspätete Meldung!
Grüsse Jessi

---

Geschrieben von Joinie am 22.01.2006 um 15:41:

 

schön und gut, aber warum postest du kein Logfile von Hijackthis?

---

Geschrieben von wolfie am 22.01.2006 um 15:54:

 

Zitat:

Original von JessiBlue Lediglich bei Ad-aware findet er immer wieder 2 befallene Dateien, da sich diese jedoch nicht vermehren (...), habe ich den Verdacht, das Ad-aware vielleicht gewöhnliche Dateien von Spybot oder ähnlichem als Infiziert betrachtet!

Wenn Ad-Aware Dateien findet, sind sie auch da! Und werden bei neuerlicher Installation der betroffenen SW auch wieder erscheinen.
Da hilft nur konsequentes Löschen.

Spyware aber bitte nicht mit Viren oder Trojanern usw. verwechseln.
Wie der Name schon sagt, "spionieren" dich Spyware-Programme aus, was vorerst noch keinen Schaden anrichtet.
Spyware neigt auch nicht zur Vermehrung...

Zur Verdeutlichung: AntiViren Programme finden manchmal "Viren" die sich in der Quarantäne eines andern AV-Programms befinden.
Solche Warnungen kann man dann ignorieren, resp. die Quarantänen mal bereinigen...


Ein Hijackthis-Report, wie es Joinie empfiehlt, wäre tatsächlich hilfreich und würde evtl. weitere Übeltäter entlarven.



gruss
wolfie

---

Geschrieben von JessiBlue am 22.01.2006 um 21:27:

 

Sers

@ joini: na ja habe im moment Hijackthis nicht installiert, deshalb habe ich auch "noch" kein Logfile, weil wie gesagt im moment das System eigentlich "sauber" läuft!

@ wolfie: mhh... ja ich weiss was du meinst, allerdings war es so: ich habe diverse Dateien gefunden mit adaware und mit spybot, zunächst liessen sich die meisten auch ohne im Abgesicherten Modus gestartet zu sein löschen, bei jedem neustart jedoch, waren dieselben Dateien wieder da! (also beim suchen sind sie wieder aufgetaucht!) erneutes Löschen ging dann irgendwie nicht mehr. Nachdem ich dann im Abgesicherten Modus sowohl Adaware als auch Spybot jeweils 2-3 mal durchlaufen liess, behaupteten beide Programme das es keine Deiten mehr geben würde welche auffällig wären! Also wieder normal gebootet und ... bumm!!!! Waren wieder die gleichen Dateien, die sie vorhin als gefährlich eingestuft wurden da!!! ... Im moment ist es so, das Spybot die Registry überwacht und jede veränderung meldet, bzw. nachfragt ob die Reg geändert werden darf oder nicht. Ich vermute mal das es sich bei dem ding um einen Wurm gehandelt hat/ noch handelt!!!! Nur habe ich im moment eigentlich wenig zeit zur systempflege! das ding muss jetzt bis ende September halten, danach kann ich mich dann evtl. verstärkter damit beschäftigen, ich brauch das teil eigentlich nur zum Hausarbeiten schreiben und zu allem übel is es auch noch geliehen!!!! Meint ihr ich kann damit noch solange arbeiten? weil bisher ist eigentlich nix mehr passiert, er läuft wie geschildert noch recht sauber!

grüsse Jessi

---

Geschrieben von wolfie am 22.01.2006 um 21:48:

 

Hallo nochmal,

du gibst dir die Antwort selbst: "Nach jedem Neustart sind die Dateien wieder da..."

Viel deutlicher kann es gar nicht sein: Beim Systemstart werden die schrägen Prozesse wieder gestartet und das Spiel beginnt von Neuem.

Wenn wir Unterstützung bieten sollen, musst du schon entweder eine Liste der laufenden Prozesse, des Autostarts oder einen Hijackthis-Report liefern.

Es ist auch OK, wenn du uns mitteilst, dass du mit der jetzigen Situation zufrieden bist,
dann machen wir hier zu.


gruss wolfie

---

Geschrieben von Cerberus am 25.01.2006 um 00:08:

 

sodele

da er diesen Thread mehrmals wieder besucht hat und nicht reagiert, machen wir hier Feierabend...


-closed-

Cerberus