Agressive adware

[Eskapismus]

Der beste Schutz ist gegen Dummheit machtlos. Ich hab Spybot, Mcafee Virenscanner und Firewall installiert, hab aber gestern als ich einen Crack installiert habe aus purer Dummheit einen unbekannten Registry Eintrag erlaubt.

Beim Surfen (mit Firefox) werde ich ständig auf neue Viagra und Blinddating Seiten weitergeleitet, neben meinem Cursor blinkt ständig die Sanduhr (dafür kommen Popups die mir ein Programm vorschlagen, dass dieses Problem beheben soll) und so weiter. Wenn ich mit spybot mein System überprüfe, löscht er jedesmal wieder ein par Programme aber es kommen immer neue. Dasselbe mit dem Virenscanner.

Ich hab jetzt mal manuell diverse exe's und dll's unbrauchbar gemacht, die mir verdächtig schienen aber viel geholfen hats bisher nicht.

Ich denke, ich hab noch ein par Programme im Hintergrund am laufen, die ständig diese Popups und den anderen Müll auslösen. Das beste wäre, wenn die nicht mehr gestartet würden, dazu muss ich aber in die Registry wenn mich nicht alles täuscht.... :gruebel:

irgendwer ein par Tips ?

 

[holo]

Ich würde in jedem Fall über regedit in die Verwaltung, aber noch nichts löschen. Erst sämtliche Verweise prüfen und dann erst die Schlüssel verändern/löschen. Denn das klingt nicht nur nach "run services".

 

[Eskapismus]

Fragt sich nur wo in der Registry

 

[holo]

Wenn das mal so einfach wäre...

Du notierst dir sämtliche Hinweise. Links, Programmnamen...

und dann nutzt du die Suchfunktion.

Der Haken ist: Wenn du Windows dermaßen tief unter den Rock fasst, kann jeder Fehler dein letzter Fehler sein. Also gehe bedächtig vor. Nimm dir Zeit und warte mit der Löscherei, wenn du dir sicher bist, dass es so sein soll.

Keiner kann dir sagen, was oder wo der Haken ist. Dazu fehlen den Profis hier sicher noch Details.

Sichere vorher die Registry, wenn du damit noch nicht intensiver gearbeitet hast. Und vergiss für alle Fälle nicht, deine Daten zu sichern. Verlorene Bookmarks, E-Mails, Briefe ... da haste auch erstmal zu tun.

 

[antimagnet]

ich würd ja erst mal rauskriegen wollen, wie der übeltäter heißt und ob's nicht eh schon ein tool dafür gibt, was einem die manuelle registry-säuberung abnimmt...

 

[Eskapismus]

hmmm... wie kann man denn das rausfinden? Ich habe den crack noch, der alles ausgelöst hat. Ist aber halt eine .exe datei... da kann man nicht viel rausfinden.

Und ja von der Registry würde ich ja auch lieber die Finger weg lassen, es ist bereits zu üblen Fehlermeldungen und sogar zu einem Bluescreen gekommen , ohne dass ich registry Einträge gemacht habe.

Ausserdem hab ich mir mal die aktiven Prozesse im Taskmanager angekuckt und da waren ein par dabei, die mir verdächtig schienen. Ich hab dann mal einige davon per Windows Suchfunktion gesucht aber ich habe nicht alle gefunden. Wie ist denn sowas möglich?

 

[FreeBird]

Hi Eskapismus,

meine Empfehlung lautet: mit HIJACKTHIS deine Kiste scannen und dann mal die automatische Auswertung machen. Da sollte mit ziemlicher Sicherheit etwas ans Tageslicht kommen. Und falls doch noch Unklarheiten bestehen, kannst du ja im dortigen Forum oder jedem x-beliebigen Trojaner/Spywareforum nachfragen, die Profis arbeiten nämlich alle mit dem Tool...

MFG
Bird

 

[antimagnet]

hmmm... wie kann man denn das rausfinden? Ich habe den crack noch, der alles ausgelöst hat. Ist aber halt eine .exe datei... da kann man nicht viel rausfinden.

kannst ja mal den namen der exe-datei bei google eingeben und/oder den namen des programms, das die pop-ups angeblich löschen soll...


was die prozesse angeht, kann ich dir nicht viel weiterhelfen, außer dass du auch hier aufpassen sollst, afaik gibt es prozesse, die wichtig sind, aber einem gern mal komisch vorkommen...

 

[Eskapismus]

Danke für den Tip mit dem Hijack Prog. Jetzt bin ich schon ein gutes Stück weiter. Das Problem liegt im ordner windows\QWRtaW5pc3RyYXRvcgAA\command.exe
nun habe ich versucht diesen Prozess im Taskmanager abzuschiessen ohne erfolg. Danach hab ich ihn in der Regestry gesucht und dabei kam ein eintrag raus namens Imagepath, was auf dises command.exe verweist. Leider kann ich aber auch das nicht löschen.....

Auf dem Internet habe ich mit den Informationen die ich bisher habe auch noch nichts gefunden...

Ich werd nun mal meinen Computer im abgesicherten Modus starten versuche die Einträge so zu löschen.

 

[antimagnet]

also, ich muss nur nach imagepath und command.exe googeln, dann krieg ich schon nen haufen links zu sophos, mcafee, pcmagazin etc...

klick

 

[Eskapismus]

ja schon aber dort geht es um den W32/Lovgate.s@MM Virus welcher im 2004 im Umlauf war und da sollte mein Virenscanner ja eigentlich reagieren. Und die Symptome die da geschildert werden stimmen nicht mit meinen überein.

Ich hab diese Command.exe löschen können und hab auch den Eintrag aus der Regestry gelöscht und der Hijack sagt mir, dass alles ok sei.

Aber die Probleme sind immer noch die selben

 

[holo]

Lies dir mal das hier durch:
http://forums.techguy.org/archive/t-407660.html

 

[FreeBird]

Sad to hear...

Lass doch zur Sicherheit auch noch den Zwillingsbruder suchen: http://www.hijackfree.de/de/

Und evtl. auch gleich noch mit a² suchen gehen: http://www.emsisoft.de/de/software/free/

Wie gross ist denn diese Crack.exe. Wie heisst Sie? Hast du nen Link? Oder kannst du sie mir zumailen?

Ich würde das Luder gerne mal durch ein paar Scanner jagen...

 

[Eskapismus]

In einem anderen Forum wurde wir Webroots Spysweeper empfohlen, der hat tatsächlich noch mal ziemlich viel weitere Adware usw. gefunden und die Popups sind auch weg aber mein Kompeter hat nen ziemlichen Schaden davon getragen. Im Taskmanager ist die CPU-Auslastung meistens auf 100% und die Auslagerungsdatei ist momentan auf 1.02 Gb (Physikalisch hab ich 712mb) was ja schon mal nichts gutes bedeutet.

Naja warscheinlich muss ich das Teil wieder mal plattmachen.... ist erst 3 Monate her seit dem letzten mal.

Wie ist das eigentlich mit dieser Windowsinternen Reparaturfunktion? Kennt sich da einer aus?

@freebird:
Der Crack Babylon "5.0.6", den ich im Verdacht habe das ganze ausgelöst zu haben ist hier zu finden.

http://bitte-keine-Links-zu-illegalen-Programmen.de

Mit welchen Programmen checkst du denn exe files of "malicius scripts"?

 

[Franziskaner]

Der Crack Babylon "5.0.6", den ich im Verdacht habe das ganze ausgelöst zu haben ist hier zu finden.

Bitte Eskapismus, keine Warez- oder Crackz-Links!