Spyware aufm PC

[HeAdbAnGeR]

Hi!

Folgendes Problem:

Auf dem Rechner eines Bekannten hat sich scheinbar Spyware oder sowas installiert, die sich als Antivirensoftware ausgibt. Nach der Anmeldung in Windows ertönt sofort eine weibliche Stimme und faselt irgendetwas auf Englisch mit russischem Akzent...^^ kurz darauf startet oben genannte "Security Suite" namens "XL Guarder" führt diverse Tests durch und kommt zu dem Schluss, dass das System von Viren befallen ist. Beim Versuch es zu beenden, bittet es penetrant (mit popups usw.) danach, die Lizenz für 49,95$ zu erwerben.

Hab mal XL Guarder gegoogelt und bin auf diverse, wenig vertrauenerweckende Seiten gestoßen, die dubiose Programme anbieten, um oben beschriebene Spyware loszuwerden.

Außerdem habe ich Ad aware installiert und laufen lassen, es wurde auch einiges gefunden und entfernt, aber nach einem Neustart war das Problem nach wie vor vorhanden.

Gerade läuft noch spybot seek and destroy drüber.

Kann mir jemand sagen, wie man die schadsoftware nach möglichkeit kostenlos wieder vom system bekommt?!


Danke schonmal

 

[mAiLmAn]

knoppicillin
bart's pe als host mit gemounteter registry des originalsystems + spybot/adaware

http://forum.ingame.de/broodwar/showthread.php?s=&threadid=148762 gelesen?

 

[HeAdbAnGeR]

sorry nich gelesen. Werd morgen mal alles durchprobieren.

Könntest du das mit knoppicilin vielleicht noch einmal in deutsch schreiben?^^

 

[Sodom&Gomorrha]

Knoppicillin herunterladen und auf CD brennen. Ist eine Live-CD, die unter Linux das System startet, womit die Schädlinge anders als unter Windows nichts anrichten können.
Erscheint regelmäßig in der c't und beinhaltet mehrere Virenscanner, die sich via Internet im Fall aktualisieren lassen (Virenkiller mit alten Signaturen sind eher Briefbeschwerer).
Am Besten fragst du jemanden, der die c't regelmäßig kauft, da nur bei den Heft-CDs/DVDs von Knoppicilin die kommerziellen Virenscanner enthalten sind, bei den Downloadversionen müssen aus Lizenzgründen glaube ich diese aber selbst eingebunden werden (weiß nicht, wie einfach/schwierig das ist, ein entsprechendes Tool dabeiliegt usw.).

Wenn die Registrierung dann gesäubert ist (mit Barts PE kenne ich mich absolut nicht aus, sorry), kannst du dann, wieder von Windows aus, das System im abgesicherten Modus starten und anschließend Adaware sowie Spybot (aktuellste Definitionen, am Besten von nem sauberen Rechner laden und via USB-Stick rüberkopieren) drüberlaufen lassen.

Anschließend HijackThis! starten, "Do a system scan and save a log file" und die Logdatei komplett (!) ins Forum kopieren oder als txt anhängen.

• Knoppicilin
• Spybot Search & Destroy, updaten nicht vergessen!
• Ad-aware, s. o.
• HiJackThis!

Und der Bekannten nahelegen, nicht als Admin zu arbeiten ... auch wenn das aus eigener Erfahrung sehr schwierig sein kann, das sturen Otto-Normal-Nutzern auch deutlich zu machen.

 

[Thrillboy]

zuallererst würde ich erstma den prozess abschießen und in der msconfig den autostart des dienstes/programms rausnehmen. Falls das denn bei dem Teil noch geht...

 

[mAiLmAn]

das ist immer dieselbe masche, du bekommst da ein schönes rootkit verpasst, downloader plugins und dann schön einen keylogger, 2-3 "anti-spyware-tools", 5685946 werbeprogramme usw. usw... da kommst du mit taskmgr (wenn du ihn überhaupt noch aufmachen kannst) und msconfig nicht besonders weit.

ich hab auf arbeit im moment auch so ne kiste auf dem tisch, das startmenü hatte nur noch 3 buttons, alles was hilfreich wäre war gesperrt und der desktophintergrund war ein link zu einer seite, die dir sicherheit für geld vorgaukeln wollte.

so eine kiste gehört einfach neu aufgesetzt und darauf wirds wohl auch hinauslaufen...

das ding is halt einfach die leute klicken 500x die meldung "updates gefunden" weg, so lang, bis sie auf einmal nicht mehr aufpoppt, statt dessen aber ein programm, was die sicherheitslücke, die das update geschlossen hätte, genutzt hat und sich selbstständig installiert hat. schon kannst du NIX an dem system mehr trauen, du weisst von keiner datei, ob die von ms so konzipiert war. sprich: installier einen virenscanner und der meldet "alles ok" obwohl da grad ne malware-party auf deiner platte gefeiert wird. auch der abgesicherte modus hilft da bei den ganz abgefuxx0rten teilen nix mehr.

die sache mit bart's pe würde jetzt echt zu weit gehen... wenn alles aufgezählte nix nutzt schaff dir mit parted magic eine neue partirion auf die du deine dateien kopierst und dann wird die windows-partition formatiert. ist im endeffekt sicherer, einfacher und schneller.