Ist das spyware?
 

Hey jungs,

ich hab seit heute ein unidentifizierbares icon im tray.
Ein virus ? wenn ja, wie werd ich das mistding wieder lost?

MfG - Ghost007

P.S.: Siehe sample im anhang

Re: Was ist das ?!
 

^spyware!

Hab ich auch mal gehabt, habs mit adaware jedoch weg bekommen :)

lg

Re: Was ist das ?!
 

adaware scant schon seit 3 std -.- das gibts doch nicht :( du weißt nicht zufällig wonach ich suchen muss?

MfG - Ghost007

Re: Was ist das ?!
 

leider nicht...

jedoch kannst du mal in der Registry nachschauen unter...

[Hkey_Current_User/Software/Microsoft/Windows/CurrentVersion/Run]

^Da siehst du welche Programme mit dem Windows gestartet werden, vielleicht erscheint da ein ungewöhnliches Programm??

Mehr fällt ma leider nicht ein, sry!

P.s.: Nach 3 Stunden scannen würd ich aber schon lange abbgebrochen haben(bei mir hats nicht mal eine halbe Stunde dauert ;) )

Edit:
Du könntest auch ein mal ein anderes Tool verwenden z.b.:
SpyBot Search

Re: Was ist das ?!
 

Könnte aber auch (wird wahrscheinlich so sein) HKLM/Software/Microsoft/Windows/CurrentVersion/Run sein.

Re: Was ist das ?!
 

Such mal nach einer 'Winstall.exe' oder 'Wininstall.exe' - ob so ein Prozess läuft. Wenn ja abschiessen und gucken ob das Icon verschwindet. Wenn ja: Diese Datei suchen und löschen und zudem noch alle Autostart-Verweise auf diese Datei entfernen.

Aber: Dein Rechner ist kompromittiert. Vermutlich hast Du Admin-Rechte?
Wenn ja: Dann am besten neu installieren. Niemand kann wissen, welche Hintertürchen die Software in Deinem System so aufgemacht hat.

Re: Was ist das ?!
 

...oder du ermittelst die Exe-Datei vom TrayIcon.

Re: Was ist das ?!
 

antivir sagt mir das es ne datei namens winivstr.exe ist im system32 ordner, aber da ist keine datei mit diesem namen -.-

Re: Was ist das ?!
 

Lässt du dir auch alle Dateien anzeigen? (á la "Systemdateien und versteckte Dateien ausblenden", Extras->Ordneroptionen->Ansicht->"Alle Dateien und Ordner anzeigen" aktivieren, "Geschützte Systemdateien ausblenden" abwählen)

Re: Was ist das ?!
 

jo, angezeigt werden se alle =(

//Edit: Ich lass grade mal spybot - search & destroy drüber laufen ... mal guggen

Re: Was ist das ?!
 

Dann mach doch alternativ mal auf der Eingabeaufforderung:
Löscht etwaige vorhandene "Sicherheitskopien". Änderst du Dateien in system32 ersetzt Windows die Änderungen ggf. mit der Datei, die es im dllcache-Ordner hat.
Prozess ggf. vorher im Taskmanager abschießen.

Re: Was ist das ?!
 

Hallo ghost007 :-) Könntest du deinem Beitrag bitte einen aussagekräftigen Titel geben?

Re: Was ist das ?!
 

Mach ich gleich.

Eben noch was zu einem ansatz der vorher gemacht wurde.
Wie ermittel ich denn die exe datei die "hinter einem trayicon steckt"?

MfG - Ghost007

Re: Was ist das ?!
 

z.B mit dem Tool Shell Tray Info von http://www.codeproject.com

Hab's auch mal angehängt.

Re: Ist das spyware?
 

danke :) werde das gleich mal testen, momentan hab ich spybot mit windows starten lassen, dass er alles löschen kann.

MfG - Ghost007

Re: Was ist das ?!
 

Ich fress nen besen ... die datei selber find ich im explorer nicht, mach ichs über die eingabeaufforderung, dann sagt er das die datei momentan von nem prozess verwendet wird.

MfG - Ghost007

[edit=SirThornberry]Layout Korrektur - Mfg, SirThornberry[/edit]<- danke :P

Re: Ist das spyware?
 

Ein Rootkit wird wohl die Datei verstecken.

Re: Ist das spyware?
 

lösch die datei doch mithilfe von ner linux boot cd ?

(oder noch besser setz alles neu auf)

mfg smallsmoker

ot: ich hab noch nie gehört das so dumme adware n rootkit benutzt :)

Re: Ist das spyware?
 

Da scheint also noch mehr im Argen zu liegen. Eine neuinstallation wird unumgänglich sein und danach bitte nicht wieder standardmäßig als Administrator arbeiten.

Re: Ist das spyware?
 

Also,

ich hab das ding nun wegbekommen. Wobei ich mittendrin mal den status hatte, dass sich der PC bei jedem mal booten nach 60sec selber runtergefahren hat ... weil der generic host process abgeschossen wurde, aus welchem grund auch immer ... Jedenfalls, sollte irgendjemand mal das gleiche problem haben. Ich hab den von antivir erkannten trojaner, der unauffindbar war dadurch "getötet", dass ich spybot zum start von windows ausgeführt habe und das nette tool so alles ratzeputz wegmachen konnte, da noch keine der dateien verwendet wurde. Das tolle tool im tray, von dem der screen im ersten post ist, hab ich über das systray tool aus einem post weiter oben gekillt, einfach mit einem tool namens "unlocker". Dieses killt alles :D im notfall beim nächsten neustart ;)

MfG - Ghost007

Status: Solved

P.S. Danke an alle, besonders den spybot und den trayinfo poster ;)

Re: Ist das spyware?
 

Dein PC ist trotzdem Kompromitiert.

Ich würde dir Raten das ganze mal hier http://cgi.zdnet.de/forum/viewforum.php?f=17&c=6
in einem Eigenen Thread posten.

Ich hatte da mal ein ähnliches Problem das nach dem es beseitigt wurde auch dazu führte das ich mal eben
erfuhr das meine DNS-Server Einträge z.B. gar nicht verwendet werden sondern alles an DNS-Verkehr über einen
Ukrainischen DNS-Server umgeleitet wurde ohne das ich diese IP-Adresse irgend wo hätte sehen können, einfach
über einen Registry Eintrag.

Re: Ist das spyware?
 

Sprich: Daten sichern, Festplatten shreddern und alles neu draufsetzen.

Re: Ist das spyware?
 

der hier kann falls du wirklich nen r00tkit drauf hast helfen:

http://www.sophos.com/products/free-...i-rootkit.html

gruß
reli

Re: Ist das spyware?
 

So,

hab den PC nun komplett platt gemacht.

MfG - Ghost007 ;)

Re: Ist das spyware?
 

Weise Entscheidung. Und bitte nicht mehr als Administrator oder Hauptbenutzer arbeiten.

Re: Ist das spyware?
 

wenn man sich nicht sicher ist :

Startmenü\Autostart komplett leeren auch unsichtbare !

dann in den regs alles löschen (windows wichtige sind da eh nicht) und dann musste halt icq und so nochmal neu machen (ACHTUNG! die datei kann sich trotzdem wo "reingefressen" haben also is neuaufsetzten sinnvoll

Re: Ist das spyware?
 

Blödsinn was du da sagst :pale: Bevor ich in der Registry wahllos alles lösche, setze ich lieber das System neu auf. Außerdem verstecken sich die Autostarts an so vielen Stellen, dass es schon extrem schwierig ist da alles rauszufiltern. Hast du dann noch ein Rootkit, hast du ein Problem.

Re: Ist das spyware?
 

Schonmal unter 'Ausführen -> msconfig -> Systemstart' geschaut, ob dort irgendwas mitstartet, was nicht soll?

(Ich habe jetzt nicht den kompletten Thread gelesen, aber ich seh, dass es keine Lösung gibt anscheinend. Deswegen nochmal der Vorschlag. ;))

Re: Ist das spyware?
 

Huhu :shock: Die Lösung heißt komplette Neuinstallation. Und genau dies hat der Threadersteller ja auch getan. MSConfig kannst du btw vergessen. Wenn schon, dann solltest du dir das Tool Autoruns von Sysinternals angucken.