Hallo,
nachdem mein o.g. Thread geschlossen wurde und ich gebeten wurde, in diesem Thread weiterzuschreiben stelle ich den direkten Link zur Lösungsanleitung hier ein:
http://www.svenvogt.com/svt/de/Page_Loesung_Spyware.html
Die Lösung hat bei mir auf XP Pro wunderbar funktioniert und erfordert keine Neuinstallation. Müsste aber auch auf W2K, XP Home und Vista funktionieren.
LG
IceMaster
hi ice master,
die anleitung von sven vogt ist ok, aber kannst dir den aufwand sparen, wie schon erwähnt, hab ich alle dazugehörigen dateien von gmer auf´m tablett geliefert bekommen, konnte mit gmer prozess killen und alles dazugehörige mit gmer löschen, (zzz.exe, zzz.dat, zzz_nav.dat, zzz_navps.dat), der reg.-eintrag wurde mir ebenfalls angezeigt, allerdings unter run-, also ein mom. deaktivierter reg.-eintrag damit hijack & co. nix finden.
der letzte abschnitt von doubletrouble gefällt mir sehr gut, somit hab ich seit einiger zeit meine sensiblen daten eh auf einer externen fp.
der kampf gegen malware & co. geht mir langsam aber sicher ganz schön auf den sack, so dass ich meine netzaufenthalte immer mehr reduziere und ich glaube, da bin ich nicht der einzige....
grüße
dix
Zitat von doubletroubleDie Prävention in allen Ehren - da die Prävention einem Fass ohne Boden gleicht, ist bestenfalls - und das nur mit intensivstem Interesse - ein temporär geeignetes "Level" erreichbar. :roll:
das meinte ich ja auch - das Fass ohne Boden -
nur, das boshafte in mir kommt halt eben immer mal wieder durch... 
ob der täglichen HJT-logs...von Monitor-Problemen !
ob des intensivstem Interesses z.B. der anderen "ungeschützten" Mitglieder der Internet-Community...
z.b. der Gelegenheits-e-mail-Opa und seine 100€ Software-Spende...
für den bei esel einkaufenden Neffen...
Oh ! und IceMaster und seine Lösung ist hier auch schon angekommen !
verlinke doch auf deine ganzen avira-posts oder WinFuture oder ?
jedenfalls brauchst du denn nicht immer alles neu schreiben...
huuuiii sogar exklusiv ! (bei richtiger googlung) :lol:
Mhmm..finde ich deine "Lösung" auch, wenn "Festplattencleaner.com" nicht mehr modern ist...
oder ich sogar nach dem richtigen Problem "navipromo" suche ?
aber egal, hauptsache Karl wird gefunden ! (evtl. als inoffizielles navipromo-update noch)
Navipromo. eine durch ein Rootkit versteckte Adware:
Wird meistens von den Benutzern mit einer anderen Software installiert, die "frei" zum Download erhältlich ist.
Deshalb wäre es interessant, ob Du dich noch erinnern kannst, was Du vorher installiert hast. Das sollte dann nämlich ebenfalls vom System entfernt werden.
und die Erinnerung an Ursachen...nicht an Symptome !
Hallo
Hatte bis heute auch so einen Mist auf meinem Rechner, andauernd öffneten sich Seiten von Festplattencleaner,Quelle,Adultfinder u.s.w.
Habe mir auf anraten eines IT Fachmannes die Software -
Sophos Anti-Rootkit runtergeladen und das Programm gestartet.
Es entdeckte gleich 5 Rootkits welche ich mit Sophos entfernte.
Seitdem ist der Spuk vorbei.
Ihr könnt Euch das Programm Sophos Anti Rootkit 1.3 bei Chip.de gratis runterladen.
Gruss Mastermarck
@ mastermarck:
Hallo und willkommen im Forum! 
Hatte bis heute auch so einen Mist auf meinem Rechner
Die Frage, die du dir stellen solltest:
WIE KOMMT DER MIST AUF MEINEN COMPUTER?
[Blockierte Grafik: http://www.cosgan.de/images/smilie/konfus/a080.gif]
Keine Ahnung wie der Mist auf meinen Rechner kam.
Kannst Du es mir erklären?
Gruss Mastermarck
Lese den ganzen Thread und weitere zu Thema Festplattencleaner.de hier im Forum, klicke nicht auf alles was blinkt und installiere nur Programme, die du wirklich brauchst.
Sei vorsichtig mit Mailanhängen und bleibe auf der "guten" Seite des Internets.
Will sagen, meide Seiten, die illegale Inhalte vorhalten bzw. den Eindruck erwecken, als würden sie solche haben!
Kurz: Schalte deinen Grips ein, wenn du im Internet unterwegs bist!
:wink:
Zitat von Boersenfeger.... bleibe auf der "guten" Seite des Internets...
Möge die Macht gegen dich sein ... Es gibt nur die dunkle Seite ... die wahre Seite der Macht 
[Blockierte Grafik: http://img99.exs.cx/img99/7384/starwars8ee.gif]
[Blockierte Grafik: http://img452.imageshack.us/img452/5127/stargate7xu5.gif]
...:AOD:...
wie krig ich die ratte weg, bin nicht alzu hell mit dem pc.
also wie starte ich windows in abgesicherten modus?
und welche dateien im system32 muss ich den löschen oder uberhaupt was löschen?
welche sind die nechsten schritte?
*sry für mein nicht gutes deutsch* :oops:
danke an alle
Nur zur Info: In den abgesicherten Modus kommst Du in der Regel, wenn Du beim Start des Rechners/System die F8-Taste drückst und gedrückt hältst. Unter XP erscheint z.B. ein Bluescreen-Fenster - mit den Pfeiltasten auf/ab den abgesicherten Modus wählen und mit Enter bestätigen - vermutlich wirst Du dann noch nach dem Laufwerk gefragt, was in der Regel C ist - ebenfalls bestätigen.; anschließend das Admin-Konto mit Deinem entsprechenden Admin-Namen wählen. Windows wird im a.M. in einem verkleinerten Fenster ohne Schnickschnack angezeigt.
Geht Windows trotzdem normal auf, dann wurde entweder die F8-Taste zu spät gedrückt oder zu früh losgelassen.
Zum eigentlichen Problem:
Wenn es sich aber um den Übeltäter dreht, der hier in diesem Thread besprochen wurde, wird vermutlich der abgesicherte Modus zunächst nicht wirklich helfen, auch wenn man diverse Scans - etwa mit AdAware, Spybot etc. in der Regel auf diese Weise durchführt; das Problem ist, dass diese Programme diesen Übeltäter leider nicht finden, da es sich um eine Adware handelt, die durch einen Rootkit ausgeführt und getarnt wird und bei jeder Installation einen anderen Zufallsnamen bekommt, also in keiner zu suchenden Signatur solcher Programme vorkommt.
Einfaches Löschen bringt auch nix, wenn nicht zugleich die entsprechenden Dienste abgeschaltet und die Registry-Schlüssel entfernt werden etc., sonst stellt sich der Scheiß beim nächsten Neustart wieder her; sprich: der Übeltäter muss komplett gefixt werden, bevor eventuell verbliebene Dateien etc. gelöscht werden.
Aber zunächst muss es ja dafür erstmal gefunden werden, damit das Ding einen konkreten Namen hat, um nach dem Fixen und vor dem nächsten Neustart sicherheitshalber System und Registry danach durchsuchen zu lassen.
Hiermit geht's:
Mit AVG Anti-Rootkit Free lässt es sich finden - bei einem Kumpel musste ich damit jedoch nicht nur die einzelnen Dateien selber löschen (Sie hatten nun immerhin einen Namen und ich wusste, wo sie sich befinden) ... es hat letztlich nur deshalb mit diesem Tool geklappt, weil ich zusätzlich anschließend noch ein Logfile mit HijackThis erstellt hatte; da der Übeltäter nun einen Namen hatte, war dieser darin leicht zu erkennen und gleich mit HijackThis fixen. Erst dann macht es Sinn, nach Überresten zu suchen und diese zu löschen. (Das AVG-Anti-Rootkit sollte gleich nach einem Neustart durchgeführt werden.; im abgesicherten Modus wird's nicht funktionieren)
Eine Alternative und vermutlich etwas einfacher ist, es mit GMER zu machen; wie ein anderer User hier in diesem Thread beschrieben hat, sollen sich damit die entsprechenden Dateien löschen und zugleich die Dienste fixen lassen.
Sind die Dateien mit einem der beiden Tools gefunden - es sind in der Regel mindestens 4 oder 5 mit unterschiedlicher Datei-Endung aber mit einer zufälligen Buchstabenkombination als Namen (so ähnlich etwa könnten sie aussehen: glbcfliw.exe, glbcfliw.dat etc.) - diesen Namen auf einen Zettel aufschreiben, um im Logfile von HijackThis entsprechende Prozesse wiedererkennen zu können und im Anschluss System und Registry danach durchsuchen lassen zu können. Ebenfalls den oder die Pfade zu den Ordnern notieren, um selbst anschließend nachschauen zu können, ob sie tatsächlich gelöscht wurden oder sich gar dort wieder herstellen.
Wie gesagt - zur Sicherheit - nochmal in den HijackThis Logfile schauen und ggf. noch immer laufende Prozesse mit gleichem Namen damit fixen. (eine HijackThis Anleitung)
In diesem Kontext zum System32:
Im System32 befindet sich ein Ordner "prefetch" - den kompletten Inhalt (nicht den Ordner) kann man nach der ganzen Aktion löschen - die wichtigen Dateien darin, die den Start einzelner oft benutzter Anwendungen beschleunigen, werden im späteren Gebrauch von Windows wieder neu erstellt - also keine Bange. Mit großer Wahrscheinlichkeit liegen auch in diesem Ordner eine oder mehrere verseuchte Dateien, die mit entsprechenden verseuchten Original-exe.-Dateien verknüpft sind. Das Löschen des Inhalts des prefetch-Ordners macht also nur Sinn, wenn die entsprechenden verseuchten Original-exe.-Dateien und die dazu gehörenden Dienste gefixt und entfernt sind, sonst stellen sich auch diese wieder her - es macht nix, den Inhalt des kompletten Ordners zu löschen.
Vermutliche Ursache:
Zudem wird dieser Übeltäter in der Regel mit irgendeiner Freeware mitinstalliert - es ist also ebenso zu untersuchen, mit welcher Software Du Dir die Seuche eingefangen hast - diese muss natürlich selbstredend ebenfalls entfernt werden - am besten als allererstes - also mal nachdenken, was Du da in letzter Zeit installiert hast und von welchen dubiosen Downloadquellen dies herkommt.
Fazit:
Also nicht alles gleich von x-beliebigen Quellen downloaden, nur weil's gratis ist und verlockend klingt; sprich: etwas umsichtiger damit umgehen, was man sich da installiert und wo's herkommt.
... und in aller Ruhe mal hier diesen Thread durchlesen - ich habe dies nur nochmal etwas zusammengefasst, weil die Festplattencleaner-Seuche zur Zeit heftigst die Rund macht. Eine "2 bis 3 Klick-Lösung" allá "Fertigpizza" gibt's dafür leider nicht. :wink: ... da führt kein Weg dran vorbei, sich zu informieren.
P.S.: Den Rechner erst neustarten, wenn alles erledigt ist.
Grüße . doubletrouble
Hallo doubletrouble,
ich dachte ich würde die Seuche nicht wieder los.
Vielen vielen Dank, hat gefunzt. :lol::lol:
Gruß
Neuling H. M.
Sehr geeherte Damen und Herren,
Vielen Dank, daß Sie FestPlattenCleaner Customer Support Center kontaktiert haben.
Wir entschuldigen uns bei Ihnen wegen der Unbequemlichkeiten.
Das passiert, weil auch Dritte teilweise für FestPlattenCleaner werben. Dabei sind wir nicht immer im Stande ihre Methoden zu kontrollieren. Wir analysieren die von Ihnen angegebenen Informationen und wir werden alles Mögliche machen, um dieses Problem zu lösen.
Wir würden Ihnen raten Cookies und temporäre Dateien zu löschen. Folgen Sie diesen Anweisungen:
1. Gehen Sie auf "Start" -> "Programme" -> "Internet Explorer".
2. Klicken Sie auf "Extras" -> "Internetoptionen"
3. Klicken Sie auf "Cookies löschen", dann "Ok".
4. Klicken Sie auf "Dateien löschen", dann "Ok".
5. Schliessen Sie "Internet Explorer"
6. Gehen Sie auf "Start" -> "Programme" -> "Zubehör" -> "Windows-Explorer"
7. Tippen Sie %temp% in der Adressenzeile und drücken "Enter"-Taste.
8. Löschen Sie alle angezeigten Ordner und Dateien.
Wir vermuten auch , dass Sie die Test-Version von FestPlattenCleaner versehentlich installiert haben.
Ich würde Ihnen auch raten die Test-Version zu deinstallieren:
1. Gehen Sie auf "Start" -> "Einstellungen" ->" Systemsteuerung" -> "("Software") "Programme Ändern/Entfernen"
2. Wählen Sie "FestPlattenCleaner" und klicken auf "Entfernen".
3. Folgen Sie den Anweisungen auf dem Bildschirm.
4. Nach der Deinstallation starten Sie den PC neu.
Zögern Sie bitte nicht uns zu emailen, falls Sie andere Probleme haben.
Mit freundlichen Grüssen,
Laura,
FestPlattenCleaner Customer Support Сenter. 
Konnte es zum Glück schon mit doubletrouble`s TIP ausmerzen.
Vor allem weil die Anleitung vom IE als Browser ausgeht und nicht von anderen ...
Toller Support
...:AOD:...
.... zumal der so genannte Support keineswegs einen Weg aufzeigt, wie das Rootkit zu entfernen ist - also diesbezüglich kompletter Unsinn.
Hans Moser: ... freut mich, dass die Zusammenfassung der Lösungsansätze Dir geholfen hat und vielleicht noch anderen hilft. An der Lösung des Rätsels waren jedoch auch noch andere User beteiligt; hab's nur nochmal zusammengefasst, weil der Thread in seiner Länge doch recht unübersichtlich geworden ist.
Grüße - doubletrouble
Hallo, bin erst neu hier, und nicht gerade ein ass in sachen pc`s!
Also ich habe mir den thread durchgelesen, und da ich auch das problem habe möchte ich ne frage stellen. Ich habe mir GMER runtergeladen, und habe mit dem Programm meine Festplatte durchscannen lassen. Ich habe auch rote dateien angezeigt bekommen.
Nun zu meiner Frage: Kann ich diese dateien einfach anhand GMER killen, oder muss ich zuvor noch etwas mit hijackthis machen?
Achja, wenn ich die dateien im explorer suche, dann werden sie nicht gefunden, obwohl ich mir die versteckten dateien anzeigen lasse.
mfg Daniel46
Das ist ja eben der Sinn von GMER daniel, es soll Dateien finden die mit Rootkit Technologie verschleiert worden. Man könnte sagen, eine Art Tarnfeld. Das kannst du auch gleich mit GMER killen.
achso, danke!
edit: bei mir ist bis es jetzt auch mit gmer gegangen!
Als ich gmer nochmal meine festplatte scannen ließ waren die dateien zwar noch da, aber nicht mehr in rot (nur so zur info).
mfg Daniel46
Ich wollt' nur mal schnell danke an alle sagen, die sich an dem Thread beteiligt haben.
Dank dem Sophos Anti-Rootkit bin ich meinen PC-Mitbewohner jetzt wohl auch wieder losgeworden ... sieht zumindest so aus, hoffe, daß ich mich nicht zu früh freue. Ich hatte auch noch zusätzlich eine Datei mit XXXXXX.....pf im c:\Windows\Prefetch Verzeichnis.
Eine Frage jetzt noch, da ich mich seither mit dem Thema Spyware und so nicht ausseinandergesetzt hatte: gutgläubig (war bis vor einigen Wochen nur analog Modem Win 98 Benutzer und damit rel. gut geschützt, da ausser ein paar kb e-mail nix durch mein Modem passte :-)) dachte ich mit Firewall + Antivirus sei ich gegen "alles" geschützt.
Gibt es gegen Spyware/Malware/Adware auch das equivalent zum Virenscanner, den man einfach immer mitlaufen lassen kann? Oder kann man nur irgendwann merken, daß mit dem PC was nicht mehr stimmt und ihn dann scannen + reinigen ... und halt aufpassen und hoffen, daß man sich nicht auf falsche Internetseiten verirrt?
Womit ich es mir dieses Mal eingefangen habe, bin ich mir relativ sicher....
Danke jedenfalls schonmal
Martina
Das Betriebssystem aktuell halten und nicht alles anklicken was bei drei auf den Bäumen ist. Das gilt auch für Software zum installieren.
