HijackThis.de Support Board  

Zurück   HijackThis.de Support Board > Allgemein > Sicherheits-News

Thema geschlossen
 
Themen-Optionen
Alt 08.01.2006, 21:17   #1 (permalink)
Supermod a.D.
 
Benutzerbild von Ruby
 
Registriert seit: 25.01.2005
Ort: The Netherlands
Beiträge: 20.409
SpywareStrike? Remove it

SpywareStrike, als geklonter Zwilling von SpyAxe bezeichnet, befindet sich ebenfalls auf der roten Liste von Spyware Warrior. Ein interessanter Artikel dazu von
Suzi Turner - zdnet.com und ebenfalls sehr lesenswert, Mark's Sysinternals Blog zu
The Antispyware Conspiracy.


Hallo User, lass dich nicht hinters Licht führen, auch SpywareStrike wird dir nicht behilflich sein, um Spyware von deinem System zu entfernen, sondern dich zur Kasse bitten, um dir einen angeblich wirkenden Spyware-Scanner aufzuschwatzen, der zwar nicht funktioniert, aber dich mit einem frisch verseuchten System in Helper-Foren bringt, damit wir etwas zu tun haben ;-)

Lies dazu auch meinen Beitrag SpyAxe|SpySheriff|SpywareStrike|Smitfraud (Remover), dem du viel Information entnehmen kannst.

Solltest du das Changelog auf S!Ri's Seite nicht finden, so haben wir hier an Board eine Zweitausfertigung von S!Ri's 'mitwachsendem Dateifile', unter


Dies sind die im HijackThis Logfile sichtbaren Einträge, wenn sie denn alle vorhanden sind:

C:\Program Files\SpywareStrike\SpywareStrike.exe
O4 - HKLM\..\Run: [SpywareStrike] C:\Program
Files\SpywareStrike\SpywareStrike.exe /h

%SYSTEM%\mssearchnet.exe
%SYSTEM%\nvctrl.exe
%SYSTEM%\hp????.tmp

und, dies sind Dateien, die man mit verschiedenen Hilfsprogrammen auf einem System finden kann:

%SYSTEM%\browsela.dll
%SYSTEM%\csrss.exe
%SYSTEM%\links.exe
%SYSTEM%\netwrap.dll
%SYSTEM%\ntps.exe
%SYSTEM%\sysjv32.exe
%SYSTEM%\wiatwain.dll
%windows%\country.exe
%WINDOWS%\d3??.dll
%WINDOWS%\d3dn32.exe
%WINDOWS%\d3pb.exe
%windows%\drsmartload.dat
%windows%\drsmartloadb1.dat
%WINDOWS%\ieyi.dll
%WINDOWS%\ieyi.exe
%WINDOWS%\sdkcb.dll
%WINDOWS%\sdkqq.exe
%WINDOWS%\sysen.exe
%windows%\timessquare1.dat
%homedrive%\drsmartloadb.exe
HKEY_LOCAL_MACHINE\SOFTWARE\muwq

Das Programm führt wahrscheinlich noch eine Reihe weiterer Dateien mit sich. Vor der manuellen Entfernung wird gewarnt, da die Folge davon ein weiterer Trojaner oder Trojan Downloader der Familie Zlob sein kann, der ein weiteres Programm dieser Art installiert. Ein Bericht hierzu in englischer Sprache im AdwareReport.com "SpywareStrike".

Weiterführende Information und Hinweise zur Entfernung finden sich hier: www.2-spyware.com

Bei den Betriebssystemen
WinXP und Win2K
kann der Remover


SmitFraudFix

eingesetzt werden.

... mit einem herzlichen Dankeschön an unsere französischen Freunde von Zebulon
für die Nachforschungsarbeiten und die Tipps

und an S!Ri für einen tollen Remover

Für alle anderen Betriebssysteme bieten wir eine Lösung im Forum an.

Man sollte meinen, es würde langsam langweilig, aber die Erfinder der Fake-Programme reiten weiter auf dieser Masche, die sich anscheinend auszahlt, gibt es doch genug Spyware-Geschädigte, die sich ahnungslos und hilfesuchend im Netz bewegen....

Geändert von Ruby (11.01.2006 um 05:26 Uhr) Grund: Update
Ruby ist offline  
Alt 09.01.2006, 07:25   #2 (permalink)
Supermod a.D.
 
Benutzerbild von Ruby
 
Registriert seit: 25.01.2005
Ort: The Netherlands
Beiträge: 20.409
AW: SpywareStrike (Smitfraud-Variant)

SmitfraudFix
(WinXP, Win2K)

für Smitfraud, Win32.puper, AVGold, Security iGuard, Spyware Vanisher,
quicknavigate.com, updateSearches.com, startsearches.net, Virtual Maid,
SpySheriff, PSGuard, SpyAxe, WinHound, SpywareStrike...

entwickelt von
S!Ri, moe31 und balltrap34

Anleitung

Zitat:
Lade das SmitfraudFix von S!Ri, moe31 und balltrap34 runter: SmitfraudFix

1. Vorbereitung:
entpacke (SIMPLYZIP) das gesamte Archiv auf deinen Desktop oder in den neu zu erstellenden Ordner C:\smitfraudfix
(Wie man einen neuen Ordner anlegen kann, kannst du diesem Windows Tutorial entnehmen.)

2. Recherche:
Doppelklick auf smitfraudfix.cmd
wähle die Option 1
um einen Bericht über die Infektionsart zu erhalten.
Speichere das Logfile.

3. Reinigung:
Boote in den abgesicherten Modus
Doppelklick auf smitfraudfix.cmd
wähle die Option 2
um die, für die Infektion verantwortlichen, Files vom System zu entfernen.
Beantworte die Frage: "Voulez-vous nettoyer le registre ?" (Wollen Sie die Registry reinigen) mit O (oui -> ja).
Der Fix stoppt, wenn die "wininet.dll" infiziert ist.
Beantworte die Frage: "Corriger le fichier infecté ?" (Wollen Sie die infizierte Datei ersetzen) mit O (oui -> ja).
Speichere das Logfile.

Wähle die Option 3
um die vertraulichen Angaben zu löschen.

Starte dein System neu auf.
Mit einem herzlichen Dankeschön an unsere Kollegen aus Frankreich.

* * *

Windows XP und ME: deaktiviere nach den Reinigungsarbeiten die Systemwiederherstellung,
boote den Rechner, aktiviere die Systemwiederherstellung,
vergib einen neuen Systempunkt.
Ruby ist offline  
Alt 11.01.2006, 01:52   #3 (permalink)
Supermod a.D.
 
Benutzerbild von Ruby
 
Registriert seit: 25.01.2005
Ort: The Netherlands
Beiträge: 20.409
AW: SpywareStrike (Smitfraud-Variant) Remover

Noadfear's SmitRem fix, weiterentwickelt durch Nick-YF19, ist mittlerweile ebenfalls einsetzbar, um etliche Versionen des Smitfraud von den Systemen (Windows 2000 and XP) zu entfernen:

* SpyAxe
* Smitfraud
* Security IGuard
* Virtual Maid
* Search Maid
* AntiVirusGold or AV Gold
* PSGuard
* SpySheriff
* Spy Trooper
* SpywareStrike -->hinzugefügt am 7.Jan. 2006
* Security Toolbar

Es kann unter diesem Link heruntergeladen werden: smitRem.exe.

Mehr Information zum Thema: wiki.castlecops.com

Mit Dank an unseren Team-Anwärter karl83, der mich gerade darauf aufmerksam gemacht hat.
Ruby ist offline  
Alt 24.01.2006, 04:07   #4 (permalink)
Supermod a.D.
 
Benutzerbild von Ruby
 
Registriert seit: 25.01.2005
Ort: The Netherlands
Beiträge: 20.409
AW: SpywareStrike? Remove it

SpywareStrike 2.5 Removal
ist ein Entfernungsprogramm, das von Atribune.org zur Verfügung gestellt wird:
(Download: http://www.atribune.org/ccount/click.php?id=3)

Anwendungsweise:

# Lade das Programm herunter und speichere es auf deinem Desktop.
# Bringe es mittels Doppelklick zum laufen.
# Starte deinen Rechner neu auf.
# Um herauszufinden, ob die Malware SpywareStrike restlos beseitigt ist, kannst du dich bei uns im Forum melden.
Our English speaking Users may want to have a look to Atribune.org, to load down the SpywareStrike 2.5 Removal.
As you want to know if you got rid of the malware, please ask on English-Help.

Ruby ist offline  
Alt 31.01.2006, 20:33   #5 (permalink)
Unregistriert1
Gast
 
Beiträge: n/a
Daumen runter AW: SpywareStrike? Remove it

Also das "Tool" bringt gar nichts! Hoffe jemand findet eine Lösung,,
 
Alt 31.01.2006, 21:40   #6 (permalink)
Supermod a.D.
 
Benutzerbild von Ruby
 
Registriert seit: 25.01.2005
Ort: The Netherlands
Beiträge: 20.409
AW: SpywareStrike? Remove it

Hallo Unregistriert1

welches Tool bringt nichts?
Wir haben mehrere, bitte genauere Angaben.

Ausserdem:

lade HijackThis runter, entpacke es in den Ordner C:\Programme\HijackThis
(Kostenloses Zip-Tool: SIMPLYZIP)
Erstelle ein HijackThis Logfile laut Anleitung und poste es im Forum für HijackThis Logfiles.
Ruby ist offline  
Alt 10.02.2006, 23:20   #7 (permalink)
Supermod a.D.
 
Benutzerbild von Ruby
 
Registriert seit: 25.01.2005
Ort: The Netherlands
Beiträge: 20.409
AW: SpywareStrike? Remove it

Ein Hinweis für alle, die sich damit abquälen, die neuen Varianten des Smitfraud von ihren Systemen zu entfernen.

Die Produzenten dieser Malware haben sich noch immer nicht zur Ruhe begeben, wir auch nicht, und
S!Ri hat seinen Remover aktualisiert:

Das SmitFraudFix (WinXP, Win2K) liegt nun in der Version 2.19 vor.
Wer Interesse daran, herauszufinden, welche Dateien damit vom System entfernt werden können,
möchte sich bitte das Changelog anschauen.

Geändert von Ruby (11.02.2006 um 14:16 Uhr) Grund: SmitFraudFix Version 2.19
Ruby ist offline  
Alt 26.04.2006, 10:19   #8 (permalink)
Einsteiger
 
Registriert seit: 26.04.2006
Beiträge: 12
AW: SpywareStrike? Remove it

leider sämtliche links broken ...
Carbeaux ist offline  
Alt 26.04.2006, 10:37   #9 (permalink)
Moderator
Team-Mitglied
 
Benutzerbild von Marco Polo
 
Registriert seit: 16.02.2005
Ort: am Ammersee
Beiträge: 2.693
AW: SpywareStrike? Remove it

Zitat:
Zitat von Carbeaux
leider sämtliche links broken ...
Dem kann ich nicht nachvollziehen
__________________
Marco Polo ist offline  
Alt 26.04.2006, 10:51   #10 (permalink)
Einsteiger
 
Registriert seit: 26.04.2006
Beiträge: 12
AW: SpywareStrike? Remove it

ja mea culpa .... hatte mit hijackthis irgentwas zerschossen dass dafür gesorgt hat das ich inet neustarten musste damit s wieder ging ...
Carbeaux ist offline  
Thema geschlossen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are aus
Pingbacks are aus
Refbacks are aus


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
System Intrusion Detected! (SpyWarestrike) Unregistered Archiv 6 10.01.2006 23:08


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:49 Uhr.


Powered by vBulletin® Version 3.8.4 (Deutsch)
Copyright ©2000 - 2009, Jelsoft Enterprises Ltd.
SEO by vBSEO 3.3.2
© 2004 - 2009 by HijackThis.de