TrojanSPM/LX

[Shadaik]

Okay, ich habe folgendes problem:

Offenbar hab ich mir die malware TrojanSPM/LX gefangen. Die ist praktischerweise daran zu erkennen, dass sie ihre Existenz laut heraustrompetet um mich dazu zu verleiten, eine fake-Antispyware runterzuladen, die dann der tatsächliche Virus ist.
Problem erkannt, Problem gebannt? Von wegen!

Das Teil wird von üblicher Antivirussoftware nicht erkannt und es blockiert diverse andere Programme von der Ausführung, darunter den Taskmanager, alle Browser (ausser den IE, der aber nur noch die Seite der Fake-Spyware anzeigen kann) und die Softwae, mit der man das Ding wieder entfernen kann.
Die Gegensoftware, SmitFraudFix, ässt sich zwar im abgesicherten Modus starten, allein: Das infizierte Betriebssystem startet gar nicht erst im abgesicherten Modus (das liegt nicht gezwungenermaßen an dem Virus, sondern könnte im System selbst liegen). Das Programm von dem Betriebssystem auf der anderen Festplatte zu starten, bringt nix, hab ich schon ausprobiert. Mir bleibt also nur, das Virus manuell zu löschen.
Weiss irgendwer, wie? Meine Google-Ergebnisse helfen da leider nicht sehr weit.

Meine Motivation, den ganzen Tag damit zu verbringen, 50GB auf DVDs zu sichern, um das Betriebssystem neu aufzusetzen ist vergleichsweise gering.
_________________
Fische schwimmen nur in zwei Situationen mit dem Strom: Auf der Flucht und im Tode

[MountainKing]

Kannst du mal ein Log mit Hijackthis machen und posten? Ist es denn möglich, vom anderen Betriebssystem aus die Platte mit dem infizierten mit einem Virenscanner prüfen?

[Shadaik]

Ich hab HijackThis nicht drauf - das kannte ich bis vor ein paar Minuten noch nicht mal.
Avira AntiVir (und laut Internet auch Norton) finden die Malware ganz einfach nicht. Bzw. nur unwichtige Teile davon. Und leider finden sie etliches, was gar keine Viren sind (Teile von Programmierumgebungen und Alexa vor allem).
Und dafür gingen heute morgen schon sinnlos 3 Stunden drauf...

Es muss doch irgendwo eine Möglichkeit geben, das manuell zu machen, also die Datei, die das Virus enthält kurzerhand zu löschen. Das virus muss sich doch irgendwo auf der Festplatte befinden.
_________________
Fische schwimmen nur in zwei Situationen mit dem Strom: Auf der Flucht und im Tode

[Shadaik]

So, ich mach jetzt noch einen Anlauf hiermit: http://www.spywarevoid.com/system-security-removal-guide-remove-system-security.html

Wünscht mir Glück. Ich sag bescheid, wenn's geklappt hat.
Lustigerweise ist meine meldung im Blog, dass ich heute wegen der Infektion dort vorerst nix schreibe inzwischen unter die Top-Suchergebnisse zu der Malware gekommen.
_________________
Fische schwimmen nur in zwei Situationen mit dem Strom: Auf der Flucht und im Tode

[Misterfritz]

[MountainKing]

Hijackthis ist hier zu finden:

http://www.hijackthis.de/de

Ist eigentlich selbsterklärend, damit werden die bei Systemstart geladenen Programme sowie bestimmte typische Ansatzpunkte von Spyware angezeigt und man kann sie gegenenfalls dann auch zumindest aus dem Autostart herausnehmen, weil das erst mal das gröbste Problem ist. Allerdings ist es da nicht gut, dass der abgesicherte Modus nicht geht.

Hast du dir dieses System Security denn auch aus Versehen runtergeladen? Oder will der dich nach wie vor dazu verleiten?

Wenn man es irgendwie hinbekomme, das Laden beim Systemstart zu unterbinden, kann man sich dann an das Löschen der Files direkt machen. Aber es wäre erst mal gut zu wissen, welche Prozesse da genau involviert sind, daher das HJT-Log.

[Shadaik]

Nein, er will mich dazu verleiten, das ist mir aber sofort verdächtig gewesen, weil das Design der Fenster nicht passt und die Texte grammatische Fehler enthalten.

Unterdessen hat der PC Tools Spyware Doctor die Stellen gefunden. Leider blockiert der Trojaner die Regedit und der Spyware Doctor will, dass ich ihn bezahle, bevor er was dagegen tut.
Gibt es da ne vernünftige Freewarealternative oder ein Programm, mit dem ich entweder in die Registry komme ohne Regedit zu starten oder (noch besser) in die Registry eines anderem Systems auf dem selben Computer komme (denn ich hab ja zum Glück zwei OS drauf)?
HijackThis probier ich mal aus, wenn ich den Autostart wegkriege dürfte der Rest nur noch Handarbeit sein. bei dem namen dachte ich, das hilft nur vorher, nicht mehr nachher.
_________________
Fische schwimmen nur in zwei Situationen mit dem Strom: Auf der Flucht und im Tode

[Necromancer]

Nicht immer gleich den PC plattmachen. Es gibt verschiedene, kostenlose Boot CDs mit Virenproggis im Internet. Ultimate Boot CD ist ein davon. Dann gibt es jede Menge Tools. Spybot search and Destroy oder Stinger von MCAfee wären kostenlos und gut.
Wenn du dich ein wenig auskennst unter XP guckst selber in die Registry unter dem Punkt - Run. Dort stehen meist einfache Schädlinge drin.
_________________
Viele Gedenkminuten hätten durch Denkminuten verhindert werden können. (H.v.D.)

[MountainKing]

Wie gesagt, erst mal noch nichts fixen, sondern nur ein Log erstellen und posten, dann weiss man schon mal mehr.

[Misterfritz]

[Necromancer]

regedit mag spartanisch sein man kann jedoch gut und übersichtlich darin arbeiten.
Wenn es ein einfach gestrickter Schädling ist kannst du es auch unter <Ausf> mit msconfig probieren.
Alternativ lässt er sich evtl. auch von einem 2ten OS aus mit einem Virenscanner erledigen.

[Shadaik]

Weder die Regedit des befallenen Systems noch die Kommandozeileneingabe funktionierten.

Das Problem ist inzwischen behoben:

Mit HiJackThis bin ich einen Teil der Registry-Einträge losgeworden.

Die Malware ist dann immer noch gestartet, hat dafür aber so lange gebraucht, dass ich vorher die Regedit starten und über zwei Bootvorgänge verteilt die falschen Registry-Einträge (deren Orte ich aus dem vorherigen Scan des Spyware Doctor kannte) löschen konnte. Es waren zwei Bootvorgänge nötig, weil der Fiesling im System die Regedit gezielt abstürzen ließ, sobald er gestartet war (ebenso wie die Kommandozeile, Chrome und - seltsamerweise - Paint), aber dann waren alle Einträge raus.

As das Problem soweit gehoben war, hat der Spyware Doctor die unrechtmäßigen Zugriffe durch den Trojaner bemerkt und geblockt, ich habe die geblockten Dateien dann umgehend gelöscht. Jetzt muss ich nur noch ein-zwei Einstellungen und die ursprüngliche winhelper.dll wiederherstellen, dann solle alles wieder laufen

@Misterfritz:
Er könnte schon auf die Registry zugreifen, will aber vorher, dass ich eine Lizenz für 20€ kaufe. Da ich aber letztlich den manuellen Zugriff auf die Registry zurückerlangen konnte und der Doctor mir zumindest sagte, welche Einträge befallen waren, brauchte ich das dann aber nicht mehr.
_________________
Fische schwimmen nur in zwei Situationen mit dem Strom: Auf der Flucht und im Tode

[Shadaik]

Und hiermit melde ich mich von meinem alten System wieder.
_________________
Fische schwimmen nur in zwei Situationen mit dem Strom: Auf der Flucht und im Tode

[MountainKing]

Sicherheitshalber würde ich noch die alten Systemwiederherstellungspunkte löschen (Wiederherstellung deaktivieren, neu booten und wieder aktivieren) weil einige derartige Schädlinge sich da gern verstecken und wieder einschleichen.

[Poldi]

[nocquae]

[zelig]

Wie oder wo holt man sich eigentlich sowas?

[nocquae]

[zelig]

Das erinnert mich daran, wie ich mir unter win95 mal ein angebliches Spiele-Patch gezogen habe.
Tja, schlagartig für alle Zeiten geheilt. ; )

[Poldi]

[NiH]

Also ich hab zuhause generell Skripte beim Surfen deaktiviert, aber auch keinen Virenscanner an oder gar eine Firewall installiert. Ich sitze hinter einem Router und hatte nur einmal ein Problem mit irgendeinem Wurm.
Einmal pro Woche lasse ich das Antivirus-Programm durchlaufen. Partitionen sind natürlich ganz wichtig, ebenso wie ein sicheres Adminkonto und ein eingeschränktes, das man fürs Arbeiten, Spielen, Surfen, etc. benutzt. Windows hat das einem aber nie nahe gelegt, so dass der Eindruck entsteht, dass man das gar nicht bräuchte.

[Shadaik]

[Poldi]