war gestern aus Seri*hier nicht!*.ws, das die da gern mit Viren, Trojanern und Adware um sich schmeissen hat sich ja auch schon bis zu mir rumgesprochen, aber gestern hat mich die neueste Erfindung kalt erwischt.
Auf einmal kamen mitten im Windows Popups mit Werbung und ständig riefen sich Seiten auf.
dahinter stand der Dateiname einer dll, diese scheint einen Random-Generierten Dateinamen zu beinhalten (Beispiele: dnnu0159e.dll, ls3266ghb55.dll usw usw) also das isses, ok steht in system32 und lässt sich nicht löschen (weil läuft grade wohl)
Abgesicherter Modus, Datei nicht da, hmm
Neugestartet, jetzt heisst sie anders, festgestellt das sich das Programm auch im abgesicherten Modus startet und ständig diesen Registry Eintrag aktualisiert, die entsprechnd aktuelle datei lässt sich zum verrecken nicht löschen...
Nach Stunden kam mir ne ganz dumme Idee, da der Bösling ständig diesen Registry Schlüssel aktualisiert, man aber selbst auf diese Schlüssel nicht zuhreifen kann habe ich einfach jedem, ausser dem Administrator persönlich den Vollzugriff auf diesen Schlüssel verweigert, ließ sich immer noch nicht löschen, aber der Bösling kam nicht mehr dran und auf einmal waren die Schlüssel weg...
Neugestartet, keine Erleichterung, immer noch Werbung
und nen neuen Dateinamen, wieder in /Windows/system32...
Gut was einmal geklappt hat, wieder die Rechte von dem Schlüssel genommen, Schlüssel schreibt sich leer, NEUSTART
oh Wunder, immer noch Werbung, naja Prozedur bekannt ich nachgeguckt neuer Eintrag:
O20 - Winlogon Notify: Reinstall - C:\WINDOWS\
Jetzt wirds aber lustig denk ich, reinstallieren iss nich... Dem Schlüssel auch noch die Rechte weg, NEUSTART
SIEG !!!!! (ich sach es ja, mit jedem, aber nicht mit MIR)
Wie auch immer das Ding heissen wird ich denke es ist extrem nervig und jedem soll geholfen werden das Ding wieder los zu werden, daher hier mein Missionsbericht in der Hoffnung das ich jemandem weiterhelfen konnte und zur Verbesserung von HijackThis beizutragen, vielleicht kann man diese Reperatur ja einbauen...
war gestern aus Seri*hier nicht!*.ws,
das die da gern mit Viren, Trojanern und Adware um sich schmeissen hat sich ja auch schon bis zu mir rumgesprochen,
aber gestern hat mich die neueste Erfindung kalt erwischt.
Auf einmal kamen mitten im Windows Popups mit Werbung
und ständig riefen sich Seiten auf.
Virenscanner drüber, Spybot Search & Destroy fanden nichts nennenswertes
Hijack this fand nichts besorgniserregendes ausser diesem:
O20 - Winlogon Notify: Applets - C:\WINDOWS\
O20 - Winlogon Notify: Reinstall - C:\WINDOWS\
O20 - Winlogon Notify: SMDEn - C:\WINDOWS\
So sieht es jetzt aus nachdem ich das Schei... Teil besiegt habe,
vorher stand nur einer dieser Einträge angefangen hat alles mit
O20 - Winlogon Notify: SMDEn - C:\WINDOWS\....................
dahinter stand der Dateiname einer dll,
diese scheint einen Random-Generierten Dateinamen zu beinhalten
(Beispiele: dnnu0159e.dll, ls3266ghb55.dll usw usw)
also das isses, ok
steht in system32 und lässt sich nicht löschen (weil läuft grade wohl)
Abgesicherter Modus, Datei nicht da, hmm
Neugestartet, jetzt heisst sie anders, festgestellt das sich das Programm auch im abgesicherten Modus startet und ständig diesen Registry Eintrag aktualisiert, die entsprechnd aktuelle datei lässt sich zum verrecken nicht löschen...
Nach Stunden kam mir ne ganz dumme Idee,
da der Bösling ständig diesen Registry Schlüssel aktualisiert, man aber selbst auf diese Schlüssel nicht zuhreifen kann habe ich einfach jedem,
ausser dem Administrator persönlich den Vollzugriff auf diesen Schlüssel verweigert,
ließ sich immer noch nicht löschen, aber der Bösling kam nicht mehr dran und auf einmal waren die Schlüssel weg...
Neugestartet, keine Erleichterung, immer noch Werbung
jetzt gabs nen neuen Eintrag
O20 - Winlogon Notify: Applets - C:\WINDOWS\........
und nen neuen Dateinamen, wieder in /Windows/system32...
Gut was einmal geklappt hat,
wieder die Rechte von dem Schlüssel genommen,
Schlüssel schreibt sich leer, NEUSTART
oh Wunder, immer noch Werbung, naja Prozedur bekannt ich nachgeguckt
neuer Eintrag:
O20 - Winlogon Notify: Reinstall - C:\WINDOWS\
Jetzt wirds aber lustig denk ich, reinstallieren iss nich...
Dem Schlüssel auch noch die Rechte weg,
NEUSTART
SIEG !!!!!
(ich sach es ja, mit jedem, aber nicht mit MIR)
Wie auch immer das Ding heissen wird ich denke es ist extrem nervig und jedem soll geholfen werden das Ding wieder los zu werden, daher hier mein Missionsbericht
in der Hoffnung das ich jemandem weiterhelfen konnte
und zur Verbesserung von HijackThis beizutragen,
vielleicht kann man diese Reperatur ja einbauen...
Mfg
The Masterblaster!