setup.exe führt sich immerwieder aus - flash player fake

[ytmfb]

Hallo Leute,

habe ein kleines Problem.

Und zwar war ich online am rumsurfen und es kam die Meldung, mein Flash Player sei nicht mehr aktuell.

Also habe ich auf installieren gedrückt und es war gar nicht der richtige.

Sämtliche unnötige Werbeprogramme und schlechte Tools wurden installiert.

Nachdem ich alles wieder runtergeschmissen hatte dachte ich es wäre wieder in Ordnung, allerdings führt sich bei jedem Systemstart sowie im 3-4 stunden Takt automatisch noch einmal eine Setup.exe aus die den ganzen mist wieder installieren will.

Weiß nicht wie ich die wegbekomme, habe meinen Virenschutz durchlaufen lassen, Registry cleaner, Autostart Verzeichnisse überprüft, versteckte Ordner angezeigt und meinen Temp Ordner gelöscht. Dennoch wird immer aus einem Überordner dessen Name jedesmal anders ist eine Setup.exe ausgeführt.

Wie bekomme ich diese Datei weg?

[Guybrush Threepwood]

System neu installieren. Das ist der einzig sichere Weg.

[jeronimonino]

Du kannst auch noch versuchen die Software zu entfernen aber wirklich sicher kannst du dir nie sein ob nicht doch noch was übrig geblieben ist.

Hier werden dir ein paar rettungs-Cd angeboten (kostenlos) https://www.botfrei.de/

Aber wie gesagt wirklich sicher kann man danach immer noch nicht sein ob nicht doch was übrig geblieben ist.

[Crash2001]

Ansonsten eventuell mal einen Onlinescanner (z.B. Trend Micro Housecall) ausprobieren, ob der noch was findet. Wenn ein Virus / Wurm / Wasauchimmer erst einmal auf dem System ist, kann er sich auch vor einem Scanner verstecken bzw. das Verzeichnis ausklammern bei der Suche - auch ohne dass die Exklusion angezeigt wird bei den Einstellungen.

Ansonsten kann man noch nach diesem "Produkt" googeln nach Anleitungen zur Entfernung. Dafür sind deine Angaben aber zu ungenau, als dass man damit etwas anfangen könnte. Irgendetwas scheint noch drauf zu sein, was immer wieder automatisch aufgerufen wird. Vielleicht wurde auch eine Systemdatei ausgetauscht durch eine infizierte Datei oder so.

[Guybrush Threepwood]

Ansonsten eventuell mal einen Onlinescanner (z.B. Trend Micro Housecall) ausprobieren, ob der noch was findet. Wenn ein Virus / Wurm / Wasauchimmer erst einmal auf dem System ist, kann er sich auch vor einem Scanner verstecken bzw. das Verzeichnis ausklammern bei der Suche - auch ohne dass die Exklusion angezeigt wird bei den Einstellungen.

Da kann aber leider auch ein Onlinescanner im Zweifel nichts dran ändern

[Crash2001]

Naja, es besteht zumindest die MÖGLICHKEIT, dass er es findet.

Ich würde persönlich aber auch komplett neu installieren bei einem solchen Verhalten von dem "Tool". Nur so kann man wirklich sicher sein, dass keine Reste mehr davon im System irgendwo zu finden sind.

[ytmfb]

klar ist das der einzig sichere weg.

aber eine neuinstallation ist derzeit undenkbar, leider.

Daten sind zwar gesichert allerdings die Programme neuzuinstallieren wäre in meiner Position fatal ( Projekte etc laufen darauf )

hab mein avast den pc durchsuchen lassen, den spybot heruntergeladen und mal mit process Manager nachgesehen allerdings hab ich da nicht zuordnen können was zu was gehört ..

auf jedem fall sind in meinem temp ordner 3 Dateien die ich nicht löschen kann weil sie derzeit verwendet werden.

[Crash2001]

[...]aber eine neuinstallation ist derzeit undenkbar, leider.

Daten sind zwar gesichert allerdings die Programme neuzuinstallieren wäre in meiner Position fatal ( Projekte etc laufen darauf )[...]

Gerade DANN sollte es die einzige Option sein. Lieber mal 10 Stunden damit verbringen, das System inklusive aller benötigter Programme wieder neu zu installieren, als kurz vor Projektende dann da zu stehen und in der stressigsten Projektphase mit einem nicht funktionstüchtigen Rechner da zu stehen. Woher willst du wissen, ob nicht noch irgendeine Backdoor offen ist, über den eine entsprechende zusätzliche Schadsoftware ins System gebracht werden könnte. Könnte ja auch sein, dass über eine entsprechende Backdoor die Schadsoftware immer wieder neu heruntergeladen und per remote gestartet wird.

Alternative wäre höchstens einen anderen Rechner (falls verfügbar) zu nutzen oder diesen parallel soweit aufzusetzen, dass man ihn mit dem anderen austauschen kann.

Welchen Temp-Ordner meinst du? (C:\Temp oder einen anderen?) Sind die Dateien auch unterm abgesicherten Modus nicht löschbar?

Mittels dem Processexplorer der Sysinternal Tools ( klick mich ) (oder wars einer der anderen Tools aus dem Paket?) kann man doch afaik auch nachschauen, durch welches Programm eine Datei blockiert wird.

[der.muede.joe]

Erstell Dir einmal einen neuen Benutzer und überprüf mal, ob die Ausführung der Setup.exe auch stattfindet, wenn Du den neuen Benutzer verwendest.

Wenn ja, tippe ich auf einen Eintrag in der Registry...wo genau? Keine Ahnung, vll ist hier ein falscher Eintrag zu finden: HKEY_LOCAL_MASCHINE\\SOFTWARE\\Mircosoft\\Windows NT\\CurrentVersion\\IMAGE File Execution

oder woanders eben...

Sollte der Benutzer nicht davon betroffen sein, dass die Setup.exe gestartet wird, nimm Dir mal den Benutzer-Ordner des betroffenen

Users vor, bei dem die Setup.exe immer gestartet wird, und schau, ob Du dort etwas auffälliges findest - meistens im versteckten Ordner: AppData - dort die Unterordner überprüfen.

Kontrolliere die Eigenschaften von allen Verküpfungen für diverse Programme, die Du benutzt - tritt immer häufiger auf, dass manche Verküpfungen gehijacked werden und dann zusätzliche Parameter dort mit drin stehen - so startet man oft unbewusst immer wieder die besagt Routine der Installation.

Beliebte Verknüpfungen sind: IE, Firefox und Virenprogramme (AntiVir habe ich selber schon erlebt) - kann natürlich auch jede andere Verküpfung betroffen sein.

Hoffe, Du findest den Übeltäter

MfG Joe

[Wuwu]

Wenn ja, tippe ich auf einen Eintrag in der Registry...wo genau? Keine Ahnung, vll ist hier ein falscher Eintrag zu finden: HKEY_LOCAL_MASCHINE\\SOFTWARE\\Mircosoft\\Windows NT\\CurrentVersion\\IMAGE File Execution

oder woanders eben...

Wozu raten? Sysinternals, autoruns runterladen und den Schuldigen suchen.

[ytmfb]

ok gut, hat sich erledigt.

Habe spybot, malwarebytes und adwarebytes, sowie mein avast einmal alles durchsuchen lassen.

Waren ein paar registry einträge sowie infizierte Browser .. ( hieß Nation zoom das ganze )

scheint zumindest so als würde jetzt alles wieder funktionieren

Mfg

[Wuwu]

Schau trotzdem nochmal zumindest mit autoruns und processexplorer nach was da sonst auf dem system laeuft.

[SilentDemise]

ok gut, hat sich erledigt.

Habe spybot, malwarebytes und adwarebytes, sowie mein avast einmal alles durchsuchen lassen.

Waren ein paar registry einträge sowie infizierte Browser .. ( hieß Nation zoom das ganze )

scheint zumindest so als würde jetzt alles wieder funktionieren

Mfg

und du glaubst die finden richtige trojaner?

[Wuwu]

Ja tun Sie in der Regel, keine Ahnung warum jeder immer neuinstallieren will, wenn man sich nicht allzubloed anstellt bekommt man die Durchschnittsmalware durchaus sauber vom Rechner wieder runter, beweisbar.

[Crash2001]

Nunja, man kann sich halt nachdem man einen Virus / Wurm / Backdoor / Trojaner / Malware drauf hatte NICHT mehr 100%ig darauf verlassen, dass die Antivirussoftware nicht ebenfalls kompromittiert worden ist und eventuell doch noch irgendetwas nicht gefunden wurde (z.B. eine Backdoor, die geöffnet wurde, Systemdateien, die ausgetauscht oder gelöscht wurden, ...). Dementsprechend kann man noch so oft meinen, dass man alles entfernt hat - solange man nicht ganz genau nachvollziehen kann, was die Schadsoftware gemacht hat, bleibt immer ein Restrisiko, wenn man das System danach weiter verwendet. Es muss nichtmals zwingend ein Rest der Schadsoftware oder Backdoors o.ä. sein, sondern es kann genauso ein undokumentierter Eintrag in der Registry für ein installiertes Programm sein, der verändert wurde. So etwas zu finden ist dann doch schon sehr aufwändig und im Normalfall ist man mit einer Neuinstallation schneller, als wenn man sich durch die ganze Registry ackern würde - mal ganz davon abgesehen, dass es jede Menge Einträge gibt, die nicht wirklich dokumentiert sind, die aber je nach Programm fatal sein können.

Ob man wirklich alles wieder entfernt hat, kann man sich einfach nicht 100% sicher sein und genau aus dem Grund rate ich Leuten mit infizierten Rechnern eigentlich immer zu einer Neuinstallation - Ausnahme sind vielleicht noch Standardschadsoftware, deren Schädigung genau dokumentiert ist und die man eindeutig identifizieren kann und der nach der Infektion nicht mehr am Netz war.

Bearbeitet 14. Januar 2014 von Crash2001

[Guybrush Threepwood]

Ja tun Sie in der Regel, keine Ahnung warum jeder immer neuinstallieren will, wenn man sich nicht allzubloed anstellt bekommt man die Durchschnittsmalware durchaus sauber vom Rechner wieder runter, beweisbar.

Soso dann beweise doch mal das du dir nur die "Durchschnittsmalware" zugezogen hast und nicht auf dem selben Weg, oder auf einem Weg den die gefundene Malware geöffnet hat, noch ein paar andere Sachen.

Richtig kannst du nicht. Das Einzige was du weißt ist das irgendwie Schadsoftware deinen Rechner infiziert hat und du ab dem Moment deinem Rechner nicht mehr vertrauen kannst. Wenn man das einfach ignoriert weils schon nicht so schlimm sein wird dann sollte man lieber nicht davon reden ob andere sich blöd anstellen

Aber hey irgendwoher müssen die Ganzen Botnetzwerke und Virenschleudern ja kommen.

[gewünschter_Benutzername]

Man kann noch mal den Kaspersky zusätzlich drüber jagen: Latest Versions | Virus Removal Tool | Kaspersky Lab

[lilith2k3]

Virenscanner sind was für's Kopfkissen, damit man ruhig schlafen kann.

Ein Virenscanner besitzt eine gewisse Heuristik, mit welcher das System nach Schädlingen abgesucht werden kann. Wenn ein Virenscanner Befall meldet, hat er etwas gefunden. Meldet der Scanner keinen Befall, heißt dass nur, dass er nichts gefunden hat, nicht, dass das System sauber ist. Wer ein wirklich sauberes System haben will, sollte den "Auslieferungszustand" wieder herstellen. Andere Zustände könnten möglicherweise kompromittiert sein.

Ansonsten:

ThinkGeek :: No, I will not fix your computer

[Crash2001]

Man kann noch mal den Kaspersky zusätzlich drüber jagen: Latest Versions | Virus Removal Tool | Kaspersky Lab

1. Kaspersky erkennt auch nicht alles.
   
2. Einer Software, die man nach einem Befall installiert, kann prinzipiell nicht vertraut werden, da sie bereits bei der Installation kompromitiert werden könnte. (Bereiche automatisch ausgeschlossen bei der Suche, Suchengine durch ein Fakeprogramm ausgetauscht, u.s.w.)

je länger man ein System online lässt, um so mehr kann passieren. Ergo vom Netz trennen, Daten sichern auf Wechselplatte o.ä., Festplatte formatieren und neu installieren. Die Wechselplatte dann an einem nicht befallenen Rechner nach Viren 7 Schadsoftware durchsuchen, bevor die Daten zurückgespielt werden.