dedie
Hast du mal nach der Datei "d:\Programme\Globe Software\StatBar\StatBar.exe" gesucht.
Ansonsten würde ich mal das übliche machen "HJT" usw. aber bitte keine selbstlöschversuche
deoroller
Ich brauche nicht nach der Statbar zu suchen, weil sie ständig vor meiner Nase hängt.
Die ist aber harmlos und sendet nix.
Natürlich spioniert sie. Aber in meinem Auftrag.
dedie
Ich sollte zu später Stunde besser die Brille aufsetzen
MobyDuck
Hallo deo,
da musst du wohl das ganze Programm abfahren. Keine Ahnung, ob ein Bot seine Anwesenheit verschleiert oder ob's einer der allseits beliebten Spybot-Fehlalarme ist. Haste nicht zufällig ein frisches Image greifbar? Würde wohl am wenigsten Arbeit machen.
Ansonsten:
Eintrag mit Autostart Explorer verifizieren
(Findest du in der Database)
Was sagt netstat?
laufende Prozesse checken, z.B. mit Process Viewer oder ähnlichem
HJT-Log
E-Scan
Aber wem sag ich das.
deoroller
Bevor ich mich mit den "Innereien" von Spybot beschäftigt habe und zufällig den Eintrag fand, hatte ich bereits das ganze Programm über die Festplatte fahren lassen. Einzig und allein in der Autostartanalyse von Spybot gibt es den Hinweis über den Eintrag. Den habe ich mittlerweile gelöscht und nach etlichen Windos-Neustarts als Admin und auch als Benutzer tauchte er nicht mehr wieder auf. Das lässt mich zu dem Schluss kommen, das dieser Wurm versucht haben könnte im PC Fuss zu fassen, aber durch irgendwas daran gehindert wurde und der leere Run-Eintrag als Registryfragment zurückblieb.
Weder HJT, Ad-Aware, MS Antyspyware, Active Ports, TCPView und das neue
CurrPorts (ausführlicher als TCPView) zeigten eine Unregelmäßigkeit.
Das vermutlich einzig zuverlässig saubere Image, das ich habe, ist das, das ich gleich nach dem Neuaufsetzen gemacht habe. Ich hätte da noch 4 weitere seit dem Neuaufsetzen und eins der vorgehenden Installation zur Auswahl, aber ich habe nicht so recht Lust die alle durchzugehen.
Irgendwo habe ich gehört, dass einer der neuen Spywarescanner auch "fremde" Betriebssysteme analysieren kann. Das wäre eine Mögichkeit die Images einfach virtuell zu starten und dann zu checken.
