Spyware: ADSPY/Casino.B

[Nemnis]

Mein Antivir sagt, dass die Datei "Everest Casino.exe" ein Erkennungsmuster der AD-Spyware ADSPY/Casino.B enthält.
Aber das ist doch eigentlich eine Datei von Everest. Wie könnte da Spyware reinkommen. In dem angegeben Ordner befindet sich außerdem die Datei "Everest Casino" gar nicht. Es gibt da eine Anwendung "casino" und eine "cstart". Wenn ich "casino" klicke öffnet sich das Everest Casino Programm, wo der Server nicht gefunden wird.
Wenn ich "cstart" klicke kommt die Antivir Fehlermeldung, eine Datei "Everest Casino" erscheint und wenn ich "Zugriff verweigern" bestätige, verschwindet die Datei wieder.

Kennt jemand diese Spyware? Soll ich jetzt alle .exe Dateien löschen und neu installieren? Habt ihr sonst irgendwelche Tips?

Edit: Wenn ich "Löschen" wähle, kommt die Fehlermeldung wieder.

 

[Brokenmind]

Verständnisfrage: Antivir meckert über eine Everest-Datei?

Genau deswegen hab ich kein Antivir mehr bei mir hat Antivir über Avast! gemeckert (nen anderen Virenscanner). Wahrscheinlich isses bei dir ein False Positive, gibt ja genug davon.

Versuch mal, nen anderen Virenscanner drüberlaufen zu lassen. Wenn der nix findet, hat Antivir mal wieder nen Fehler gemacht.

PS: Vielleicht ist die Datei gegen löschen geschützt, dann könntest du vor dem Systemstart in eine Endlosschleife geraten, was dir unter Umständen einiges an Arbeit aufhalst.

 

[Silencer23]

Betreffende Dateien mal hier scannen lassen.

Gruss Silencer23

 

[Nemnis]

Ok, hab's mal durchlaufen lassen bei Virus Total und 6 Sachen wurden gefunden. Darunter das Casinoding und Bulk Trojan. Aber wie werd ich das Ding wieder los.
Alles löschen und neu installieren? Oder mit Blowfish wipen?

 

[HorstSchlemmer]

Wirklich sicher ist nur alles Löschen und neu installieren, solange man auf seinem System nicht wirklich alles kennt und genau weiß, was jetzt wozu gehört.

@Brokenmind:
Das sich die Heuristik von 2 verschiedenen Virenscannern gerne mal stört ist altbekannt, deshalb nutzt man auch immer genau einen Virenscanner.

 

[Nemnis]

Ich hab' jetzt versucht das Programm über "Systemsteuerung" "Software" zu löschen. Der Eintrag ist weg aber der Ordner und Inhalt ist noch da, bis auf die "cstart.exe" die auch die Antivirmeldung auslöste. Komisch komisch das ganze. Wie kann ich das denn jetzt alles deinstallieren. Da ist auch keine uninstall-Datei. Uninstall.ico gibt's zwar aber mehr nicht. Ich will das nicht unbedingt einfach so löschen.

 

[Hasentod]

Aus der Tatsache, dass sich die Datei nicht löschen läßt und Virenscanner diese als Spyware identifizieren, schließe ich, dass die Anwendung permanent im Hintergrund aktiv ist.
Wenn sie sich dennoch einfach per Hand löschen läßt (immer weg mit den Mist), dann kannst du den folgen Absatz dennoch zur Kenntnis nehmen.

Wenn du jetzt einen absolut sicheren Weg sucht, den Schädling loszuwerden, dann formatiere die Platte und spiel alles neu auf. Oder falls vorhanden, spiel ein Backup ein, welches vor den Befall gezogen wurde.

Falls obiger Ansatz aus welchen Gründen auch immer nicht möglich ist, bleibt nur der Versuch die Spyware so loszuwerden.
Da sich der Schädling automatisch startet, solltest du ihn in den Drölfmillionen Autostartfunktionen von Windows finden.
Autoruns ist hierbei hilfreich und kann den Eintrag dann löschen.
Nach einen Neustart ist es vielleicht möglich die Datei zu löschen, solange der Schädling nicht mit sich selbst überwachenden Techniken und Rootkits arbeitet.

Mittels der Process Explorers könntest du auch versuchen, den Schädlingsprozess im laufenden System zu killen und die exe danach zu löschen.

Ach ja, nach einem Spywarebefall wäre es sehr ratsam alle Passwörter für Onlinebanking, E-Mail, Ebay, die Pokerseite... zu ändern. Weiß ja niemand, was das Ding bereits weggefunkt hat.