Hi all, es scheint es sind viele Rechner von diesem Trojaner betroffen.

Hier eine komplette Lösung:


Infizierte Dateien:

settdebugx.exe
wscsvc32.exe
(richtx64.exe)
Installer.exe

Diese Dateien befinden sich C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\

Um die Dateien löschen zu können, müssen ihre Prozesse beendet (kill) werden. Mit HijackThis oder ähnliches.

Die Prozesse haben den gleichen Namen wie die Dateien!
Sobald ein Prozess beendet wurde, muss sofort die Datei aus dem Verzeichnis gelöscht werden, sonst aktiviert er sich wieder in wenigen Sekunden.

Sobald die infizierten Dateien gelöscht sind, sollte der ganze Inhalt vom Temp Ordner (s.o.) gelöscht werden, da sich hier weitere infizierte Dateien befinden können.

Registereintrag HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\ löschen
Desweiteren HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN überprüfen ob sich hier Etwas befindet.

Zusätzlich C:\Documents and Settings\User\Local Settings\Temp\richtx64.exe überprüfen ob diese Datei existiert. Diese auch löschen!

Im Ordner C:\Windows\Prefetch können sich weiterhin folgende Dateien aufhalten, diese auch löschen:

RICHTX64.EXE-288E60C5.pf
WSCSVC32.EXE-01761A09.pf
SETTDEBUGX.EXE-18417C72.pf
INSTALLER.EXE-0D7CF6F9.pf

Hallo und

Danke für deinen Lösungsvorschlag , doch bei Befall gibt es keine Patentlösung!
Jeder Trojaner/Virus oder was auch immer, kann sich sonst wie nennen! Ich könnte ja auch mein HijackThis in "Installer.exe" umbenennen, trotzdem wäre es nicht schädlich.
Jedem User muss individuell geholfen werden!

da dieser Trojaner relativ neu ist, gibt es nur wenige globale bezeichnungen für ihn.

ich hatte schon 4 infizierte rechner gesehen, immer das gleiche.

das programm gibt sich als das microsoft security center zu sein.
und die dateien stimmen wohl. wenn du dich im forum umschaust, findeste einige user mit diesem trojaner.

Guten Mittag Mixa,

danke für die Schritte, die du da beschrieben hast - habe einen Großteil der Dateien so finden können. Bei denen im Verzeichnis Prefetch finde ich 3 dieser Datein, gedoch mit anderen "Nummern" - zb. "SETTDEBUGX.EXE-2E8C96C2.pf"

Entsprechen diese dennoch den zu löschenden?

Danke schonmal, LG.

Du kannst die Dateien im Prefetch Ordner komplett ignorieren, sie sind harmlos.

Bitte denke daran, das das keine "Komplettloesung" ist und auch nicht sein kann. Es bietet einem die Moeglichkeit Programme wie Mbam und aehnliche Programme wieder zum laufen zu bringen. Sollte man sich mit Prozessen und Windows im allgemeinen nicht gut auskennen, sollte man diese Anleitung nicht ohne weiteres nutzen, da man immer von zusaetzlichen Malwarebefall ausgehen muss.

Ich habe das gleiche Porblem aber ich bei mir gibt es den Ordner "Lokale Einstellungen" und "Temp" nicht.

jop danke werds ma ausprobieren genau diese Daten existieren bei mir, Eisbonbon was fürn system haste? bei vista isses C:\benutzer\admin\AppData\Local\Temp
wenn du nur Lokale Einstellungen nicht hast probier ma das einfach in die Adressleiste einzugeben

hallo,

habe mir heute morgen diesen virus eingefangen (settdebugx.exe
wscsvc32.exe). habe das direkt bemerkt und noch versucht alle unbekannten prozesse im taskmanager sofort zu stoppen (vielleicht ist das der grund, warum bei mir installer.exe und richtx64.exe nicht aufgetreten sind?).
im anschluss kamen die beschriebenen immer wiederkehrenden falschen sicherheitswarnungen.
habe daraufhin mit hjt die entsprechenden einträge gefixt und alle dateien aus dem temp-ordner gelöscht. nachdem dann erstmal ruhe war, bin ich auf diesen beitrag gestossen, habe sämtliche anweisungen befolgt, und habe im anschluss einen neustart ausgeführt.
jetzt läuft das system scheinbar wieder störungsfrei...bis auf dass sich mein antivir nicht mehr starten lässt! es startet nicht automatisch und wenn ich versuche, es manuell zu starten, erscheint der prozess zwar im taskmanager (avcenter.exe), mehr aber auch nicht. ausserdem verschwindet der eintrag nach wenigen minuten auch wieder. allerdings kann ich nach wie vor lokale dateien und ordner über rechtsklick (->scan selected files with antivir) mit antivir überprüfen lassen.
aus anderen beiträgen habe ich rausgelesen, dass auch bei allen anderen virenscannern das gleiche problem besteht. kennt jemand schon eine lösung für dieses problem?
dass mir eine Neuinstallation auf kurz oder lang nicht erspart bleibt, ist mir klar, allerdings fänd ich es trotzdem toll, mich bis dahin nicht vollkommen ungeschützt im internet bewegen zu müssen.

bin für jeden tip dankbar,
kh

Zitat:

Zitat von Eisbonbon

Ich habe das gleiche Porblem aber ich bei mir gibt es den Ordner "Lokale Einstellungen" und "Temp" nicht.

bei mir waren die ordner versteckt, aber trotzdem keine von den dateien drin....

Das ist leider normal, das es fuer Malwarebefall keine einfache Loesung fuer alle gibt. Jeder mit dem Problem sollte hier ein neues Thema eroeffnen
http://www.trojaner-board.de/newthre...newthread&f=20

mit den entsprechenden Reporten und Informationen, die hier gefordert werden
http://www.trojaner-board.de/69886-a...-beachten.html

Ich habe Windows XP Pro.

IChhabe auch shcon versucht die Ordner und dei Dateien mit den Sucher zu suchen aber ohne erfolg