| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojaner immer noch im autostart abgebildetWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
28.01.2012, 21:16
| #1 |
| |  Trojaner immer noch im autostart abgebildet Nabend Ich steh hier vor einem Rätsel und zwar hatte ich mir vorgestern noch den BKA Trojaner eingefangen und dann erstmal paar stunden dran gesässen um es wieder in den griff zubekommen. Erstmal möchte ich erklären was genau ich gemacht habe , allerdings habe ich jetzt auch nicht soviel erfahrung was das solche probleme mit dem pc angehen : 1. In den Abgesichertenmodus mit Eingabeaufforderung gegangen und die regedit aufgerufen. anschließten diese pfade überprüft auf das "Shell" verzeichnis wegen dem explorer.exe wert : "HKEY_LOCAL_MASCHINE/SOFTWARE/Microsoft/windowsNT/CurrentVersion/Winlogo " Ebenfalls das ganze auch nochmal unter "HKEY_CURRENT_USER/SOFTWARE/Microsoft/windowsNT/CurrentVersion/Winlogo" Bei HKEY_LOCAL_MASCHINE War unter Shell bereits der wert Explorer.exe eingetragen. Unter HKEY_CURRENT_USER habe ich merkwürdiger weise keinen eintrag namens Shell gefunden , ist das normal?. Dann habe ich den Pc neugestartet und bin ich den Abgesicherten Modus mit Netzwerktreibern gegangne und habe die "msconfig" aufgerufen und dann den Reiter Autostarts ausgewählt mir sprang dann sofort das Systemstartelement " 0.38380274687559535.exe " Ins Auge mit Einem Russischen Namen Als Hersteller. Also: Systemstartelement: 0.38380274687559535.exe Befehl: C:\Windows\System32\rundll32.exe C:\User\"""\AppData\Local\Temp\0.38380274687559535.exe,F1122 Ort: C:\Users\"""\AppData\RoamingMicrosoft\Windows\Start Menu\Programs\Startup Ich habe den Harken des Autostarts dann entfernt und den Pc neugestartet ( Normal Hochgefahren ) und siehe da ich konnte wieder aggieren also es tat sich kein zahlungsscreen mehr auf. Aber damit war ich noch nicht fertig ich habe dann im normalen Windowsmode einmal den Ort des elementes aufgesucht auser einen leeren Startup ordner habe ich aber leider nichts gefunden ( sicht versteckter elemente ist an ) Laut ordner scan mit avast befanden sich dortdrin auch keine datein ( überrüfung von ordner und dateien abgeschlossen 1/1 ) Ich habe den Startup dann zur sicherheit dennoch gelöscht gehabt , habe ich was damit falsch gemacht? Dann habe ich den Befehl pfad aufgesucht und dadrunter habe ich dann wirklich eine temp datei namens " 0.38380274687559535.exe " gefunden. Ich habe sie dann mit rechtsklick gelöscht und den pc nochmal neugestartet. Der Pc fährt nun normal hoch allerdings befindet sich im autostart immer noch die datei allerdings steht nun bei Hersteller Unbekannt also nichtmehr dieser russische name. Das ganze hat mich stuzig gemacht und ich habe den Pc scannen lassen: AdawareFREE im normalen windows mode = Nichts gefunden auser zwei cookies AvastFREE im normalen windows mode = Nichts gefunden. Dann bin ich nochmal in den abgesicherten modus gegangen mit eingabeaufforderung und habe den Explorer aufgerufen mit " explorer.exe " Dann habe ich meinen Mp3 Player angeschlossen aufdem sich die datei " Superantispyware " (nachdem ich sie mit meinem notebook runtergeladen hatte ) befand und habe das programm 2 mal durchlaufen lassen ebenso auch addaware: Superantispyware = 127 Cookies Add Aware = Nichts Superantispyware = Nichts Da er immer noch nichts weiteres fand bin ich nochmal in die regedit gegangen und habe folgende pfade überprüft: HKEY_LOCAL_MASCHINE\Software\Microsoft\Windows\Cur rentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run Unter diesen pfaden habe ich nichts verdächtiges gefunden. Naja nun meine frage: Was meint ihr ist der trojaner somit wirklich verschwunden? gibt es noch andere möglichkeiten das system und prozesse zuchecken vllt mit hijack (weiß aber nicht wie genau das funktioniert vllt kann mir das ja einer kurz erklären) oder gibt es andere programme? Und was ist mit dem Autostart dort befindet sich ja immer noch die datei , ist das ein fehler von windows oder versteckt sich der trojaner noch irgentwo? Ich hoffe man kann mir hier weiterhelfen MfG Chris Hier noch ein screen von meinem Task Was mir dabei gerade auffällt ist das es zweimal den Prozzes "netsession_win.exe" gibt oder ist das normal? Und der Prozzes " splwow64.exe " ist nun nichtmehr aktiv obwohl ich nichts geschlossen hatte er hat sich wohl von selber beendet. Mir ist der Prozzes auch unbekannt soweit ich weiß hatte ich diesen noch nie im Task. |
| Themen zu Trojaner immer noch im autostart abgebildet |
| autostart, avast, dateien, dll, explorer.exe, fehler, frage, gelöscht, hijack, mp3, netzwerk, notebook, ordner, programm, programme, prozesse, regedit, rundll, rundll32.exe, scan, sicherheit, superantispyware, system32, temp, trojaner, versteckt sich |
Baum-Darstellung