Moin Moin,

hab hier nen Sorgenkind mit einer TRojaner-Infektion Drop.Avar.2 mit folgenden Aktionen:

1. Erstellt ein Booteintrag mit BHOStartPage der sich mit HijackThis löschen läßt, sich aber nach einem Neustart wieder erstellt.

2. er erstell eine Datei unter c:\windows\system32\ die mit hp anfäng, dann kommt eine 4-stellige Buchstaben/Zahlenkombi und dann .tmp also hp????.tmp diese Datei ist bei jedem Systemstart anders.

Antivir ist tagesaktuell. Scan im abgesicherten Modus findet keine Bedrohungen !

Löschen der Datei mit Killbox bei Systemstart auch nicht erfolgreich, da sie ja jedes mal den Namen ändert.

Trat zusammen mit mssearchnet.exe auf, welches sich aber per killbox beim Start löschen lies.

Aktive, verdächtige Prozesse sind mir nicht aufgefallen.

Unter google findet man nur einen dänischen Eintrag, der mir nicht viel sagt, weil ich das man gar nicht kann! Die anderen beiden Einträge sind Tinnef.

Trojaner ist nagelneu. Kann jemand helfen, kennt den jemand?

Vielen Dank vorab!

Benki

Habe gestern beim unversierten Kumpel genau den gleichen Trojaner gefunden.

Ist echt hartnäckig. Benki hat ihn sehr gut beschrieben. Hinzuzufügen habe ich nur ein kleines Symbol rechts unten neben der Uhr welches abwechselnd als weißes X auf rotem Kreis oder als Windows Update Icon blinkt.

Mir ist nicht genau klar, ob es dazugehört.

Klickt man mit links oder rechts darauf, wird versucht eine "komische" Seite aufzurufen.

Moin,

habe mittlerweile weitere Erkenntnisse und eine Lösungsmöglichkeit, die ich aber bei betroffenem Rechner noch nicht ausprobiert habe. Also das Tray-Icon mit dem roten X gehört zu dem sehr hartnäckigen Spyaxe. Nachfolgend eine sehr ausführlich beschriebene Entfernungsmethode, mit der auch andere Schädlinge eliminiert werden können:
http://virus-protect.net/artikel/spyware/spyaxe.html

Hoffe, das hilft.

Grüße!

Benki

@ll
bitte arbeitet das durch: http://www.trojaner-board.de/announcement.php?f=20
@Ergerschlumpf
An der Stelle sind die Lösungen gewünscht. Wenn du das gleiche Problem hast, sollst du einfach die Lösungsvorschläge verfolgen. Wenn es nicht hift, bitte einen neuen Thread öffnen.

öhm da kann ich nicht folgen!? Es wurde kein HJT-File oder eScan Virus-Log gepostet !?

Zitat:

Zitat von Benki

Es wurde kein HJT-File oder eScan Virus-Log gepostet !?

Das soll der Betroffene tun .

genau das steht in dem link drin, den ich gepostet habe

wenn ich mir das hier so alles durchlese,wäre es eventuell besser alles neuaufsetzen.
dann wärst du jedenfalls auf der sicheren seite..

gruß

Zitat:

Zitat von Benki

genau das steht in dem link drin, den ich gepostet habe

Jemand von uns ist IMHO heute nicht ganz wach geworden: Ich möchte HJT-Log und eScan-Log sehen, die am betroffenen Rechner erstellt wurden. Was wolltest du mit deinem Link sagen, habe ich nicht so richtig vertsanden, I'm afraid.
BTW: Der Vorschlag von hoerni26 finde ich gar nicht schlecht .

@rene

ich bin ja auch dafür wenn man es so retten kann so zu retten.
aber indem fall wäre mir das hin und her zu dumm..
dann lieber Neuaufsetzen und auf der sicheren seite sein.
sonst ist das eine behoben dann steht schon das nächste problem vor der tür..
gruß

@hoerni26
Wahrscheinlich heute ist doch nicht mein Tag, denn keiner versteht mich richtig : Ich plädiere in 99% der Fälle für Neuaufsetzen (guck mal alle meine 3.??? Postings durch, wenn du Lust und Zeit dafür hättest ) , und habe deinen Vorschlag voll ernst genommen.