http://iqtesting.info/iqtest.exeIch habe ein Problem mit dem TR/Crypt.XPACK.Gen-Trojaner.

Egal wie oft ich antivir durchlaufen lasse und ihn lösche, kommt er immer wieder und zwar in:

C: /Doukumente und einstellungen/***/Lokale/Temporary files/Content.IE5/0QY27Y41/ldr[1].exe

und

C:/WINDOWS/ldr.exe

Ich hatte früher schon mal ziemliche Probleme mit Viren und hab ziemlichen "Respekt" vor den Dingern. Habe mich auch schon bei google informiert nur verstehe ich davon sehr wenig und habe keine Ahnung, wie ich den wieder los bekomme...

Kann mir jemand helfen?
Danke!

So,

also der Trojaner dden du auf deinem System hast ist eigentlich harmlos...

1. Mal eine Grundlegende Frage: Wie oft updatet dein Pc die antiviren-aktualisierungen?

Ich würde Vorschlagen, das du deinen Pc ersteinmal im abgesicherten Modus startest, dann einen vollständigen systemscan durchlaufen lässt und alle gefundenen infizierungen bzw. Viren löschen... Danach den Pc normal wieder starten und nochmal den gleichen scan machen und wenn der scan nun keine Viren bzw. infizierungen mehr findet kann man davon ausgehen, dass er gelöscht wurde. Vor dem allerdings, schicke bitte einmal einen HJT Log, damit man sieht was auf deinem System vielleicht die weitere Ursache dafür sein könnte, vielleicht dazu auch einen Report von Avira Antivir.

Zitat:

Zitat von terayaki

also der Trojaner dden du auf deinem System hast ist eigentlich harmlos...

Eigentlich nein F-Secure Computer Virus Information Pages: Googkle

Zitat:

Ich würde Vorschlagen....

die Vorschläge, mit Hilfe von Aspirin, ein bisschen Sport und kaltem Wasser alle Krankheiten zu bekämpfen, können hier erspart bleiben.

Moin! Ich habe grade mein Windows neu installiert und seit dem den oben genannten Virus. Ich hab Antivir schon 2 mal über meine 200 GB rüberlaufen lassen und er hat beide male keinen Fund gemeldet (im abgesicherten und normal). ich aktualisiere es täglich und trotzdem findet er den Virus 2 mal, immer gleich 2 mal auf einmal. und zwar erstellt der virus immer einen ordner im windows ordner:

D:\Windows\exefld\44464828.exe

nach jedem start von windows findet er ihn und nach einigen stunden meldet er sich von alleine wieder. über schnelle hilfe wäre ich echt dankbar, da mich das tierisch bei meiner arbeit stört!

ich lösche den virus jedes mal wenn er sich meldet und er kommt trotzdem immer wieder, nur von wo???

Gruß
NotAlive

BITTE EINEN NEUEN THREAD ERÖFFNEN auch wenn du das gleiche Problem hast. So ist es hier üblich. Allerdings braucht ihr beiden uns nicht länger bemühen...

Ihr habt einen aktiven Backdoor auf dem System und dürft d.h. dem link aus meiner Signatur zum Neuaufsetzen folgen.
Das wollte Rene-gad sagen ^^

Gruß

Undoreal

Hallo!!!

Mich ärgert dieser Trojaner zur Zeit auch.... bitte um Hilfe wie ich ihn loswerden kann.......

Frage: hab ich das so richtig vertsanden, PC im sichern modus hochfahren und dann virenscann laufen lassen und dann noch mal normal.... und wenn er da nix findet, bin ich ihn dann endgültig los????

und wie starte ich im sicheren Modus???

Hey! Hab mich auch lange mit dem Virus rumgeärgert. Aber nach einigem Suchen bin ich doch zu ner Lösung gekommen!

lade dir mal combofix.exe runter (google's einfach)

Alle Programme schließen, combofix ausführen und neu starten lassen. Dann dürfte dein Virenscanner schonmal nicht mehr ansprechen, war zumindest bei mir so...war ja lästig am anfang wenn der 10000 Fehlermeldungen bringt...

Es wird eine log.txt erstellt, die speicherst du ab. (am besten da, wo du sie wieder findest )

Schick das log an die verdammt netten Menschen von http://www.trojaner-board.de/ und die sagen dir dann welche dateien du noch genau in die txt-datei einfügen musst, die du erstellen sollst. Vielleicht findest du's ja auch selber raus, oder hier kann dir auch jemand helfen.

Zieh dann die erstellte txt auf das icon von combofix....und lasse das laufen....

jetzt hab ich ruhe!!

Viel Erfolg

Sebastian

ich hab den selben virus und wollte jetzt eben fragen,ob mir jemand mit dem log.txt helfen könnte
sebastian 198 meinte,man müsse ihn ändern,aber davon haeb ich keine ahnung

ComboFix 08-07-07.3 - Pennerlecker 2008-07-09 4:49:51.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.586 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Pennerlecker\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\rqRLeDVO.dll
.
---- Previous Run -------
.
C:\Dokumente und Einstellungen\Pennerlecker\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\5MPW6QQB\iforex.com
C:\Dokumente und Einstellungen\Pennerlecker\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\5MPW6QQB\iforex.com\Emerp\Events\flash_object.swf\user_data.sol
C:\Dokumente und Einstellungen\Pennerlecker\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#iforex.com
C:\Dokumente und Einstellungen\Pennerlecker\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#iforex.com\settings.sol
C:\Programme\Mozilla Firefox\plugins\npclntax.dll
C:\Programme\VideoAccessCodec
C:\Programme\VideoAccessCodec\install.ico
C:\WINDOWS\bxsbang.dll
C:\WINDOWS\kthemup.exe
C:\WINDOWS\system32\ddcBSLef.dll
C:\WINDOWS\system32\feLSBcdd.ini
C:\WINDOWS\system32\feLSBcdd.ini2
C:\WINDOWS\system32\mcrh.tmp

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-09 bis 2008-07-09 ))))))))))))))))))))))))))))))
.

2008-07-09 12:20 . 2008-07-09 12:20 <DIR> d-------- C:\WINDOWS\LastGood
2008-07-08 11:55 . 2008-07-08 11:55 <DIR> dr------- C:\Dokumente und Einstellungen\LocalService\Favoriten
2008-07-08 11:54 . 2008-07-08 11:54 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM
2008-07-04 00:33 . 2008-07-04 00:38 <DIR> d-------- C:\WINDOWS\system32\Adobe
2008-06-20 15:02 . 2008-06-20 15:02 <DIR> d-------- C:\ConvertTemp
2008-06-11 00:12 . 2008-06-14 19:57 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-06-11 00:12 . 2008-06-14 19:57 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-09 11:01 --------- d-----w C:\Dokumente und Einstellungen\Pennerlecker\Anwendungsdaten\Hamachi
2008-07-08 22:33 --------- d-----w C:\Dokumente und Einstellungen\Pennerlecker\Anwendungsdaten\Skype
2008-07-08 09:55 --------- d-----w C:\Programme\BrowsingProgram
2008-06-30 16:05 --------- d-----w C:\Programme\Save
2008-06-23 09:04 --------- d-----w C:\Programme\Messenger Plus! Live
2008-06-22 18:11 --------- d-----w C:\Programme\Yahoo!
2008-06-22 18:05 --------- d-----w C:\Programme\Paltalk Messenger
2008-06-22 18:05 --------- d-----w C:\Dokumente und Einstellungen\Pennerlecker\Anwendungsdaten\Paltalk
2008-06-20 10:44 360,960 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:32 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-11 18:17 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TrackMania
2008-06-08 17:06 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus!
2008-06-01 18:59 --------- d-----w C:\Dokumente und Einstellungen\Pennerlecker\Anwendungsdaten\WorldShift
2008-05-27 21:17 --------- d-----w C:\Dokumente und Einstellungen\Ngoc Phuong\Anwendungsdaten\Skype
2008-05-24 22:47 --------- d-----w C:\Programme\Hamachi
2008-05-24 22:46 25,280 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2008-05-24 13:23 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-24 13:22 --------- d-----w C:\Programme\BearShare
2008-05-24 13:14 278,984 ----a-w C:\WINDOWS\system32\drivers\atksgt.sys
2008-05-24 13:14 25,416 ----a-w C:\WINDOWS\system32\drivers\lirsgt.sys
2008-05-24 12:59 --------- d-----w C:\Programme\Virtual CD v9
2008-05-12 12:52 --------- d-----w C:\Dokumente und Einstellungen\Pennerlecker\Anwendungsdaten\Teeworlds
2008-05-12 09:44 --------- d-----w C:\Programme\TmNationsForever
.

((((((((((((((((((((((((((((( snapshot@2008-07-08_20.21.55.65 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-07-08 18:15:35 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-07-09 11:00:14 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2007-03-22 17:07:56 91,488 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7040211900063D11C8EF10054038389C\11.0.8173\ADDRPARS.DLL
+ 2007-04-19 11:53:52 127,328 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7040211900063D11C8EF10054038389C\11.0.8173\IMPMAIL.DLL
+ 2007-04-19 11:53:44 106,336 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7040211900063D11C8EF10054038389C\11.0.8173\OUTLMIME.DLL
+ 2007-03-22 17:07:10 41,824 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7040211900063D11C8EF10054038389C\11.0.8173\RECALL.DLL
+ 2007-03-22 17:07:54 78,168 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7040211900063D11C8EF10054038389C\11.0.8173\RM.DLL
+ 2007-03-22 17:22:02 103,264 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7040211900063D11C8EF10054038389C\11.0.8173\TRANSMGR.DLL
- 2008-06-22 18:08:13 12,288 ----a-r C:\WINDOWS\Installer\{91120407-6000-11D3-8CFE-0150048383C9}\cagicon.exe
+ 2008-07-09 10:22:38 12,288 ----a-r C:\WINDOWS\Installer\{91120407-6000-11D3-8CFE-0150048383C9}\cagicon.exe
- 2008-06-22 18:08:13 135,168 ----a-r C:\WINDOWS\Installer\{91120407-6000-11D3-8CFE-0150048383C9}\misc.exe
+ 2008-07-09 10:22:38 135,168 ----a-r C:\WINDOWS\Installer\{91120407-6000-11D3-8CFE-0150048383C9}\misc.exe
- 2008-06-22 18:08:13 11,264 ----a-r C:\WINDOWS\Installer\{91120407-6000-11D3-8CFE-0150048383C9}\mspicons.exe
+ 2008-07-09 10:22:38 11,264 ----a-r C:\WINDOWS\Installer\{91120407-6000-11D3-8CFE-0150048383C9}\mspicons.exe
- 2008-06-22 18:08:13 27,136 ----a-r C:\WINDOWS\Installer\{91120407-6000-11D3-8CFE-0150048383C9}\oisicon.exe
+ 2008-07-09 10:22:39 27,136 ----a-r C:\WINDOWS\Installer\{91120407-6000-11D3-8CFE-0150048383C9}\oisicon.exe
- 2008-06-22 18:08:13 4,096 ----a-r C:\WINDOWS\Installer\{91120407-6000-11D3-8CFE-0150048383C9}\opwicon.exe
+ 2008-07-09 10:22:39 4,096 ----a-r C:\WINDOWS\Installer\{91120407-6000-11D3-8CFE-0150048383C9}\opwicon.exe
- 2008-06-22 18:08:13 794,624 ----a-r C:\WINDOWS\Installer\{91120407-6000-11D3-8CFE-0150048383C9}\outicon.exe
+ 2008-07-09 10:22:39 794,624 ----a-r C:\WINDOWS\Installer\{91120407-6000-11D3-8CFE-0150048383C9}\outicon.exe
- 2008-06-22 18:08:13 249,856 ----a-r C:\WINDOWS\Installer\{91120407-6000-11D3-8CFE-0150048383C9}\pptico.exe
+ 2008-07-09 10:22:38 249,856 ----a-r C:\WINDOWS\Installer\{91120407-6000-11D3-8CFE-0150048383C9}\pptico.exe
- 2008-06-22 18:08:13 23,040 ----a-r C:\WINDOWS\Installer\{91120407-6000-11D3-8CFE-0150048383C9}\unbndico.exe
+ 2008-07-09 10:22:39 23,040 ----a-r C:\WINDOWS\Installer\{91120407-6000-11D3-8CFE-0150048383C9}\unbndico.exe
- 2008-06-22 18:08:13 286,720 ----a-r C:\WINDOWS\Installer\{91120407-6000-11D3-8CFE-0150048383C9}\wordicon.exe
+ 2008-07-09 10:22:38 286,720 ----a-r C:\WINDOWS\Installer\{91120407-6000-11D3-8CFE-0150048383C9}\wordicon.exe
- 2008-06-22 18:08:13 409,600 ----a-r C:\WINDOWS\Installer\{91120407-6000-11D3-8CFE-0150048383C9}\xlicons.exe
+ 2008-07-09 10:22:38 409,600 ----a-r C:\WINDOWS\Installer\{91120407-6000-11D3-8CFE-0150048383C9}\xlicons.exe
- 2006-08-16 11:58:06 100,352 ----a-w C:\WINDOWS\system32\6to4svc.dll
+ 2006-08-16 12:13:36 100,352 ----a-w C:\WINDOWS\system32\6to4svc.dll
- 2006-08-16 11:58:06 100,352 -c--a-w C:\WINDOWS\system32\dllcache\6to4svc.dll
+ 2006-08-16 12:13:36 100,352 -c--a-w C:\WINDOWS\system32\dllcache\6to4svc.dll
- 2004-08-04 12:00:00 138,496 -c--a-w C:\WINDOWS\system32\dllcache\afd.sys
+ 2008-06-20 10:44:08 138,368 -c--a-w C:\WINDOWS\system32\dllcache\afd.sys
- 2008-02-20 05:33:54 148,992 -c--a-w C:\WINDOWS\system32\dllcache\dnsapi.dll
+ 2008-06-20 17:36:12 147,968 -c--a-w C:\WINDOWS\system32\dllcache\dnsapi.dll
- 2004-08-04 12:00:00 247,296 -c--a-w C:\WINDOWS\system32\dllcache\mswsock.dll
+ 2008-06-20 17:36:12 247,296 -c--a-w C:\WINDOWS\system32\dllcache\mswsock.dll
- 2007-10-30 16:53:32 360,832 -c--a-w C:\WINDOWS\system32\dllcache\tcpip.sys
+ 2008-06-20 10:44:42 360,960 -c--a-w C:\WINDOWS\system32\dllcache\tcpip.sys
- 2006-08-16 09:37:30 225,664 -c--a-w C:\WINDOWS\system32\dllcache\tcpip6.sys
+ 2008-06-20 09:32:39 225,920 -c--a-w C:\WINDOWS\system32\dllcache\tcpip6.sys
- 2008-02-20 05:33:54 148,992 ----a-w C:\WINDOWS\system32\dnsapi.dll
+ 2008-06-20 17:36:12 147,968 ----a-w C:\WINDOWS\system32\dnsapi.dll
- 2004-08-04 12:00:00 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
+ 2008-06-20 17:36:12 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
- 2007-11-30 11:18:34 18,808 ------w C:\WINDOWS\system32\spmsg.dll
+ 2007-11-30 12:39:14 18,808 ------w C:\WINDOWS\system32\spmsg.dll
.
-- Snapshot reset to current date --
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"msnmsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 12:34 5724184]
"Veoh"="C:\Programme\Veoh Networks\Veoh\VeohClient.exe" [2008-04-18 14:30 3628080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-10-15 16:48 185784]
"VC9Player"="C:\Programme\Virtual CD v9\System\VC9Play.exe" [2007-04-12 15:33 202312]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-02-01 00:13 385024]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.dvacm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\Vio\Dvacm.acm
"msacm.MPEGacm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\MPEG\MPEGacm.acm
"msacm.ulmp3acm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\MPEG\ulmp3acm.acm
"VIDC.XFR1"= xfcodec.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\World of Warcraft\\WoW-1.12.0-deDE-downloader.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\TmNationsForever\\TmForever.exe"=
"C:\\Programme\\Hamachi\\hamachi.exe"=
"C:\\Dokumente und Einstellungen\\Pennerlecker\\Desktop\\worldshift\\bin\\WorldShift.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-15 21:53]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-15 21:53]
R1 vdrv9000;vdrv9000;C:\WINDOWS\system32\DRIVERS\vdrv9000.sys [2007-01-23 11:48]
R2 VC9SecS;Virtual CD v9 Management Service;C:\Programme\Virtual CD v9\System\VC9SecS.exe [2007-04-12 15:33]
S3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys [2004-11-24 03:00]
S3 HH9Help.sys;HH9Help.sys;C:\WINDOWS\system32\drivers\HH9Help.sys [2006-09-20 12:42]
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNMp50.sys [2006-11-28 22:46]
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNSp50.sys [2006-11-28 22:46]
S3 ss_bus;SAMSUNG Mobile USB Device 1.0 driver (WDM);C:\WINDOWS\system32\DRIVERS\ss_bus.sys [2005-08-30 18:57]
S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\WINDOWS\system32\DRIVERS\ss_mdfl.sys [2005-08-30 18:58]
S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\WINDOWS\system32\DRIVERS\ss_mdm.sys [2005-08-30 18:59]
S3 XDva093;XDva093;C:\WINDOWS\system32\XDva093.sys []

.
Inhalt des "geplante Tasks" Ordners
"2008-07-08 13:19:04 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2008-03-01 15:00:00 C:\WINDOWS\Tasks\dfrg.job"
- C:\WINDOWS\system32\dfrg.msc
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-09 13:01:13
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Virtual CD v9\System\vc9tray.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-09 13:08:12 - machine was rebooted [Pennerlecker]
ComboFix-quarantined-files.txt 2008-07-09 11:08:09

42 Verzeichnis(se), 40,339,726,336 Bytes frei
45 Verzeichnis(se), 40,917,745,664 Bytes frei

200 --- E O F --- 2008-07-09 10:22:42

Hallo!

Bin neu hier.
Ich wollte mal einen Tip zum Thema Backdoors geben:

1. Feststellen, welche DLL's gerade als Prozess laufen(meist dll's mit Zufallsnamen, wie qz3gtd.dll)
2. den Namen merken und 'RegEdit.exe' ausführen
3. In RegEdit links einmal auf 'Arbeitsplatz' klicken
4. STRG+F drücken
5. im Requester dann den Namen der DLL eingeben
6. bei Fund bitte sorgfältig abwägen und feststellen, mit welcher EXE die DLL geladen wird
7. wenn das geschehen ist, dann auf der linken Seite den entspr. Schlüssel rechts anklicken und auf 'Berechtigungen' gehen
8. Diesem Schlüssel SÄMTLICHE Berechtigungen entziehen
9. im abgesicherten Modus Neustarten


Die DLL wird nun nicht mehr geladen und kann entfernt werden. Obacht: die meisten dieser Drecksdinger sind gekoppelt mit vielen anderen DLL's, die z.B. durch den Start des MS IE geladen werden, weil sie dort als Add-On eingetragen werden. Da hilft dann auch der Abgesicherte nichts mehr und Ihr könnt von Vorne anfangen. Deshalb: Wichtig - sofort mit Virenprogrammen Suchläufe starten. Und bitte nicht nur auf EIN Programm verlassen. Gute Erfahrungen hab ich gemacht mit 'Avira AntiVir', 'MS Tool zum entfernen Bösartiger Software (MRT.EXE)', 'Lavasoft Ad-Aware' und 'MS Windows Defender'. Am besten diese Programme nacheinander suchen lassen. Das dauert zwar ein halbes Leben lang, aber wozu gibt es denn Nächte?

Weiterhin: Unbedingt beim erteilen der Zugriffsrechte sehr sorgfältig vorgehen. Es ist z.B. schädlich der WinLogOn.exe die zugriffsrechte zu entziehen. Ebenso die System32.exe. Mit diesen Dateien werden aber die meisten DLL's gestartet, was dann meistens in der Registry eingetragen ist. genau diesem Schlüssel (NICHT DEN KEY!!!) die Rechte entziehen.

Ich weiß, dass diese Vorgehensweise nicht die feine Englische ist, aber so bin ich der Lage Herr geworden und (nicht zu verachten) der Sieg über einen Backdoor ist doch schon was feines.



Mfg
Alex

MfG

AW: TR/Crypt.XPACK.Gen
Hallo,
ich hab alles soweit gemacht wie es unten beschrieben ist.
Wem darf ich die txt-Datei schicken??
Bin leider auf dem Gebiet der Computertechnik ein ziehmlicher "Depp"
Ich bin für jegliche Hilfe furchtbar dankbar!!

Klaus


"Hey! Hab mich auch lange mit dem Virus rumgeärgert. Aber nach einigem Suchen bin ich doch zu ner Lösung gekommen!

lade dir mal combofix.exe runter (google's einfach)

Alle Programme schließen, combofix ausführen und neu starten lassen. Dann dürfte dein Virenscanner schonmal nicht mehr ansprechen, war zumindest bei mir so...war ja lästig am anfang wenn der 10000 Fehlermeldungen bringt...

Es wird eine log.txt erstellt, die speicherst du ab. (am besten da, wo du sie wieder findest )

Schick das log an die verdammt netten Menschen von http://www.trojaner-board.de/ und die sagen dir dann welche dateien du noch genau in die txt-datei einfügen musst, die du erstellen sollst. Vielleicht findest du's ja auch selber raus, oder hier kann dir auch jemand helfen.

Zieh dann die erstellte txt auf das icon von combofix....und lasse das laufen...."