Was für eine Meldung kommt denn?
Wenn der Trojaner regedit sperrt, dann wirst du um ein Neuaufsetzen nicht drumrumkommen.

Falls du noch Interesse hast, deine Datei auszuwerten. tue folgendes: (ja ich glaub immernoch, dass sich die Datei dort befindet )

Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Files to delete:
C:\WINDOWS\System32\winlog.exe

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.



Poste den Inhalt der C:\avenger.txt Datei.

(Mit vielen Dank an Sunny, der diese schöne Anleitung verfasst hat. )

regedit funktioniert doch habe vorher ausversehen dededit eingegeben sorry

es erscheint der registrierungs editor was muss ich jezt machen?


bei dem tool kam diese meldung

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Error: selected file does not appear to be a valid script.
Error code: 0

Bearbeiten->Suchen-> winlog eingeben

Das Ergebnis bitte hier posten!

lg myrtille

ist vll. ne dumme frage aber muss bevor ich suche anklicke der arbeitsplatz blau hinterlegt sein oder ist das egal?

Ich merk das es spät wird. Hab grad ernsthaft überlegen müssen welchen Arbeitsplatz du meinst und wieso der blau sein soll.

Da ich es jetzt aber geschnallt hab:
Ist eigentlich egal.

lg myrtille

Hab was gefunden

Name: winlog
typ: REG_SZ
Wert:winlog.exe

hi kannst du den gesamten pfad ablesen? Du müsstest dafür auf der linken seite die ordner rückverfolgen.

Es geht auch anders, ich weiß nur nicht mehr wie. EDIT: Unten in der Statusleiste wird die gesamte Adresse angezeigt, also einfach den Ordner anwählen, zu dem die Suche hingesprungen ist und die adresse bitte abkopieren.


Wenn ja bitte hier posten!
lg myrtlle

hmm. ich denke es ist im

hkey_Current_User

dann steht das kleine - vor software
-microsoft


und das war es dann nach windows steht vor jedem ordner ein +

das was ich ebend geschrieben habe kannst du vergessen


hier : hkey_Current_USer
Software
data fellows
microsoft
esent
process
winlogon


meintest du das?

Mir ist es dann doch noch eingefallen. Siehe mein Edit.

Ich fürchte aber, dass dürfte dann dieser Eintrag sein:

Zitat:

HKEY_CURRENT_USER\Software\Microsoft\OLE
Winlog = "winlog.exe"

und damit hast du wieder nen Backdoor an Bord.

ohhhh ich bin dumm jetzt hat es klick gemacht

Arbeitsplatz\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

HKEY_Current_USER\Software\OLE

Tja, das dürfte dann wirklich der gaobot zu sein.

Neuaufsetzen würde ich sagen.

Hast du irgendeine Idee, wie du dir so schnell wieder etwas eingefangen hast? Warst du ohne SP2 im Internet? Hast du ausführbare Dateien von deinem alten System übernommen?

lg myrtille

Bist du sicher das das hier dasselbe ist?

HKEY_Current_USER\Software\OLE
winlog="winlog.exe"


und das hier HKEY_Current_USER\Software\OLE


weil bei mir fehlt das winlog="winlog.exe"


könnte es sein das der key noch von der neuaufsetzung übrig blieb ohne den trojaner zu haben oder so etwas?