| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Drehe mich im KreisWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
09.12.2007, 12:44
| #1 |
 |  Drehe mich im Kreis Hallo Forum, seit 3 Tagen jage ich jetzt meinem Trojaner hinterher. Inzwischen ist mir klar, dass er sich als winlogon-notifier beim Booten in´s System einklinkt. Mein Security Task Manager zeigt mir an, dass 2 hidden Tasks im System laufen. Aus dem System löschen kann man die aber nicht. Spybot S&D zeigt mir die Trojaner-BHO´s und die zugehörigen DLL´s. Auch die Winlogon-Notifiers. Da ich Resident von Spybot laufen habe, kann ich im abgesicherten Modus sehr schön verfolgen, dass, sobald ich die Winlogon-Einträge (mit Spybot) ändere, ein Hintergrund-Task kommt und die Einträge einfach wieder zurücksetzt. Auch killbox ("Remove bei Neustart") sagt nur, dass ein Hintergrundtask das Ändern der Einstellungen rückgängig macht. Das Programm versagt einfach an der Stelle und startet nicht neu. Hijack This bricht übrigens mit einer Fehlermeldung ab. Erst nachdem ich das Programm umbenannt habe, läuft es (bringt mir scheinbar aber auch nichts Neues). Avira findet & beseitigt jedesmal wieder was. Aber was bringen AV-Programme, wenn sie unter einem laufenden Trojaner-Task laufen. Eigentlich stehe ich an einem Punkt, an dem ich sowohl die Tasks als auch die zugehörigen DLL´s kenne, die ich löschen möchte ("TR/Vundo.GEN" und "TR/Agent.uaa" laut virustotal). Der Punkt, den ich nicht hinbekomme ist der, das ich es nicht schaffe, das hochfahren dieser DLLs zu vehindern. Oder alternativ nach dem Hochfahren diese aus dem System zu eliminieren. Das kann doch kein Ding der Unmöglichkeit sein. Kann mir da jemand (ohne dass ich jetzt ein Protokoll poste) mal ganz allgemein einen Tipp geben, wie ich das hinkriegen kann.... Vielen Dank |
|
09.12.2007, 19:10
| #2 |
| /// Helfer-Team    |  Drehe mich im Kreis Hi,
__________________ohne weitere Details von deiner Seite zu kennen "(ohne dass ich jetzt ein Protokoll poste)" kann ich dir nur raten, die Platte in einen anderen Rechner einzubauen und dann die störenden Dateien von dem aus zu löschen. Da das verseuchte System dann nicht aktiv ist, kann es die Dateien auch nicht sperren. Alternativ die aktuelle Version von Knoppix, die auch auf NTFS schreiben/löschen kann. Oder formatieren und neu installieren. Gruß, Karl |
|
09.12.2007, 19:19
| #3 |
| | Drehe mich im Kreis Danke für den Tipp,
__________________das wäre auch eine Idee gewesen, die wahrscheinlich funktioniert hätte. Ich habe hier im Forum noch ein wenig recherchiert und schliesslich Avenger benutzt um die beiden DLL´s noch während des Bootvorgangs zu löschen. Das war der Zauberstab, den ich gesucht habe! Als dann der Virus nach dem Booten nicht aktiv war, war der Rest nicht mehr allzu schwer. BHO´s löschen (mit spybot), die winlogon-notifier-DLL´s deaktivieren (mit spybot) und mit regedit die ganzen winlogon-notifier einträge löschen und am Ende nochmal 2 Antiviren-Progs drüberlaufen lassen. Hat astrein funktioniert. Scheinbar kann man aber DLL´s die einmal geladen wurden nicht mehr aus dem laufenden System eliminieren.... |
|
| Themen zu Drehe mich im Kreis |
| abgesicherten modus, allgemein, booten, einfach, einstellungen, fehlermeldung, forum, hochfahren, killbox, löschen, manager, neues, neustart, nichts, programm, resident, rückgängig, security, startet, startet nicht, system, task manager, this, tr/vundo.gen, trojaner, virus, virustotal |
Linear-Darstellung
