Drehe mich im Kreis

DesperateHouseman

Hallo Forum,

seit 3 Tagen jage ich jetzt meinem Trojaner hinterher. Inzwischen ist mir klar, dass er sich als winlogon-notifier beim Booten in´s System einklinkt.

Mein Security Task Manager zeigt mir an, dass 2 hidden Tasks im System laufen. Aus dem System löschen kann man die aber nicht.

Spybot S&D zeigt mir die Trojaner-BHO´s und die zugehörigen DLL´s. Auch die Winlogon-Notifiers.

Da ich Resident von Spybot laufen habe, kann ich im abgesicherten Modus sehr schön verfolgen, dass, sobald ich die Winlogon-Einträge (mit Spybot) ändere, ein Hintergrund-Task kommt und die Einträge einfach wieder zurücksetzt.

Auch killbox ("Remove bei Neustart") sagt nur, dass ein Hintergrundtask das Ändern der Einstellungen rückgängig macht. Das Programm versagt einfach an der Stelle und startet nicht neu.

Hijack This bricht übrigens mit einer Fehlermeldung ab. Erst nachdem ich das Programm umbenannt habe, läuft es (bringt mir scheinbar aber auch nichts Neues).

Avira findet & beseitigt jedesmal wieder was. Aber was bringen AV-Programme, wenn sie unter einem laufenden Trojaner-Task laufen.

Eigentlich stehe ich an einem Punkt, an dem ich sowohl die Tasks als auch die zugehörigen DLL´s kenne, die ich löschen möchte ("TR/Vundo.GEN" und "TR/Agent.uaa" laut virustotal). Der Punkt, den ich nicht hinbekomme ist der, das ich es nicht schaffe, das hochfahren dieser DLLs zu vehindern. Oder alternativ nach dem Hochfahren diese aus dem System zu eliminieren. Das kann doch kein Ding der Unmöglichkeit sein. Kann mir da jemand (ohne dass ich jetzt ein Protokoll poste) mal ganz allgemein einen Tipp geben, wie ich das hinkriegen kann....

Vielen Dank