Hallo,

wo nistet sich der Trojaner ein?

Wie kann man sicher überprüfen, ob er beseitigt wurde?

Habe bei k***.** eine manuelle Beseitigung gefunden:

*HKEY_Local_MACHINE\SYSTEM\ControlSet001\Services\msupdate
*HKEY_Local_MACHINE\SYSTEM\ControlSet002\Services\msupdate
*HKEY_Local_MACHINE\SYSTEM\CurrentControlSet\Services\msupdate

in jedem Schlüssel ist eine Zeichenfolge mit dem Namen "ImagePath".
Der Wert der Zeichenfolge im INFEKTIONSFALL soll
"C:\windoes\system32\svchost.exe" lauten.

LÖSUNG:
Schlüssel (jeweils msupdate) entfernen, mit der Folge, dass der Bot beim nächsten reboot nicht mehr startet.

Nach dem Neustart Bot wie folgt löschen in "C:\%systemroot%\svchost.exe":

Nach svchost.exe und erweiterung.exe suchen und diese löschen,
1) WENN svchost.exe außerhalb des System32 Verzeichnisses steht
ODER eine Größe von 37.019 Bytes besitzt.

2) WENN die Datei erweiterung .exe heißt und Euch unbekannt ist (wahrscheinlich mit einer Größe von ca. 30 KB).

Meine Frage: Ist das so richtig oder Quatsch ???

hallo! ich hatte den TR/Agent.AKPU auf meinem rechner. im abgesicherten modus lässt er sich leicht entfernen nach vorheriger systemprüfung durch avira!
hoffe ich kann dir oder anderen etwas helfen!
lg basine

Zitat:

Zitat von Grabbo

Hallo,

wo nistet sich der Trojaner ein?

Wie kann man sicher überprüfen, ob er beseitigt wurde?

Habe bei k***.** eine manuelle Beseitigung gefunden:

*HKEY_Local_MACHINE\SYSTEM\ControlSet001\Services\msupdate
*HKEY_Local_MACHINE\SYSTEM\ControlSet002\Services\msupdate
*HKEY_Local_MACHINE\SYSTEM\CurrentControlSet\Services\msupdate

in jedem Schlüssel ist eine Zeichenfolge mit dem Namen "ImagePath".
Der Wert der Zeichenfolge im INFEKTIONSFALL soll
"C:\windoes\system32\svchost.exe" lauten.

LÖSUNG:
Schlüssel (jeweils msupdate) entfernen, mit der Folge, dass der Bot beim nächsten reboot nicht mehr startet.

Nach dem Neustart Bot wie folgt löschen in "C:\%systemroot%\svchost.exe":

Nach svchost.exe und erweiterung.exe suchen und diese löschen,
1) WENN svchost.exe außerhalb des System32 Verzeichnisses steht
ODER eine Größe von 37.019 Bytes besitzt.

2) WENN die Datei erweiterung .exe heißt und Euch unbekannt ist (wahrscheinlich mit einer Größe von ca. 30 KB).

Meine Frage: Ist das so richtig oder Quatsch ???

Ich habe ihn auch,verstehe aber nicht viel von deinem Post
Abgsehen davon [*HKEY_Local_MACHINE\SYSTEM\ControlSet001\Services\msupdate]ist das msupdate bei mir überhaupt nicht.

Zitat:

Zitat von basine300

hallo! ich hatte den TR/Agent.AKPU auf meinem rechner. im abgesicherten modus lässt er sich leicht entfernen nach vorheriger systemprüfung durch avira!
hoffe ich kann dir oder anderen etwas helfen!
lg basine

Kannst du mir genauer erklären wie?

Hallo

auch ich habe gestern Besuch bekommen, aber ebenso wie einige andere die letzten Tage nix installiert. Ich nehme mal an, der Trojaner werkelt schon einige Zeit unbemerkt vor sich hin und Avira findet ihn erst seit gestern.

Symptome bei mir: Desktop icons reagieren nicht oder nur mit enormer Verzögerung

Da ich letzte Woche mit Acronis ein Image erstellt habe, habe ich dieses auf eine andere Festplatte (zuvor mit DBAN gründlich gelöscht) gespielt. Die Symptome traten aber nach kurzer Zeit erneut auf. Daher bin ich mir recht sicher, dass der Trojaner schon mindestens eine Woche auf meinem Rechner ist

Weiß jemand, was das Ding genau macht. Ich tendiere dazu, mein System komplett neu zu installieren, alles andere scheint mir unvernünftig. Nur habe ich diese Woche keine Zeit, bin aber auf den Rechner angewiesen