Hallo,

sobald ich die Datei c:\windows\system32\gwnsbgu.exe lösche, umbennene oder verschiebe, kann ich mich nicht mehr bei windows anmelden. Er meldet sich zwar an, meldet sich dann aber automatisch wieder sofort ab.
AntiVir bringt: c:\windows\system32\gwnsbgu.exe, Trojanisches Pferd wurde gefunden: TR/Runner.DM.
Schiebe ich die Datei in Quarantäne geschieht Gleiches wie oben beschrieben.

Win XP Reinstaliieren hat auch nicht gebracht.

Kann mir da jemand weiterhelfen?

Danke

Hallo Speedy,
helfen kann ich Dir leider nicht, aber ich hab exakt das gleiche Problem.
Einziger Unterschied ist, das die Zeile bei mir eine andere Bezeichnung hat:
AntiVir bringt: c:\windows\system32\fbmjbehy.exe, Trojanisches Pferd wurde gefunden: TR/Runner.DM.

Hab auch schon einiges ausprobiert, bin aber auch nicht weiter gekommen.
Hoffe mal das hier jemand mehr weiss....

Gruß
riopete

Hi Ihr zwei Hübschen,

bitte das hier abarbeiten und speedy bitte einen eigenen Thread erstellen:

Für die "erste Hilfe" bitte folgendes abarbeiten:
http://www.trojaner-board.de/69886-alle-hilfesuchenden-eroeffnung-themas-beachten.html

Zusätzlich noch RSIT:
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.
Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/
speichere es auf Deinem Desktop.
Starte mit Doppelklick die RSIT.exe.
Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

chris

Hi chris,
das mit dem neuen Thread bin dann wohl ich da Speedy angefangen hat hier.
Zieh mich erstmal zurück und schau was hier rauskommt. Komm derzeit nicht mehr auf meinen Rechner um die Vorarbeiten auszuführen.
Erstmal Danke !
P.S. So hübsch bin ich gar nicht:aplaus:

Rio

Hi,

in dem Fall den abgesicherten Modus ausprobieren (beim Booten F8 drücken)...
Sonst müssen wir von einem sauberen Rechner aus eine Boot-CD erstellen...

chris

Dein Problem und dessen Lösung wird hier beschrieben:
http://forum.avira.com/wbb/index.php?page=Thread&threadID=91486

Ich hatte das gleiche Problem, und habe es so gelöst.

Der Trojaner scheint ziemlich eklig zu sein.
Vorsicht mit Homebanking, Ebay usw!!

Hi,

Danke für den Hinweis...
Na, dann mal auf ans BootCD-basteln:

Am einfachsten geht dies über http://www.ubcd4win.com/, runterladen installieren und dann mit einer XP-CD (Installations-CD bzw. Recovery-CD [das gibt dann allerdings eine Warnung!])die Boot-CD erstellen (natürlich auf einem sauberen System!).
Vorteil dabei ist, dass die "Universal Boot CD für Windows" gleich Virenscanner und Tools an Board hat, mit denen man dann gleich loslegen kann (auch einen Remote-Regeditor, um den betroffenen Schlüssel "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" zu bearbeiten (Unterschlüssel userinit.exe lsöchen).
Rootkits liegen nach dem Booten von CD "ungeschützt" auf der Platte (da sie ja nicht gestartet wurden) und können dann sehr einfach gesucht u.
gelöscht werden. Ein Remoteregistry-Editor steht ebenfalls zur Verfügung.


chris

Zitat:

Zitat von Franta

Dein Problem und dessen Lösung wird hier beschrieben:
http://forum.avira.com/wbb/index.php?page=Thread&threadID=91486

Ich hatte das gleiche Problem, und habe es so gelöst.

Der Trojaner scheint ziemlich eklig zu sein.
Vorsicht mit Homebanking, Ebay usw!!

Hallo Franta, Hallo Chris,

hab es mit der im o.g. Thread beschriebenen 2.Methode wieder hinbekommen.
Vielen Dank an euch beide

Gruß
Riopete

Hallo an alle Beteiligten,

Danke für die Hilfe, habe es wie in http://forum.avira.com/wbb/index.php?page=Thread&threadID=91486 beschrieben wieder hinbekommen.

Tatsächlich war ein Debugger Eintrag in der Registry. Habe dieesen gelöscht, Datei entfernt und alles ging wieder.

Danke

Gruß
speedy

Hallo,

Danke für die Info...

Thread kann geschlossen werden,

chris & Out