Trojaner kann keine programme mehr ausführen

joni · 15.01.2004, 16:27

ich wollte mir soein cr*** runterladen und der war ein trojaner
jetzt kann ich keine programmeon mehr starten und ich kann auch kein regedit mehr starten was nun ?

dieses problem würde schon hier besprochen
http://www.trojaner-board.de/forum/u...c;f=6;t=004489
aber ich kann die datei nicht anwenden denn da kommt sie haben kein admi. recht aber ich bin admi auf meinem rechner was nun ?
wie heißt der trojaner und wie kann ich den manuell löschen ???
bitte helft mir !!!

sPaCeLoRd · 15.01.2004, 17:01

Die ".exe"-Endung umbenennen, z.B. in ".com" sollte die Dateien wieder ausführbar machen.

Das hier könnte helfen:
http://www.trojaner-info.de/report_sub7.shtml

joni · 15.01.2004, 19:46

dieser subseen trojaner scheint viele bösartieger den es lassen sich die regrestriereinträge nicht verändern
unter dem fand die auf dieser seite angegeben sind findet sich ne windows datei (svchost.exe)und dann die "1%" gedöns
deshalb was soll ich machen ?
hast du noch information für mich ?
wäre gut weiß nämlich nicht was ich machen soll

sPaCeLoRd · 15.01.2004, 20:09

Halt !
Im obigen Link wird beschrieben, wie man Registry-Änderungen, die ein Trojaner verursacht hat, nach dessen Löschung rückgängig macht, wenn keine .exe-Dateien mehr ausgeführt werden können.

Ich nahm an, daß dieses Problem hier vorliegt.

Das heißt nicht, daß du mit Subseven infiziert bist.

Wenn du aber mit der Anleitung nichts anfangen kannst, müßte man ganz von vorne anfangen.

Welcher Schädling wurde von welchem Programm gemeldet ?
Welche Datei(en) wurde(n) als infiziert gemeldet(Pfad) ?

Ansonsten erstelle mal einen HijackThis-Log nach dieser Anleitung
http://www.trojaner-board.de/51130-a...ijackthis.html
und poste den hier.

sPaCeLoRd · 15.01.2004, 20:12

Mit "Endung umbenennen" war gemeint, z.B "regedit.exe" in "regedit.com" umzubenennen, und dann
Start -> Ausführen -> regedit.com

So auch mit anderen .exe-dateien (z.B. Hijackthis.exe) verfahren.

Funktioniert das ?

sPaCeLoRd · 15.01.2004, 20:16

Grrrmmppfff...sorry, aber wenn ich nochmal so überdenke, was du da in den beiden Threads so gepostet hast, wäre vielleicht hier die Radikallösung am sichersten:

Abreißen -> Neu machen -> Grundregeln der Sicherheit beachten -> Passwörter ändern

joni · 15.01.2004, 22:29

Es muss doch eine andere lösung als formatieren geben hier !!!!

Logfile of HijackThis v1.97.7
Scan saved at 22:26:17, on 15.01.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVirenKit 2004 trial\AVKService.exe
C:\Programme\AntiVirenKit 2004 trial\AVKWCtl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\Dokumente und Einstellungen\Joni\Desktop\los\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.hotsearchbox.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.hotsearchbox.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://81.211.105.9/search.php?v=1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://81.211.105.9/index.php?v=1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://81.211.105.9/index.php?v=1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.hotsearchbox.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.hotsearchbox.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.hotsearchbox.com/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.hotsearchbox.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.hotsearchbox.com/ie/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = wmplayer.exe
F0 - system.ini: Shell=
F2 - REG:system.ini: Shell=
O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programme\DAP\DAPBHO.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {C1E58A84-95B3-4630-B8C2-D06B77B7A0FC} - C:\Programme\NavExcel\NavHelper\v2.0.4\NHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programme\DAP\DAPIEBar.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [FlatRate Manager] C:\Programme\Flatrate Manager 2001\FlatRate Manager.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [MSConfig] C:\Dokumente und Einstellungen\Joni\Desktop\msconfig.exe /auto
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: SpamPal.lnk = C:\Programme\SpamPal\spampal.exe
O4 - Startup: Wecker für Windows 6.lnk = C:\Programme\Wecker6\Wecker.exe
O4 - Startup: emule.lnk = C:\Dokumente und Einstellungen\Joni\Eigene Dateien\Personal Data\Enter a new World\Yeeh\eMule0.30b-LSD13b-Bin\emule.exe
O4 - Startup: Verknüpfung mit regedit.lnk = C:\WINDOWS\regedit.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Run DAP (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/259ad45ae92d1b1...dxIE601_de.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

joni · 16.01.2004, 12:25

problem gelöst kann wieder alles machen aber eins geht noch nicht !!!
ich kann reedit nicht starten dann kommt immer
dasbearbeten der reg. wurde durch den admi deaktiviert

sPaCeLoRd · 16.01.2004, 14:09

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Dieser Eintrag ist verantwortlich dafür, daß du den Registry-Editor nicht aufrufen kannst.

Desweiteren folgendes "fixen":

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.hotsearchbox.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.hotsearchbox.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://81.211.105.9/search.php?v=1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://81.211.105.9/index.php?v=1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://81.211.105.9/index.php?v=1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.hotsearchbox.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.hotsearchbox.com/ie/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.hotsearchbox.com/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.hotsearchbox.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.hotsearchbox.com/ie/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = wmplayer.exe

F0 - system.ini: Shell=
F2 - REG:system.ini: Shell=

O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programme\DAP\DAPIEBar.dll

O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP

O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm

O9 - Extra button: Run DAP (HKLM)

Dewsweiteren mal vorsorglich den CWShredder anwenden:
http://www.merijn.org/files/cwshredder.zip

Trojaner kann keine programme mehr ausführen

Plagegeister aller Art und deren Bekämpfung: Trojaner kann keine programme mehr ausführen