| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojaner entfernen (infiziert -> verdächtige IP)Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
23.03.2010, 00:08
| #1 |
| |  Trojaner entfernen (infiziert -> verdächtige IP) Hallo erstmal mein Name ist SEARCH Mein Kollege hat ein kleines Problem. Ich werde es möglichst kurz und bündig beschreiben.  PC: OS: Windows 7 Ultimate Processor : nicht so wichtig AV: Microsoft Essentials Firewall: soviel ich weiss hat Microsoft Essentials intergriert Internetverbindung: "Modem-> Router(Firewall) -> PC" aber mit reverse connection kann man das leicht umgehen. Er hat einen Trojaner auf dem Computer. Der Trojaner liegt im Verzeichniss -->>C:\Users\name\AppData\Roaming\wwon\wwon.exe Man kann die Datei nicht löschen weil dieser immer wieder erstellt wird. Nun ja ich habe darauf geachtet was für Prozesse am laufen sind. Zweimal firefox.exe (Ich habe Firefox.exe beendet und den Ordner gelöscht) Kein Firefox Prozess mehr zu sehen. Aber wwon.exe startet immer noch.Also schätze ich und ich bin mir sicher, dass "C:\windows\explorer.exe" auch infiziert ist. Ich habe es ausprobiert. -->Prozess explorer.exe beendet (im Hintergrund regedit geöffnet) -->Und den Eintrag "HKCU" in HKEY_Current_User "Software\Microsoft\Windows\CurrentVersion\RUN\ gelöscht und "F5" gedrückt zum refreshen aber es erschien nicht mehr. Also wwon.exe startet nicht mehr und der Eintrag in die Registrierung wird nicht mehr erstellt. Was vorher als explorer.exe noch lief geschah! Hier Virustotal ergebnisse ohne (""): VirusTotal_wwon.exe "virustotal.com/de/"analisis/bf8a69ed00297cb750f9e56694f73ac27630d4d67dc1a370be06797e4e050488-1269293860" Mit Hjcakthis fiel mir nichts auf. Ich habe mir jedoch die IP aufgeschrieben weil er mir zuvor den Computer geshutdownt hat. Hoffe es ist keine falsche IP von Firefox Updater oder so. Ich werde mit "filepony.de/download-ccleaner//download" den Computer bereinigen hoffe das hilft. CCleaner Darf ich C:\windows\explorer.exe einfach löschen? Oder muss ich es von der Win7 CD rüberkopieren und ersetzen? Den Trojaner also wwon.exe habe ich noch! Kann ich diesen wwon.exe debuggen und schauen welche Ports er braucht welche Dateien er beschreibt und auf welche Ip's er zugreift? Ein Tipp meinerseits: Windows =  Geändert von search (23.03.2010 um 00:18 Uhr) |
|
23.03.2010, 12:01
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   |  Trojaner entfernen (infiziert -> verdächtige IP) Hallo und
__________________ Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! ) Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen! Wenn RSIT abstürzt: im Kompatibilitätsmodus ausführen (Rechtsklick auf RSIT.exe, Reiter Kompatibilität) => Windows XP einstellen und ausführen Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.
__________________ |
|
| Themen zu Trojaner entfernen (infiziert -> verdächtige IP) |
| center, datei, dateien, down, entfernen, explorer.exe, falsche, firefox.exe, gelöscht, hintergrund, infiziert, löschen, microsoft, ordner, ports, prozesse, regedit, reverse, router, software, startet, trojaner, trojaner entferne, trojaner entfernen, verbindung, virus, virustotal, win7, windows, wwon.exe explorer.exe infiziert |
Linear-Darstellung
