|
Wie werde ich den Trojaner W32/Smalltroj.GBNQ los? Hallo liebe Computerexperten, ich hab ein Problem. An meinem relativ neuem HP-Rechner meldet Norman die im Titel genannte Infektion in der winlogon32.dll. Hier mein HJT Log-File: Zitat:
Wie bin ich zu dieser Software gekommen? Über eine Hilfe würde ich mich sehr freuen. Herzliche Grüße aus Berlin Robert |
@Bilch EDIT: Bitte Pfadangaben komplett eingeben Zitat:
Zitat:
Fixe mit HiJackThis Zitat:
entpacke in einen Nicht-Temp-Ordner, starte AVZ.EXE, File/On-Line automatic Update/Start. Dann File/Custom Scripts, kopiere die folgenden Zeilen ins Fenster Code: begin |
ZUsätzlich noch folgende Datei aus dieser Zeile auswerten... Zitat:
Sunny |
Hallo, vielen Dank zuerst für Eure schnellen Antworten. Ich hoffe ich hab alle Hausaufgaben erledigt... Die Datei vom Norman war C:\windows\winlogon32.dll Zu C:\APO\IOMINISV.EXE dieses Programm kenne ich. Die drei Fixes im HJT und dann AVZ wie angegeben habe ich ausgeführt. Hier das neue HJT Log: Zitat:
::::: VirusTotal ::::: Einen Escan hatte ich vorher auch noch mit folgendem Ergebnis durchgeführt: Zitat:
...Leider läuft der Rechner nur noch im abgesicherten Modus. Ist noch was zu retten? Herzliche Grüße aus Berlin Robert |
Das Hijacklog sieht schon ganz gut aus, aber ein paar Dateien scheinen da immer noch zu sein. Mach daher folgendes: Schädlinge im Ordner der Systemwiederherstellung: * Deaktiviere die Systemwiederherstellung -> So wird es gemacht. * Danach das System neu starten, und mit deinem AV-Scanner nach dem Neustart alles üb erprüfen. (Systemwiederherstellung kann nun wieder aktiviert werden.) Anleitung Avenger: 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://virus-protect.org/artikel/bilder/avanger.png 2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein: Zitat:
http://virus-protect.org/artikel/bilder/avenger4.png 4.) Danach das System unverzüglich neu starten lassen 5.) Lass eScan nochmal laufen, erstelle und poste ein neues Logfile. Poste ausserdem den Inhalt der C:\avenger.txt Datei. Sunny |
Zitat:
Versuche im AVZ File/System Recovery zu starten. |
Hallo und guten Morgen, vielen herzlichen Dank Sunny für Deine schnelle Antwort, aber ich hatte gestern einfach kein Bock mehr auf Computer... ... neuer Tag neues Glück. Der Rechner startet auch wieder im normalen Modus. Aber: der IE startet automatisch und ruft "merkwürdige Seiten" auf... Norman schlägt permanent Alarm wegen C:\windows\winlogon32.dll W32/Smalltroj.GBNQ Habe jetzt wie empfohlen die Systemwiederherstellung ausgeschaltet und lasse nun Norman über die Platte flitzen. Melde mich sobald er fertig ist. Soll ich dann den Avenger benutzen? Vielen Dank nochmal! Herzliche Grüße Robert |
Zitat:
2. Führe im AVZ den Script aus: Code: beginBTW: Seit gestern ist das Englische Unterforum bei Virusinfo.Info-Alma-Mater des AVZ-Tools eröffnet ;) |
Hallo, 1. Ich habe hier eine Zehnplatz-Lizenz von Norman im Einsatz und war bisher eigentlich auch ganz zufrieden. Aber vor kurzem war wohl Norman wegen Installationsarbeiten abgeschaltet und ist anschließend nicht wieder aktiviert worden. Nachdem die Kollegin ein bischen gegoogelt hat ... ... den Rest kennt ihr. :-( 2. Habe ich ausgeführt. 3. HJTLogfile: Zitat:
Herzliche Grüße aus Berlin Robert |
@Bilch Der letzte Log sieht sauber aus. Wenn es keine Meldungen von Norman mehr gibt, kann man von einer Bereinigung sprechen ;). Zur Sicherheit: 1. Lade AdAware+Spybot Search & Destroy herunter, updaten, scannen, Probleme beheben 2. http://www.trojaner-board.de/38066-e...ightymarc.html :). Bei Funden den Log (Find.bat bitte verwenden!!!) posten. |
Hallo, das wäre ja auch zu schön um wahr zu sein... ... als AdAware lief schlug Norman wieder mit der gleichen Meldung an. habe HJT erneut laufen lassen mit folgendem Protokoll: Zitat:
Danke Gruß Robert |
Zitat:
Zitat:
Zitat:
EDIT: Schalte Norman On-Access-Scanner aus!!! 1. Starte AVZ 2. Services/File search 3. Links LW C:\ anhaken 4. Im Feld File Name or mask Code: C:\WINDOWS\winlogon32.exe5. Icon Copy to Quarantine drücken Im AVZ-Verzeichnis findest du den Unterordner Quarantine/2007-04-24. Inhalt dessen in eine ZIP-Datei verpacken und bei www.virustotal.com überprüfen. Protokoll inkl. MD-Prüfsumme-Daten posten. EDIT: Schalte Norman On-Access-Scanner ein!!! PS: Entweder haben zum Internet angeschlossenen PCs keinen aktuellen Sicherheits-Stand (Microsoft Windows Update) oder... PS2: Im Zweifelsfall melde dich bei VirusInfo.Info an: Dort werden die speziellen AVZ-Logs geprüft, die viel tiefer greifen, als HJT. Über TB kann ich leider nichts tun, denn die Logs an Virusinfo-Server hochgeladen werden müssen. |
Hallo, Danke für Deine schnelle Antwort, ja es handelt sich um ein Netzwerk mit zehn Rechnern. Alle sind aber auf aktuellem Stand. Kein anderer Scanner hat bisher angeschlagen. Hier das Virustotal Ergebnis: Zitat:
Ansonsten hier der Link: ::::: VirusTotal ::::: Über Deine PS möchte ich lieber noch nicht nachdenken. Sollte ich den Rechner doch lieber neu aufsetzen? Sorgenvolle Grüße Robert |
@Bilch Zitat:
Versuche noch mit AVZ die Datei zu löschen (als Schritt 5 - Fund(e) anhaken und das Icon Delete Selected ... drücken) Zitat:
|
Hallo, das Löschen über AVZ hat leider keinen Erfolg gebracht, Norman hat die Datei wiedergefunden... Werde den Rechner wohl doch neu aufsetzen und mal die anderen checken. Vielleicht habe ich ja Glück und sie sind noch nicht befallen. Vielen Dank schon mal für alles, werde mich aber in Kürze melden, wie es ausgegangen ist. Herzliche Grüße aus Berlin Robert |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:59 Uhr. |
Copyright ©2000-2025, Trojaner-Board