|
Trojaner der MP3's löscht... Hallo liebe Boardmitglieder ! ich hab mir einen Trojaner gefangen, der die gleichen Symtome verursacht, wie der Nopir.A / Nopir.B. Es lassen sich keine .exe oder .com Dateien ausführen, Taskmanager ist deaktiviert, Regedit und alles weitere ebenfalls gesperrt. Habe die Festplatte an einen cleanen Rechner angeschlossen und mehrere (AntiVir,Mcaffee, KAV, Sophos, F-Prot, Norton) Virenkiller probiert -> aber keiner findet etwas!! Hier mein HiJ-log, hoffe Ihr könnt mir helfen: Logfile of HijackThis v1.99.1 Scan saved at 11:46:02, on 05.06.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINDOWS\Explorer.EXE C:\Programme\Norton Personal Firewall\ISSVC.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\drivers\CDAC11BA.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NSMdtr.exe C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe C:\Programme\WinAce\WinAce.exe C:\DOKUME~1\Michael\LOKALE~1\Temp\~AceTemp\hijackthis[1]\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.t-online.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll O2 - BHO: Norton Personal Firewall - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton Personal Firewall - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /runonce O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [eBayToolbar] C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [sysmem] C:\Program Files\system prot\mmsete.exe O4 - HKLM\..\Run: [memory] C:\Program Files\Outlook Express.sav\outlookrem.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [UninstallAbility] "C:\Programme\UninstallAbility\uability.exe" /AUTO O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} - http://tools.ebayimg.com/eps/activex...trol_v1-32.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{F3DD4306-9417-428F-A443-87F73BCDC833}: NameServer = 192.168.0.1 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Personal Firewall\ISSVC.exe O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe |
Hi, das hier mit HJT fixen: O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1 Folgende bei Jotti online scannen lassen: C:\Program Files\system prot\mmsete.exe O4 - HKLM\..\Run: [memory] C:\Program Files\Outlook Express.sav\outlookrem.exe und Ergebnis posten. cacatoa |
Hallo, wenn du eine Frage erlaubst: Zitat:
Überprüfe die folgenden Dateien online bei http://virusscan.jotti.org/de und poste das Ergebnis. Zitat:
btw: fixe den O7-Eintrag, dann dürftest du die Registry wieder aufrufen können. EDIT: Hi cacatoa! |
Wow, danke für die schnelle Antwort !!! Berechtigte Frage: Hat mich selbst gewundert ! Es ging nichts, konnte nichtmal Escan entpacken..! Ich konnte den "Arbeitsplatz" anklicken und so eine Internetadresse eingeben und kam nur so ins Web. Vielleicht weil ich HJT neu runtergeladen habe !?!? Was mich viel mehr wundert ist, dass ich jetzt plötzlich wieder alle Dateien starten kann!! Habe nichts geändert!! Habe dann diesen Eintrag mit HJT gefixt -> Regedit funktioniert wieder *applaus* ! Der Taskmanager funktioniert aber immer noch nicht ("Der Taskmanager wurde durch den Administrator deaktiviert"). Die Dateinen und Verzeichnisse existieren nicht: C:\Program Files\system prot\mmsete.exe C:\Program Files\Outlook Express.sav\outlookrem.exe Habe die Datei gescannt, mit der ich mir den Trojaner gefangen hab: Status: INFIZIERT/MALWARE Entdeckte Packprogramme: Bitte warten... AntiVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Trojan.Win32.VB.xz gefunden mks_vir Win32.4 gefunden (mögliche Variante) NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden VBA32 Trojan.Win32.VB.xz gefunden |
Lässt du dir auch alle Dateien anzeigen? Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren + Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren Navigiere in der Registry zum Schlüssel HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System und lösche den Eintrag 'DisableTaskmgr'. Zitat:
Evtl. interessiert dich trotzdem dieser Thread. => Ich kann nichts zum Schadpotential sagen. Nur soviel: ich würde das System neu aufsetzen. |
Hallo, ja, lasse mir alle Dateinen anzeigen. Habe auch nach den Dateien gesucht -> nichts gefunden ! Ich werde mal beobachten, wies mit dem Virus weiter geht. Hoffe ich muss das System nicht neu aufsetzen, wäre sehr viel Arbeit ! Ich danke euch jedenfalls für eure super Hilfe !!! MfG, wiwnet |
@ haui: Erstmal servus! Dann full ack. @ wiwnet Neuaufsetzen geht meist viel schneller, als stundenlang zu bereinigen und dann nicht zu wissen, ob das System wirklich sauber ist.... cacatoa |
Hallo, musste leider feststellen, dass auch die Systemsteuerung deaktiviert ist. Müsste auch ein Eintrag in der Registry sein, hat jmd. ein Tip ?? Kann den Trojaner (..und seine Folgen..) nicht auch ein Virenkiller beseitigen ? MfG, wiwnet |
Zitat:
Zitat:
Wird aber erst nach einem Neustart wirksam. |
Hallo, Virus wird seit heute von AntiVir erkannt! Habe etwas zum Bereinigen des Systems gefunden, was bei mir funktioniert hat: When W32.Nopir.C (= Trojan.Win32.VB.xz) is executed, it performs the following actions: 1. Copies itself to the system as: C:\Program Files\system prot\mmsete.exe C:\Program Files\Outlook Express.sav\outlookrem.exe 2. It then attempts to place itself in the standard share directories (if they exist) for certain peer to peer applications by copying itself as the following: C:\Program Files\eMule\Incoming\CloneDVD.v2.8.2.1.Cracked-RES.by.Grease.exe C:\Program Files\Kazaa\My Shared Folder\CloneDVD.v2.8.2.1.Cracked-RES.by.Grease.exe C:\Program Files\StreamCast\Morpheus\My Shared Folder\CloneDVD.v2.8.2.1.Cracked-RES.by.Grease.exe C:\Program Files\Gnucleus\Downloads\CloneDVD.v2.8.2.1.Cracked-RES.by.Grease.exe 3. Next, the worm creates the following registry entries so that it is executed every time Windows starts: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"sysmem" = "C:\Program Files\system prot\mmsete.exe" HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"memory" = "C:\Program Files\Outlook Express.sav\outlookrem.exe" 4. The worm may attempt to create or modify the following registry keys: HKEY_CLASSES_ROOT\exefile\shell\open\command\"(Default)" = "C:\Program Files\Outlook Express.sav\outlookrem.exe" HKEY_CLASSES_ROOT\batfile\shell\open\command\"(Default)" = "C:\Program Files\Outlook Express.sav\outlookrem.exe" HKEY_CLASSES_ROOT\cmdfile\shell\open\command\"(Default)" = "C:\Program Files\Outlook Express.sav\outlookrem.exe" HKEY_CLASSES_ROOT\comfile\shell\open\command\"(Default)" = "C:\Program Files\Outlook Express.sav\outlookrem.exe" HKEY_CLASSES_ROOT\piffile\shell\open\command\"(Default)" = "C:\Program Files\Outlook Express.sav\outlookrem.exe" HKEY_CLASSES_ROOT\vbsfile\shell\open\command\"(Default)" = "C:\Program Files\Outlook Express.sav\outlookrem.exe" HKEY_CLASSES_ROOT\vbefile\shell\open\command\"(Default)" = "C:\Program Files\Outlook Express.sav\outlookrem.exe" HKEY_CLASSES_ROOT\scrfile\shell\open\command\"(Default)" = "C:\Program Files\Outlook Express.sav\outlookrem.exe" HKEY_CLASSES_ROOT\regfile\shell\open\command\"(Default)" = "C:\Program Files\Outlook Express.sav\outlookrem.exe" HKEY_CLASSES_ROOT\inffile\shell\open\command\"(Default)" = "C:\Program Files\Outlook Express.sav\outlookrem.exe" 5. The worm also modifies the settings in Windows to disable Task Manager, registry tools, Windows Firewall, Windows Update and access to Control Panel by adding the following registry entries: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableTaskMgr" = "1" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableRegistryTools" = "1" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoControlPanel" = "1" HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\"EnableFirewall" = "0" HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\"EnableFirewall" = "0" HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\"AUOptions" = "0" 6. Next, the worm displays an anti-piracy image. 7. The worm deletes all .MP3, .AVI, .MPG, .MPEG and .RAR files from the compromised computer. 8. The worm will search for and attempt to disable any debugging programs found on the compromised computer. |
Hallo Leute, bin neu hier und wie es leider so ist habe ich dasselbe Problem. Laut Recherchen im www gibt es ne inf(symantec) bzw. vbs(Trend) script um die registry-blockade zu umgehen. Aber ich bekomms einfach nicht hin!!! :nixda: Habt ihr vielleicht noch ne Lösung oder nen guten Rat??? Vielen Dank RobbeSFB |
Kannst du dich auch vernünftig ausdrücken? Kleiner Tipp: Definiere dein Problem genau, so das jeder was damit anfangen kann.Zeige auf, was dein Ziel bei der Problemlösung ist. |
@cronos hoffe du hast mich gemeint??? Folgendes problem: lt. scans habe/hatte ich den nopir.c wurm oben. der bei mir alles blockiert. Bei jedem Systemstart will er sich laden(kann er ja nicht mehr da er gelöscht wurde) lt. den Informationen von symatec bzw. trend blockiert er die registry um irgendwelche änderungen verhindern zu wollen. Beim ausführen relevanter programme sagt er kann Program.exe nicht finden. Auf den Hompages der Spezies (sym./treend) wurde eine ???.inf bzw. ???vbs script geschrieben. Diese sollte man auf den infizierten rechner ausführen(hoffe habe es richtig verstanden) aber er bringt die fehlermeldung kann program.exe nicht finden. Diese scripte dienen dazu, das die registry freigeschalten wird um diesen Wurm zu löschen. Nun die Frage hat jemand dasselbe problem wie ich, wer kann weiterhelfen???? :( Danke euch RobbeSFB |
Habe auch Deine Probleme, aber mit einer neueren Variante von dem Nopir-Wurm. Gestern eingefangen, bis heute gehen die Scanner von McAffee, Trendmicro, AVG und Kaspersky drüber und bescheinigen mir ein virenfreies System. Wie verhält man sich denn in so einem Fall? Meldet man eine neue Variante irgendwo hin, wohin, wie? Runterkriegen scheitert bisher händisch, hat sich wohl in einigen Punkten gegenüber den nopir.c veränert. thx, sculder |
@sculder_3 du kannst die Datei (Siehe meine Signatur: Dateien kostenlos auf Malware prüfen) dort hochladen, beende aber vorher den Prozess (Falls geladen) du bekommst dann per eMail den Befund und wenn es sich um neue Malware handelt geht das auch zu den AV Herstellern :daumenhoc |
Danke für diesen Hinweis, Upload ist erfolgt. Ich hoffe nicht umsonst die Pferde scheu zu machen, aber auf was kann man sich denn sonst noch verlassen wenn nicht auf eine Handvoll Virenscanner? Die finden derzeit ein sauberes System. thx, sculder |
@ warte mal das Ergebnis ab, es dauert ca. 1 Tag. Kannst dich ja dann nochmal melden ;) |
Zitat:
Gruß :daumenhoc Yopie |
@gigamail: Das Ergebnis der Analyse lautet: "Neuer, bislang unbekannter Trojaner" Zitat:
Guter Artikel! thx, sculder |
@ sculder_3 Zitat:
Danke für deine Mithilfe :daumenhoc |
@ all & @sculder_3 Gott sei Dank man hat nen Lapi, wo man noch surfen kann. :aplaus: So folgende Hinweise: sucht im www nach dem programm regcool(freeware) wie der name fast sagt regeditor. Programm entpackt auf ner cd brennen. bei Symatec info`s über nopir.c ausdrucken(steht auch wie ihr die reg ändern müßt) dann Rechener neu starten F8 drücken und unter ... mit Eingabeaufforderung starten. Regcool-CD reinlegen programm (aus cmd-prompt)starten und die Reg-einträge ändern. hat bei mit funktioniert. FREUUUUUUDDDEE :D :) Rechner läuft wieder. !!! Registry ist nicht ohne !!! wer sich nicht traut lieber im Bekanntenkreis fragen wer es kann, sonst naja ihr wisst schon viele Stunden Arbeit -> alles auf eigene Verantwortung |
Zitat:
gn8! sculder |
@sculder_3 Guten morgen, Ich hätte noch schreiben sollen das ich win2000 habe aber hast du lt. Symatec auch ->Disabling or enabling Windows XP System Restore gemacht? Und ich habe auch sophos reingeschaut habe aber da nur A und B Variante gesehen, ist aber auch sehr früh vielleicht stehen die da irgendwo. Vielleicht noch nen Tip Bastle dir ne boot-cd(oder ne andere partition) wo du die beiden dateien löschen kannst. XP hat ja ne wiederherstellungsfunktion, deshalb hast du sie immer wieder drauf; schätze ich mal. Und Suche mit den regcool nach weiteren einträgen in der reg(für die mmsete.exe und outlookrem.exe). Viel Glück RobbeSFB |
Das ist kein Trojaner sondern ein Virus. Entfernen kannst du den sehr leicht mit HouseCall von TrendMicro. Ihr könnt ja mal gucken: www.housecall.de muss man wenigstens nix runterladen, außer die Machine, die sich eh allein Installiert... Den Virus hab ich damit schonmal runter. Nur wenn ich irgendeine .exe datei starten will, fragt der mich, mit welchem Programm ich das starten will. FireFox und TrendMicro InternetSecurity12 gehen aber so starten ... Was muss man umstellen? --- Unter anderem ist der Button "Systemsteuerung" nicht mehr vorhanden. Kennt ihr viel. wenn man bei Windows XP auf start klickt steht da soch systemsteuerung. Das ist durch den Virus auch entnommen worden. Wie kann man das die wieder hinmachen? Gruß maxinet |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:33 Uhr. |
Copyright ©2000-2025, Trojaner-Board