Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Runner.DM, c:\windows\system32\gwnsbgu.exe (https://www.trojaner-board.de/74241-tr-runner-dm-c-windows-system32-gwnsbgu-exe.html)

speedy12340 17.06.2009 09:48

TR/Runner.DM, c:\windows\system32\gwnsbgu.exe
 
Hallo,

sobald ich die Datei c:\windows\system32\gwnsbgu.exe lösche, umbennene oder verschiebe, kann ich mich nicht mehr bei windows anmelden. Er meldet sich zwar an, meldet sich dann aber automatisch wieder sofort ab.
AntiVir bringt: c:\windows\system32\gwnsbgu.exe, Trojanisches Pferd wurde gefunden: TR/Runner.DM.
Schiebe ich die Datei in Quarantäne geschieht Gleiches wie oben beschrieben.

Win XP Reinstaliieren hat auch nicht gebracht.

Kann mir da jemand weiterhelfen?

Danke

riopete 19.06.2009 14:39

Hallo Speedy,
helfen kann ich Dir leider nicht, aber ich hab exakt das gleiche Problem.
Einziger Unterschied ist, das die Zeile bei mir eine andere Bezeichnung hat:
AntiVir bringt: c:\windows\system32\fbmjbehy.exe, Trojanisches Pferd wurde gefunden: TR/Runner.DM.

Hab auch schon einiges ausprobiert, bin aber auch nicht weiter gekommen.
Hoffe mal das hier jemand mehr weiss....

Gruß
riopete

Chris4You 19.06.2009 14:48

Hi Ihr zwei Hübschen,

bitte das hier abarbeiten und speedy bitte einen eigenen Thread erstellen:

Für die "erste Hilfe" bitte folgendes abarbeiten:
http://www.trojaner-board.de/69886-alle-hilfesuchenden-eroeffnung-themas-beachten.html

Zusätzlich noch RSIT:
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.
Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/
speichere es auf Deinem Desktop.
Starte mit Doppelklick die RSIT.exe.
Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

chris

riopete 19.06.2009 15:55

Hi chris,
das mit dem neuen Thread bin dann wohl ich da Speedy angefangen hat hier.
Zieh mich erstmal zurück und schau was hier rauskommt. Komm derzeit nicht mehr auf meinen Rechner um die Vorarbeiten auszuführen.
Erstmal Danke !
P.S. So hübsch bin ich gar nicht:aplaus:

Rio

Chris4You 19.06.2009 18:53

Hi,

in dem Fall den abgesicherten Modus ausprobieren (beim Booten F8 drücken)...
Sonst müssen wir von einem sauberen Rechner aus eine Boot-CD erstellen...

chris

Franta 24.06.2009 07:43

Dein Problem und dessen Lösung wird hier beschrieben:
http://forum.avira.com/wbb/index.php?page=Thread&threadID=91486

Ich hatte das gleiche Problem, und habe es so gelöst.

Der Trojaner scheint ziemlich eklig zu sein.
Vorsicht mit Homebanking, Ebay usw!!

Chris4You 24.06.2009 09:30

Hi,

Danke für den Hinweis...
Na, dann mal auf ans BootCD-basteln:

Am einfachsten geht dies über http://www.ubcd4win.com/, runterladen installieren und dann mit einer XP-CD (Installations-CD bzw. Recovery-CD [das gibt dann allerdings eine Warnung!])die Boot-CD erstellen (natürlich auf einem sauberen System!).
Vorteil dabei ist, dass die "Universal Boot CD für Windows" gleich Virenscanner und Tools an Board hat, mit denen man dann gleich loslegen kann (auch einen Remote-Regeditor, um den betroffenen Schlüssel "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" zu bearbeiten (Unterschlüssel userinit.exe lsöchen).
Rootkits liegen nach dem Booten von CD "ungeschützt" auf der Platte (da sie ja nicht gestartet wurden) und können dann sehr einfach gesucht u.
gelöscht werden. Ein Remoteregistry-Editor steht ebenfalls zur Verfügung.


chris

riopete 28.06.2009 15:55

Zitat:

Zitat von Franta (Beitrag 443298)
Dein Problem und dessen Lösung wird hier beschrieben:
http://forum.avira.com/wbb/index.php?page=Thread&threadID=91486

Ich hatte das gleiche Problem, und habe es so gelöst.

Der Trojaner scheint ziemlich eklig zu sein.
Vorsicht mit Homebanking, Ebay usw!!

Hallo Franta, Hallo Chris,

hab es mit der im o.g. Thread beschriebenen 2.Methode wieder hinbekommen.
Vielen Dank an euch beide :knuddel::party:

Gruß
Riopete

speedy12340 04.07.2009 11:50

Hallo an alle Beteiligten,

Danke für die Hilfe, habe es wie in http://forum.avira.com/wbb/index.php?page=Thread&threadID=91486 beschrieben wieder hinbekommen.

Tatsächlich war ein Debugger Eintrag in der Registry. Habe dieesen gelöscht, Datei entfernt und alles ging wieder.

Danke

Gruß
speedy

Chris4You 04.07.2009 15:37

Hallo,

Danke für die Info...

Thread kann geschlossen werden,

chris & Out


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:35 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131