Hilfe gegen Trojaner!

Dieses Thema im Forum "Sicherheit" wurde erstellt von KingOrg, 12. November 2005.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. KingOrg

    KingOrg ROM

    Registriert seit:
    12. November 2005
    Beiträge:
    6
    Hallo @all,

    ich habe ein Problem mit einem Trojaner den AntiVir mir beim Neustart immer meldet. Ich kann ihn dann zwar löschen, aber so leicht ist das natürlich nicht und er ist bei nöchsten Neustart wieder da.

    gefunden wurde der Trojaner hier:
    C:\DOKUME~1\GEORGK~1\LOKALE~1\TEMP\STU2.TMP.TMP

    und seine Bezeichnung:
    Ist das Trojanische Pferd TR/Dldr.180Instal.1

    Ich bitte euch um einen Rat, denn ich hab keine Ahnung was ich noch tun soll :(
    Vielleicht kann mir ausserdem noch jemand erklären was dieses Ding eigentlich bewirkt.

    Danke im Vorraus!
     
  2. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Hallo,

    hier oben im Virenboard findest du eine Anleitung zu HiJackThis, ohne deine Log-Datei können wir nicht tätig werden bzw. ist keine Ferndiagnose möglich.

    Wolfgang77
     
  3. DerPferdeflüsterer

    DerPferdeflüsterer Kbyte

    Registriert seit:
    3. September 2004
    Beiträge:
    235
  4. frajoti

    frajoti Viertel Gigabyte

    Registriert seit:
    5. August 2005
    Beiträge:
    3.670
    Also Spionfrei würde ich nicht nutzen. Es klingt zwar gut, aber irgendwie ist mir die Seite nicht ganz geheuer. 16Euro/Monat fürs Registrieren ist ja ein Wucher.

    Nutze erstmal die Möglichkeiten von HijackThis. Als erste Lösung: Das Ding setzt sich anscheinend tief ins System fest. Wenn du XP nutzt, deaktiviere die Systemwiederherstellung, starte im abgesicherten Modus und scanne deinen Rechner erneut.
     
  5. KingOrg

    KingOrg ROM

    Registriert seit:
    12. November 2005
    Beiträge:
    6
    vielen dank!
    ich werde das mal durchprobieren...mal schaun ob ich es schaffe mein system zu schrotten
     
  6. KingOrg

    KingOrg ROM

    Registriert seit:
    12. November 2005
    Beiträge:
    6
  7. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    also bevor ich jetzt anfange zu frickeln, hast du schonmal die Programme Ad-Aware und Spybot drüberlaufen lassen? wenn nicht dann mach es jetzt.
    Dann gehst du mal unter Systemsteuerung>>Software und deinstallierst folgende Programme (so vorhanden):
    MySearch oder MySearch Bar
    Search-Assistant
    GMT

    Ist das Programm:
    C:\Programme\Internet Explorer\Toolbar\toolbar.hta
    von dir installiert und gewollt?

    Danach postest du ein neues HijackThis Logfile.


    Grüße Jasager
     
  8. KingOrg

    KingOrg ROM

    Registriert seit:
    12. November 2005
    Beiträge:
    6
  9. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Du hast ja überhaupt nichts gemacht... schwinge die Hufe...

    Systemwiederherstellung deaktivieren, im abgesicherten Modus booten. Gelbe und rote Einträge mit HiJAckThis fixen. Die Dateien mit den Misc Tools von HiJackThis zur Bootzeit löschen.

    Spyware, Adware und Software die nach Hause telefoniert habe ich gesichtet.

    Wolfgang77
     
  10. KingOrg

    KingOrg ROM

    Registriert seit:
    12. November 2005
    Beiträge:
    6
    danke Wolfgang, aber ich hab davon keine ahnung, wie boote ich? von den anderen dingen ganz zu schweigen :confused:

    sorry, aber gibt es vielleicht noch einen zweiten weg?
     
  11. frajoti

    frajoti Viertel Gigabyte

    Registriert seit:
    5. August 2005
    Beiträge:
    3.670
    Bei Starten die F8-Taste drücken, dann sollte ein Auswahlmenu kommen, wo du den abgesicherten Modus auswählen kannst. Alternativ: Start - Ausführen - msconfig eingeben und Enter - Reiter Boot.ini - Haken bei Safeboot setzen - Ok klicken und neustarten. Evtl. kommt eine Meldung nach dem Neustart. Diese kannst du getrost akzeptieren bzw. ignorieren, denn die Änderung (hier Neustart im abgesicherten Modus) ist ja gewollt.

    Ein zweiter Weg wäre eine Komplett-Neuinstallation.

    Edit: Systemwiederherstellung: http://www.pctipp.ch/helpdesk/kummerkasten/archiv/viren/26316.asp
     
  12. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Hallo,

    du bist doch hier in Deutschland oder.. da gibt es für alles ein Amt oder Ministerium...

    Informationen zur Deaktivierung der Systemwiederherstellung und zum Start in den abgesicherten Modus (Windows XP)

    Bundesamt für Sicherheit in der Informationstechnologie (BSI)
    http://www.bsi.de/av/texte/wiederher_xp.htm

    Beim BSI für Bürger bekommen Anfänger in Sachen Sicherheit vereinfacht dargestellt um was es geht:
    http://www.bsi-fuer-buerger.de/schuetzen/index.htm
     
  13. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    Das geht dann doch ein wenig zu weit, schon prinzipiell die roten zu löschen kann falsch sein(und ist in diesem Fall falsch, da Backweb die updatefunktion von vielen Programmen ist, und meiner Meinung nach fälschlicherweise rot gekennzeichnet ist), die gelben einfach so alle zu löschen ist fast immer falsch.

    Nachtrag:
    diese Sachen sollten gefixt werden:
    O4 - HKCU\..\Run: [180ClientStubInstall] "C:\Programme\Search-Assistant\stubinstaller.exe"
    O4 - HKCU\..\Run: [BillyBladeSetup.exe] C:\DOKUME~1\***~1\Desktop\BILLYB~1.EXE /r (falls du es nicht kennst und aus seriöser Quelle installiert hast)
    O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe

    dann noch fogende Ordner/Dateien löschen, falls noch vorhanden:
    C:\Programme\Search-Assistant
    C:\Programme\Gemeinsame Dateien\GMT
    C:\DOKUME~1\***~1\Desktop\BILLYB~1.EXE (falls nicht gewollt)

    Grüße Jasager
     
  14. KingOrg

    KingOrg ROM

    Registriert seit:
    12. November 2005
    Beiträge:
    6
    danke nochmal an euch alle, ich hab den trojaner los...warscheinlich durch das entfernen/fixen der programme

    danke für eure mühe :bet:
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen