WTLBUI.exe --> Benötige Hilfe bei Trojanerproblem

Dieses Thema im Forum "Sicherheit" wurde erstellt von DannyC, 17. Januar 2005.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. DannyC

    DannyC Byte

    Registriert seit:
    17. Januar 2005
    Beiträge:
    12
    Hallo,

    ich bin neu hier und benötige unbedingt eure fachmännische Hilfe.
    Ich bin vor kurzem im Internet gesurft und habe mir da (ich glaube via PopUp) einen Tojaner oder sowas durchlaufen lassen,welcher mir von meinem AntiViren Programm auch sofort angezeigt wurde.
    Leider stellt er sich nach dem löschen selbst wieder her (typisch für einen Trojaner oder?).

    Problem: Sobald ich mit dem Internet Explorer ins Internet gehe habe ich eine veränderte Startseite und ich bekomme beim öffnen einer neuen Seite eine Virusmeldung mit folgendem Inhalt: "Es wird versucht auf eine verdächtige Datei zuzugreifen: WTLBUI.exe.
    Diese Datei verhält sich wie trojan.startpage"
    Mit Mozilla kann ich allerdings noch einwandfrei surfen und an meinem PC sonst gab es ebenfalls keine Auswirkungen.

    Ich habe mehrmals verucht diese Datei zu löschen auch mit den Methoden wie man der trojan.startpage loswird ---> Alles vergebens.

    Daraufhin habe ich 2mal einen Systemvirenscan gemacht -> ohne Erfolg.
    Spyware Doctor -> ohne Erfolg
    CW Shredder -> ohne Erfolg
    Ad-Aware -> ohne Erfolg
    Spybot - > ohne Erfolg
    GData AV-Kit -> ohne Erfolg
    Norton -> ohne Erfolg
    HighJackThis -> ohne Erfolg
    Autom. Suche nach Datei -> Ohne Erfolg
    Manuelle Suche nach Datei -> Ohne Erfolg

    Nun habe ich nicht all zu viel Ahnung von Computern oder Viren,deshalb benötige ich eure Hilfe. Was habe ich mir da eingfangen und wie werde ich es wieder los?


    Bitte helft mir! :bet:
     
  2. poro

    poro Ganzes Gigabyte

    Registriert seit:
    31. Juli 2003
    Beiträge:
    13.635
    Hast Du vorher alle Temp-Orner leer gemacht, bzw. irgendwelche neuen .exe, .dll's in c: und c:/windows entfernt?
    Manchmal ist sogar was neues unter Software (Systemsteuerung) zu finden. Gehst Du mit Adminrechten ans Entfernen?


    Ansonsten, poste mal Deine Netzteilwerte. Ach, das war ja die falsche übliche Antwort.
     
  3. DannyC

    DannyC Byte

    Registriert seit:
    17. Januar 2005
    Beiträge:
    12
    Also ich habe die Datei WTLBUI.exe jetzt manuell gelöscht und sie hat sich selber reproduziert.
    Ebenfalls scheint eine Datei namens wtlbass32.dll damit zu tun zu haben,da sie genau an dem Datum und Urzeit erstellt wurde,als ich mir den Virus eingefangen habe.
    Nach löschen dieser Datei stellt sie sich allerdings auch selber wieder her.

    Was tun? Ich kann diese Dateien nicht löschen.

    Ja,ich gehe mit Admin-Rechten ans entfernen,ist das falsch?

    Ich traue mich ehrlich nicht einfach so Dateien aus der Systemsteuerung zu löschen.
     
  4. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Zeig doch mal dein HijackThis Log. Aber bitte so wie in diesem Thread beschrieben, nicht den kompletten Text hier reinposten.
     
  5. DannyC

    DannyC Byte

    Registriert seit:
    17. Januar 2005
    Beiträge:
    12
  6. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    :muhaha: ich schmeiss mich weg...
     
  7. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    @ DannyC

    Was soll denn der Mist? :mad:
    Du sollst hier den Link zur Auswertung posten, nicht einen Teil des Logs selbst...
     
  8. DannyC

    DannyC Byte

    Registriert seit:
    17. Januar 2005
    Beiträge:
    12
    Ich glaube zwar nicht,dass der Link viel bringt:

    http://www.hijackthis.de/index.php

    Ich habe nach deren Auswertung keine bösartigen Files auf meinem PC.


    Ich habe allerdings zwei,bei denen es eventuell sein könnte,die ich mich nicht traue zu löschen,da sie,denke ich zur Systemsteuerung gehören:

    c://windows/system32/CTFMONSS.exe
    c://windows/system32/CSRSSW.exe

    und eventuell

    C://windows/wtlbass32.dll
     
  9. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Was soll ich jetzt mit der Startseite von hijackthis.de?

    Poste bitte den Link zur Auswertung deines Logs, findet sich nach der automat. Auswertung ganz unten auf der Seite...
     
  10. DannyC

    DannyC Byte

    Registriert seit:
    17. Januar 2005
    Beiträge:
    12
  11. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
  12. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    Was machen denn die ganzen BHOs da ? Ausser Acrobat bräuchte da garnichts zu stehen, und der Spybot-BHO hat sich nun ja selbst disqualifiziert :D

    Schon mal unter "Extras-Addons" nachgeschaut ?
    Ist das alles wissentlich installiert worden ?
     
  13. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    Nanu.... :D
     
  14. DannyC

    DannyC Byte

    Registriert seit:
    17. Januar 2005
    Beiträge:
    12


    Die sind nach suchen bei google alle am richtigen Platz.

    Extras-Addons muss ich gleich mal nachschauen.


    Was ist mit dem Alaunch,muss ich das fixen?

    Wo steht das mit dem infected by not-a-virus.....?
     
  15. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    Ja, die schon, aber die von dir genannten heissen anders. Gaaaanz genau lesen:

    CTFMON= Systemprozess
    CTFMONSS= :eek:

    CSRSS=Systemprozess
    CSRSSW=:eek:


    ICH kenne es nicht, ich würde es tun. Wichtig für das System ist es nicht.
    Hast du es wissentlich installiert ?


    Eine der ersten Fundstellen, wenn ich "Alaunch" bei google eingebe:
    http://www.google.de/search?q=cache...ml?bwthreadid=761768+alaunch&hl=de&lr=lang_de


    Und wie immer, wenn Hijacker und Trojaner im Spiel sind: Es wird kein Gebrauch vom Zonensystem gemacht.

    http://www.blafusel.de/ie.html
     
  16. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Also im Prinzip hat steppl ja schon alles gesagt, aber hier nochmal die Zusammenfassung:

    Folgende Einträge entfernen (in HijackThis fixen und die zugehörigen Dateien löschen):

    Falls Spyware Doctor und Alaunch keine von dir installierten Programme sind müssen die auch weg.
     
  17. DannyC

    DannyC Byte

    Registriert seit:
    17. Januar 2005
    Beiträge:
    12
    Gut,aber wird bei Laptops "Alaunch" nicht zum hochfahren des PC benötigt?

    Die anderen beiden .exe dateien kann ich also beruhigt löschen?
     
  18. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Also mein Laptop braucht kein Alaunch. War das Programm bei deinem Laptop dabei oder wo hast du das her?


    Ja, die zwei Dateien (CTFMONSS.EXE und CSRSSW.EXE) müssen weg, die sind doch die Ursache deines Problems (zusammen mit der wtlbass32.dll).
     
  19. DannyC

    DannyC Byte

    Registriert seit:
    17. Januar 2005
    Beiträge:
    12
    Das Alaunch war bei mir drauf! Naja,ich lasse es mal lieber drauf!

    Die 3 Dateien lassen sich nicht löschen,die stellen sich immer wieder selbst her.

    Ich habe es jetzt manuell,mit dem Security Task Manager und mit HiJackThis probiert!

    Habt ihr einen Tip dafür,wie ich die löschen kann?

    Was ist mit dieser komischen WTLBUI.exe Datei?

    Die wird bei mir immer als risikohaft angezeigt,ich finde die aber im ganzen PC nicht!
     
  20. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Versuch die Dateien im abgesicherten Modus zu löschen. Evtl. musst du vorher noch laufende Prozesse dieser Dateien beenden.


    Welches Programm meldet dir denn die WTLBUI.exe? Dasselbe Programm sollte dir auch sagen können wo die liegt.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen