Trojaner eingefangen.

[Krakelcomics]

Hallo ihr alle.

Ich habe ein Problem...und zwar. aus einem mir unerfindlichen Grund war mein

Antivir-AutoGuard nach dem Hochfahren nicht automatisch aktiv geschaltet...

normalerweise ist der immer an, aber diesmal eben nicht. hab ich auch nicht

wirklich registriert. Ich also im Netz am surfen. resultat: trojaner eingefangen.

Dann hab ich bemerkt: oh, mein guard ist aus. wieso verdammt??? nagut...

also mit antivir virenscan gemacht. er findet:

TR/Agent.FV.17

in C:\Windows\system32\xa.tmp

und

TR/Fraudpack.stu.1

in C:\Dokumente und Einstellungen\Ansgar\Anwendungsdaten\Gmail\Shell32.dll

tja....antivir findet die viecher zwar, aber irgendwie krieg ich die nicht gelöscht...finden ja. entfernen nö.

hab die shell32.dll in shell32.vir umbenannt durch antivir. das ging und

im Moment ist auch ruhe. aber ständig kommen so meldungen wie auf dem bild.

DAS muss auch noch irgendeine *******e sein...sitzt zusammen mit der shell32 in dem Ordner Gmail und heisst rygwz7313434. kann man auch

nicht löschen den dreck... UAHRG!! war dann auf trojaner-info.de und hab mal geschaut wegen der Einträge in der Sysedit.exe. hab da folgende ergebnise (auf der seite hiess es zur erkennung solle man da reinblicken)

Win.ini:

; for 16-bit app support

[fonts]

[extensions]

[mci extensions]

[files]

[MCI Extensions.BAK]

aif=MPEGVideo

aifc=MPEGVideo

aiff=MPEGVideo

asf=MPEGVideo2

asx=MPEGVideo2

au=MPEGVideo

m1v=MPEGVideo

m3u=MPEGVideo2

mp2=MPEGVideo

mp2v=MPEGVideo

mp3=MPEGVideo2

mpa=MPEGVideo

mpe=MPEGVideo

mpeg=MPEGVideo

mpg=MPEGVideo

mpv2=MPEGVideo

snd=MPEGVideo

wax=MPEGVideo2

wm=MPEGVideo2

wma=MPEGVideo2

wmv=MPEGVideo2

wmx=MPEGVideo2

wvx=MPEGVideo2

wpl=MPEGVideo

m2v=MPEGVideo

mod=MPEGVideo

[Mail]

MAPI=1

[sciCalc]

layout=0

autoexec.bat:

keine einträge

config.sys:

keine einträge

system.ini:

; for 16-bit app support

[drivers]

wave=mmdrv.dll

timer=timer.drv

[mci]

[driver32]

[386enh]

woafont=app850.FON

EGA80WOA.FON=EGA80850.FON

EGA40WOA.FON=EGA40850.FON

CGA80WOA.FON=CGA80850.FON

CGA40WOA.FON=CGA40850.FON

das sind die Einträge, aber weiter kann ich da nix mit anfangen, weil ich nicht

weiss was davon die trojaner sein könnten/sind und was da stehen muss/sollte und was ich löschen darf/kann/muss.

soweit zum standpunkt...der Status Quo! Wer kann mir helfen?

was muss ich tun? wer bin ich eigentlich?? aber das tut nix zur sache.

bräuchte echt hilfe. dankeschön im voraus für die Mühe!!

[Krakelcomics]

hatte vorhin vergessen das bild mit einzupflegen. also das ist diese rygwz7313434-meldung und da steht was von conflicker etc.

kann ich auch nicht loswerden. ebenso wie dieses Fraudpack.stu.1

hmm habs irgendwie nicht geschafft das bild direkt einzufügen...darum

hier ist als link, aber das ist nur nebensächlich.

danke nochmal für die Hilfe schon im Voraus!

[füsschen]

Wie wäre es, wenn du die entsprechenden Dateien mittels LiveCD löscht?

[Krakelcomics]

aber wie soll das helfen? eine LiveCD heisst doch nur:

boote von der CD!

die Zusammengehörigkeit meines problems und deiner

aussage erschliesst sich mir nicht irgendwie :-/

[Thanks-and-Goodbye]

Es gibt diverse Live-CDs, mit denen man auf das Filesystem des betroffenen Rechners zugreifen kann.

Es gibt diverse Live-CDs, die einen integrierten Virenscanner haben, so dass man ein betroffenes System von "aussen" scannen kann.

[füsschen]

Du könntest es mit der LiveCD von Avira versuchen

Avira AntiVir Rescue System

oder mittels Knoppix booten und die Dateien von deiner Festplatte fegen.

Das Live System hat den vorteil, dass dein System auf der Platte schläft und das OS von der CD gebootet wird und dadurch im Normalfall sauber ist.

Wenn du ein Linux bootest, dann wird es von den Trojanern und Viren im Normalfall sowieso nicht beeinflusst^^

[Krakelcomics]

ok probieren wir es mit der avira rescue-dingens-sache^^

allerdings steht da auf der seite das ist für rechner die nicht

mehr gebootet werden können. geht das trotzdem?

noch hinterher: mit den sysedit.exe-einträgen die ich gepostet hatte.

war da was nicht in ordnung? oder muss das alles so und ist korrekt??

thx

[ewert59]

Hallo ihr alle.

Ich habe ein Problem...und zwar. aus einem mir unerfindlichen Grund

mir nicht

war mein Antivir-AutoGuard nach dem Hochfahren nicht automatisch aktiv geschaltet...

Kann mit der Infektion zusammenhängen

also mit antivir virenscan gemacht. er findet: TR/Agent.FV.17

in C:\Windows\system32\xa.tmp

Glück gehabt, dass der Scanner was erkannt hat, siehe die letzten heise-Meldungen.

Aber wieso schreibt Trojaner ins Systemverzeichnis? Das ist doch für Nutzer gesperrt. Oder hast Du als Admin gesurft?

tja....antivir findet die viecher zwar, aber irgendwie krieg ich die nicht gelöscht...finden ja.

Siehe Dein Screenshot - sieht aus wie Con-f-i-c-k-e-r

was muss ich tun?

http://www.heise.de/security/Die-Infoseite-zu-%43%6f%6e%66%69%63%6b%65%72--/artikel/135725

http://iv.cs.uni-bonn.de/wg/cs/applications/containing-%63%6f%6e%66%69%63%6b%65%72

Edit: Ich halte nichts von den Removal-Tools:

Jesper M. Johanssonso, Ph.D., CISSP, MCSE, MCP+I und Security Program Manager bei Microsoft: Help: I Got Hacked. Now What Do I Do? "The only way to clean a compromised system is to flatten and rebuild."

Hint: bei 404 bei den URLs Enter drücken, Con-f-i-c-k-er wird gefiltert, *LOL*, ich habe ihn deswegen URL-encodiert

[Luq]

... ganz böses Spiel!

Bei mir hilft immer: Plattmachen!