Hartnäckiger Trojaner
 

Liebe gullyianer heute bin ich wirklich auf eure Hilfe angewiesen.
Ich hab mir gestern, nach dem downloaden einer Datei von erazer13
einen ziemlich bösen Trojaner eingefangen, Norton und sogar Windos Defender haben ihn erkannt aber da wars schon zu spät.
Ich hab sofort das Internet getrennt um das nachladen von Maleware zu verhindern.
Der Trojaner hat das Windos Sicherheitszentrum ausgeschaltet und zeigt mir nun das Pseudo
Security Center (oder so ähnlich) an.
In besagtem Security ... werde ich dazu aufgefordert etwas zu installieren.
Es war schon spät und ich weis mir eh in so fällen nicht zu helfen, zu meinem Übel ging dann der Strom für ca. 5 Minuten aus.
PC Neustart - als erstes aufgefallen, die Prototype Verknüpfung war nichmehr an Ort und Stelle und Norton war aus.
Norton gestartet - Viren prüfung - vom Trojaner geblockt ebenso wie Firewall etc.

Ich weis echt nichmehr weiter!
Ich möchte mein System nun neu aufsetzen, (btw. PC is in Standby) vorher allerdings noch meine Musik, Filme, Bilder und ettliche rar. Dateien sichern aber wie und was kann ich gegen den Trojaner tun?

Bin für jeden Hilfreichen Beitrag dankbar (nich für XXX schrieb : lol rofl No0b:dozey:)

PS: Ich hab bisher keine Erfahrungen mit solch harten Trojanern / Viren etc.

Da hilft wohl nur nötigste Daten retten und festplatte formatieren...

was is denn heute los...?

versuch mal: [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

ansonsten... Neu aufsetzen. :T
Sicher alles was du willst, nur achte darauf das es keine .exe Dateien sind. bevor du das backup zurück spielst, scan es.

Mein Opa meinte das der Trojaner mit dem Kopiervorgang auf seine Externe Festplatte kommen könnte er möchte das Risiko nich eingehn, was nun?

am Sichersten ist formatieren und Windwos neu zu Installieren,aber man kann ihn auch entfernen wenn du im abgesicherten Modus reingehst ihn löscht und zusätzlich noch die richtigen regedit einträge löschst um somit ein Autostart zu verhindern.Einfach mal bisschen googlen

Okay aber ich weis nich welche Datei den Trojaner ausmacht.

PS: Ich bin mal fürne Weile nicht da also werd ich später auf alles antworten müssen,
vielen Dank schonmal.

wie viel ist das was du kopieren willst? Reichen da nicht ein zwei DVDs?

mach esd och ganz einfach. entweder du holst dir Knoppix, Knoppicillin oder WindowsPE. dann lässt du das system hochfahren (vom stick) und schaust (bei knoppicillin und windows PE) mit den virenscanner nach, ob du ihn löschen kannst.
ansonsten kannst du mit knoppix und knoppicillin deine daten getrost kopieren, da der trojaner meist und linux net funzt!

Ich lege dir nahe, dein System von Grund auf neu zu installieren. Vertraue niemals auf eine komplette Entfernung eines Schädlings - ein kompromittiertes System ist und bleibt möglichweise eines.

Wenn du den Namen weisst nimm das hier: [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]
oder [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]
die 2.Variante ist einfach perfekt!:T
Du kannst ja für den moment schnell das Internet verbinden, um dir dass 2. Teil zu ziehen, hab selber sehr gute erfahrung damit ich war nämlich mal von einem hartnäckigem Virus befallen!



Lg. Ansgar


PS: Wenn du einen 2. PC hast lade es dir von dem herunter und dann auf einen USB -Stick, welchen du natürlich nicht wiederferwendest, oder vorher vollständig formatierst!

Hijack this machen, oder Autostart durchsuchen, service von windows dazu und dann die logs durchsuchen nach dem Programm. Wenn gemacht, dann die Datei suchen und löschen und eine bat erstellen, die taskkill erzwingt (auch per bat). Dann im abgesicherten Modus in den Autostart schieben und fröhlich sein ;-)

Gruß

Noch Fragen? Helfe gerne ;-)

Okay ich werde nun mal ein par Varianten ausprobieren, melde mich wieder bei mis-/erfolg ;)
Vielen Dank an alle schonmal.
Lg Nitro

PS: Hab den PC grade mal aus dem Standby genommen.
Ich hab plötzlich Links zu 3 Porno Seiten aufm Desktop :confused:

Okay also mir wird jetzt grade n Fenster angezeig : Security Center Alert
Ich werde gefragt ob ich die Datei
Backdoor.Win32.Kbot.al blocken will :/

äh JA!!!^^

Sicher?, das Fenster is vom Trojaner, das is dieses Pseudo Antiviren Fenster
Enable Protection ist alles was ich anklicken kann, Unblock und Keep Blocking sind abgewählt als ich kann sie nich anklicken

und sonst hat das Pferdchen mir alles geblockt was die Virensuche durchführen kann, Autstartprogramme kann ich auch nicht sehen weil MSCui.exe nichmehr funktioniert.

Der Trojaner ist wirklich tief in das System vorgedrungen. Bist du dir sicher, dass du diesen "Zustand" cleanen möchtest, um dieses System danach noch produktiv zu nutzen?
Ich würde das nicht wollen...

In dem Phishing ding ja nix anklicken! Da er sich wohl weiter einzugraben scheint. Mach das ganze ding platt!!! Du kommst da nicht mehr drum rum! LAN Kabel ab. Backup brennen. Backup scannen. (Am besten von einem Unix oder Linuxsystem aus). Und Windows neu aufsetzen.

Nein will ich nicht, es geht darum meine Daten zu retten, sprich :Musik, Filme, Bilder, usw.
Sonst würde ich gleich einfach formatieren, neu aufsetzen.:(

Ich würde mit einer Live-CD einen Scann machen. so bekommt man auch so manchse Viren weg

dvd-rw, das thema ist durch... der OP wird neu aufsetzen :T

@OP, hast du denn die möglichkeit zum brennen?

Ja habe ich,
aber ma was anderes, ich bin nun im abgesicherten Modus, der Trojaner scheint nicht zu greifen da das falsche Sicherheitsfenster nicht mehr auftaucht.
Frage : Wo finde ich im abgesichtern Modus die Autostartprogramme
und könnte ich meine Daten so sichern?

Start Ausführen "msconfig" unter den Reitern Systemstart und Dienste

gib msconfig bei ausführen ein, dann kannst du alles sehen! und wo sie sich befinden! oder du nimmst AUTORUNS von sysinternals.com!

Update
Ich habe laub ich den Kern des Übels gefunden undzwar habe ich eben schon bei youtube ma Trojaner gecheckt und hab auch ein Virsu (ein angebliches ANTIVirenprogramm) gefunden namens Antivir 2009 welches nun in meiner Systemkonfiguration unter Systemstart aufgetaucht ist.
Unter Systemstartelement steht 97572153906059593148534636599153 (was immer das heißen mag) auf jedenfall gehört es keinem Konkreten Dateinamen.
Der Ordner in dem es sich befindet ist nicht zu sehn.
Was nun? Deaktivieren? Bitte weiter um eure hilfe :)

Lad dir mal diese Programme runter und poste die Ergebnisse.

[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...] ( updaten)

Mal sehen, was du dir da überhaupt alles aufn Rechner eingefangen hast.


Mfg

edit: Die Programme solltest du dir natürlich mit nem sauberen Rechner besorgen, sowie vorsorglich die wichtigsten Passwörter ändern.

Neu aufsetzen ist die letzte Möglichkeit, empfehle sie dir immo noch nicht, da ich erst ein Blick auf die Infektion werfen möchte.

Wie soll ich an die Logfiles rankommen? Ich möchte nich mein Internet dranhängen da ich ja absolut keinen Schutz mehr hab.

Achso hierman Video vom Virus:
[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

Selbe Wirkungsweise sieht bei VIsta nur etwas anders aus.

Du bist doch nu im iNet...

Lad dir die Programme, die ich schrieb, zieh die aufn Usb Stick oder ähnlichen.
Du kannst ja auch das Spy Hunter mit runterladen und lässt es als erstes laufen. Dann löscht du die Funde und machst nen erneuten Scan.

Dann lässt du die anderen durchlaufen.

Die Logfiles entweder wieder auf USb und mit nem anderen Rechner hier posten.

oder mit dem "infizierten Rechner " hier posten.

STOP !!!!
WAS hast DU von MIR runtergeladen????
DAS ist mal eine glatte LÜGE !
WAS ist das für ein VIRUS der dem PC sogar den strom wegnimmt???
Ich bin seit Jahren als EDV-Techniker für ein Netzwerk einer großen Firma zuständig und du schiebst mir das unter?:D
Wenn du Malware hast und evtl die EVERLUST SXVILLA gezogen hast dann verstehe ich das, der Beitrag stand aber gestern den ganzen Tag über oder unter meinem Thread.
WARUM - wenn die Datei von mir ist - schickst DU MIR nicht eine PN oder schreibst das in meinen Thread rein???
SOLL ICH DIR SAGEN WARUM ? - weil es nicht stimmt und weil zig User - habe innert 24std. 380 Downloads gehabt -. deinen dummen Komentar bestritten hätten.

ICH BITTE DICH MEINEN NAMEN SOFORT RAUSZULÖSCHEN DA ICH SONST RICHTIG BÖSE WERDE.
ODER - wenn du dich darauf festbeißt - dies in meinen thread zu schreiben um andere zu warnen...:D:D:D aber die Konsequenzen trägst dann du wenn du dann noch blöder angeredet wirst.

So einen Virus wie du sagst gibt es nicht aber in den ansätzen tippe ich auf was und das ist innert 1min. gelöscht.

Entschuldige dich bei mir per PN und ich helfe dir fachmännisch dein Problem (wenn du eigentlich eines hast) zu lösen.

-gelöscht-

Eine Richtigstellung wäre angebracht, wenn es nicht an irgend einer Datei von dir, die du verbreitest liegt. Dafür sollte der TE die Datei nennen, damit du es überprüfen kannst. Das ist schon korrekt, und mit Sicherheit auch ärgerlich, das nun erstmal dein Name gefallen ist,

aber,


du hast schonmal gar keinen Grund hier irgend wen zu drohen.

Das dazu....

WAS - ist gelöscht ?8)

Vortäuschung falscher Tatsachen mit Rufschädigung nennt sich das im Fachjargon...>>

Das meine ich ja.
Ich wurde darauf durch eine PN hingewiesen Auszug:
Halli-Hallo erazer,

wollte dich nur drauf aufmerksam machen, daß wohl einer mit diesem everlust (?) Probs hat, aber DEINEN Namen in diesem Zusammenhang nennt...ich finde, du solltest das wissen:
Bin ja keine Petze, aber mir scheint, DAS ist wohl nicht deine Schuld..

Bei sowas gehen mir dann die Nerven durch - NORMAL wäre mich darauf hinzuweisen oder zu fragen - wenn die Datei wirklich von mir kommt - aber anscheinend ist im Laufe des Threads sowieso was anderes raus gekommen - also so wie es klingt ist das ein Backdoor Trojaner der übers Web ins System rein ist. Sonst wäre der Virus ja in dem Ordner des Games gefunden worden. Und Dann hätte er den ordner ja angegeben.
Mit drohen meine ich den Beitrag melden und löschen lassen.

Er soll sich mal bei mir per PN melden habe ihn eh schon privat angeschrieben.
Ich krieg den weg :T


Nachtrag...noch was habe mehrere Dateien in dem Thread...denke es bezieht sich auf den Virtual-Sex-Games-Thread und nicht auf meine Filme/Dokus oder PDF`s.
Und da wurden der Sammelpack No1 innert 48std 487 x komplett heruntergeladen !!! und einer hat nun ein Problem mit seinem PC und stellt mich an die Wand ? Überlegt einfach mal....
Zudem hat der Thread 3.584 Betrachtungen innert 48std ...


NOCH WAS:
In meinen Thread hat HANSEBANGER die verseuchte EVERLUST VERSION von der 3D SEXVILLA gestellt.... könnte hinkommen mit dem Trojaner...da habe ich mich auch aufgeregt...

Auszug aus dem THREAD:


Hansebangers Version - mein Kommentar
Finde ich jetzt nicht ganz okay das EVERLUST RELEASE hier in meinen Thread zu stellen.
Ich möchte hier NUR :
SAUBERE Versionen !
OHNE - VIREN und ADWARE !
OHNE - UMSTÄNDLICHES KOPIEREN und einsetzten damit das Game läuft.

Die Everlust kommt mir /nicht) mehr auf meinen PC. da ich nicht wieder alles neu installieren möchte wenn nach einiger Zeit plötzlich "mein PC macht was ER will".

Da ich der Threatersteller bin möchte ich nicht auch noch Tips geben müßen wenn ein User diese Version installiert.

TIP: lade eine saubere Version hoch (die von mir z.B.) und aktualisiere DEINEN THREAT damit. Dann kriegst auch noch ein paar Punkte ab wenn du darauf so scharf bist.

Ich weiß eh nicht was ich mit meinen machen soll - verschenke schon Monatsaccounts an Arbeitskollegen..
erazer13 ist gerade online Beitrag melden Beitrag bearbeiten/löschen

Hier stellt dich niemand an die Wand. Das WIE ist uns doch scheiß egal. Reg dich ab und komm back to topic du Helm.

..du Helm?

..na bist nicht besser wie ich mit solchen Aussagen...:dozey: