Xp neu aufgesetzt....Trojaner noch da. Hi, ich hatte einen Totalhänger meines Systems und habe Windows neu aufgesetzt. Dann mit Kaspersky und danach mit Antivir gescannt. Antivir spuckt alle 2 Sekunden TR/Vundo.Gen aus. Ich muss dazu sagen dass ich drei Festplatten habe. Eine ist formatiert auf den anderen befinden sich dann natürlich die schädlichen Dateien. Die Daten auf den zwei anderen Festplatten benötige ich aber unbedingt. Was ich mich noch wundert ist, dass Antivir z.B folgenden Pfad für den Trojaner angibt: C:\WINDOWS\system32\urqNGAPi.dll Verschleppt der Trojaner sich von festplatte zu festplatte auch wenn ich nicht auf die Festplatte zugreife? Hier mein Logfile: Code: Logfile of Trend Micro HijackThis v2.0.2 |
Hi, ja, das gibt es; Ein beliebtes Mittel dazu ist das autorun.inf (etc.). Das führt Windows bei allen Laufwerken aus, dass es findet (und schwub wandert der Virus vom Memorystick/Usb-Festplatte etc.) auf die Windowsparition. Du hast einen Backdoor neuster Machart drauf (flciijjq.exe -> FLCIIJJQ.EXE, Prevx) und noch einiges andere... Also: Alle Festplatten abhängen (nur die Bootplatte nicht), dann Bootplatte platt machen, installieren/virenscanner/updaten etc. (http://www.trojaner-board.de/51262-a...sicherung.html) Registryänderung am neuen System durchführen: *Wichtig: Immer vorher eine Sicherheitskopie der Systemdateien anlegen, bevor man die Registry "betritt" oder gar verändert !!* Es gibt beim Schlüssel HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\ Policies\Explorer zum einen den Namen: "NoDriveTypeAutoRun" (Standard ist: "95 00 00 00"), welcher den AutoPlay-Mechanismus der Laufwerke regelt. "95 00 00 00" - Autoplay für Festplatten und CD-Rom "00 00 00 00" - AutoPlay-Mechanismus für alle Laufwerke "FF 00 00 00" - kein Autoplay für alle Laufwerke "b1 00 00 00" - Autoplay für Festplatte und Diskette, nicht für CD-Rom "b5 00 00 00" - AutoPlay für Musik-CD's, nicht jedoch AutoPlay von Daten-CD's. "b9 00 00 00" - Autoplay nur für Diskette (Allerdings "rattert" dann die Kiste auch öfter ;-) Änderungen wirken sich hierbei erst nach einem Windows-Neustart aus. Auch die Programme "TweakUI" oder "TuneUp97" benutzen diese Registry- Funktion, mit der das "Autoplay" deaktiviert wird. Über "NoDriveAutoRun" beim Schlüssel HKEY_CURRENT_USER\Software\ Microsoft\ Windows\CurrentVersion\Policies\Explorer kann darüber hinaus für jedes Laufwerk einzeln festgelegt werden, ob es die Autoplay-Fähigkeit haben soll *oder nicht*. Hat der Name "NoDriveAutoRun" z.B. einen Dword-Wert von "7" (Option: "dezimal" aktivieren !) sind alle Laufwerke von A:\ bis C:\ vom AutoPlay ausgeschlossen. Oder: Zum Ausschalten des AutoPlay für AudioCD unter: HKEY_LOCAL_MACHINE\Software\CLASSES\AudioCD\Shell den Schlüssel (default) auf "" setzen Zum Einschalten des AutoPlay den Schlüssel (default) auf "play" setzen. Jetzt kommt der kritische Punkt, das Booten mit den angeschlossenen, verseuchten Festplatten... Dann alle Platten scannen lassen! chris |
Ich hab jetzt XP neu aufgespielt und Patches für die Hardware installiert. Dann hab ich TweakUI installiert und eingestellt das kein Laufwerk oder Harddiskdrive einen automatischen Suchlauf durchführen und ebenfalls die Audio und Datencd/DVD Erkennung ausgeschaltet. Dann hab ich die zwei anderen HDDs angeschlossen und gebootet. Jetzt scanne ich mit Kaspersky Internet Security 8 und Antivir. Meine Frage: Werden die erkannten Trojaner/Viren wirklich gelöscht oder ist das nicht möglich. Normalerweise poppt nämlich der Antivir Guard immer im Normalbetrieb auf und das einzige was man tun kann ist ihn wegklicken, da "In Quarantäne verschieben" und "Löschen" sowie "Zugriff verweigern" keinen Effekt zeigen. Ich hoffe das ist verständlich geschrieben. MfG Mark |
Der PC reagiert nur noch ganz langsam. Irgendwas is da noch. Ich hab Combofix drüber rennen lassen und hier ist die Logdatei. Code: ComboFix 08-05-15.3 - Administrator 2008-05-19 20:19:26.1 - NTFSx86 NETWORK |
Hi, Du hast einen Terminalserver laufen (bewußt?) und zwei Virenscanner; Hast Du den Rechner ohne die restlichen Festplatten erst ausprobiert und ist er nach dem anschließen der restlichen Festplatten langsamer geworden? Die Windowsversion passt auf den Rechner und ist regulär? (Falsche/veraltete Treiber können bremsen...) Silentrunner: Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen. Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten. http://www.silentrunners.org/Silent%20Runners.zip chris |
Code: "Silent Runners.vbs", revision 58, http://www.silentrunners.org/ |
Hi, was ich auf die Schnelle erkennen konnte: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ dimsntfy\DLLName = "C:\WINDOWS\System32\dimsntfy.dll" [MS] (Angeblich von MS, Online prüfen lassen)... ->DIMSNTFY.DLL, Prevx chris |
Vielen, vielen, vielen, vielen Dank. Alles scheint wieder gut zu sein. |
Alle Zeitangaben in WEZ +1. Es ist jetzt 04:42 Uhr. |
Copyright ©2000-2024, Trojaner-Board