|
Hoi Ihr Wissenden hab nen Riesenbroblem mit dem trojaner: Trojan.Gaslide War in dieser per mule heruntergeladenen datei: full_patch_for_icq_pro_2003b_build_3916_and_lower_ crack_the_adbanners_show_IP_and_many_more_secret_o ptions_in_this_hack.zip Norton Antivirus meldet mir nun, dass die Datei '...windows\system32\notepad.exe' damit infiziert ist. aber er kann sie weder reparieren, noch löschen (zugriff verweigert) versuche schon seit Stunden dem Problem Herr/Frau zu werden. Ich benötige dringend Hilfe! (werde schon langsam panisch :( () Vielen lieben Dank im Voraus sister |
Ohne Garantie das es wirkt - Bringe Norton AV auf den aktuellen Stand (falls nicht geschehen) -(Hast Du XP oder ME, dann deaktiviere erst mal die Systemwiederherstellung) - Starte Windows (welche Version hast Du?) im abgesicherten Modus - Starte Norton... //Edit laut Symantec war dies schon der richtige Weg :D => http://securityresponse.symantec.com...n.gaslide.html Du brauchst wohl leider eine neue Notepad.exe [img]tongue.gif[/img] und musst auch ein paar Einträge in der Registry manuell wieder herstellen: </font><blockquote>Code:</font><hr /><pre style="font-size:x-small; font-family: monospace;"> 1. Click Start, and then click Run. (The Run dialog box appears.) 2. Type regedit Then click OK. (The Registry Editor opens.) 3. Navigate to each of the following keys: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 4. In the right pane, delete any values referring to the Trojan. 5. Navigate to the registry key: HKEY_CLASSES_ROOT\exefile\shell\open\command 6. In the right pane, change the default value to: "%1" %* 7. Exit the Registry Editor. </pre>[/QUOTE]PS: wie kann man nur eine solche Datei downloaden? :eek: [ 22. März 2004, 14:14: Beitrag editiert von: Shadow ] |
Hi sister, willkommen an Board. [img]smile.gif[/img] Zum Trojan.Gaslide findest Du hier eine genaue Beschreibung und Entfernungsanleitung (unter Removal Instructions), allerdings auf Englisch. Bei der betroffenen Datei unter dem angegebenen Pfad handelt es sich nicht um das Windos Notepad, sondern das ist der Trojaner bzw. Browser Hijacker. Versuch erstmal, nach der Entfernungsanleitung vorzugehen. Das sollte so klappen! Und: Keine Panik! Die Frage, warum Du Dir so obskure Dateien über emule runterziehst, verkneife ich mir mal. :rolleyes: Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
Man sollte Kazaa, emule und Co. für softwaredownloads verbieten. Virenschleuder ersten Ranges! [img]graemlins/pfui.gif[/img] [img]graemlins/pfui.gif[/img] |
Mein Edit hat sich mit Yopies Posting überschnittetn @ Yopie: ich habe mir DIE Frage nicht verkniffen ;) |
</font><blockquote>Zitat:</font><hr />Original erstellt von Shadow: Ohne Garantie das es wirkt - Bringe Norton AV auf den aktuellen Stand (falls nicht geschehen) -(Hast Du XP oder ME, dann deaktiviere erst mal die Systemwiederherstellung) - Starte Windows (welche Version hast Du?) im abgesicherten Modus - Starte Norton... </font>[/QUOTE]Sollte lt. Symantec so passen. ;) Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
@Yopie: diesmal war ich ein paar Sekündchen schneller [img]tongue.gif[/img] |
</font><blockquote>Zitat:</font><hr />Original erstellt von Shadow: @ Yopie: ich habe mir DIE Frage nicht verkniffen </font>[/QUOTE]Ich hab diese Klippe rhetorisch umschifft... ;) Liegt die Original-Notepad.exe wirklich in system32? @*christian* Warum verbieten? Nur, weil einige (viele) Leute damit nicht umgehen können? Dann könntest Du auch Autos verbieten! (Juhuu, wieder ein Autovergleich. :D ) Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
</font><blockquote>Zitat:</font><hr />Original erstellt von Yopie: Zitat:
Zitat:
//mich selber mal wunder, alle system haben das Zeug doppelt, na da haben wir ja eine Kopie für Sister :D Muß irgendeine Kompatibilitätsk**ke sein [ 22. März 2004, 14:39: Beitrag editiert von: Shadow ] |
Na, die allermeisten wissen doch gar net was sie runterladen. Vielleicht sollte man doch einen Internet-Führerschein einführen. |
</font><blockquote>Zitat:</font><hr />Original erstellt von *Christian*: Na, die allermeisten wissen doch gar net was sie runterladen. Vielleicht sollte man doch einen Internet-Führerschein einführen. </font>[/QUOTE]Wenn, dann ein PC-Führerschein mit Zusatzmodul "Internet". [img]graemlins/teufel3.gif[/img] |
</font><blockquote>Zitat:</font><hr />Original erstellt von Shadow: </font><blockquote>Zitat:</font><hr />Original erstellt von Yopie: Liegt die Original-Notepad.exe wirklich in system32? </font>[/QUOTE]äh ja, sie ist unter "system32" aber auch unter "c:\Windows" zu finden //mich selber mal wunder, alle system haben das Zeug doppelt, na da haben wir ja eine Kopie für Sister :D </font>[/QUOTE]Bei Win98SE liegt sie nur in c:\Windows. Aber wer hat dieses olle BS schon noch...? ;) Vielleicht hast Du Dir ja auch den Trojan.Gaslide gefangen? :D Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
</font><blockquote>Zitat:</font><hr />Original erstellt von Yopie: Bei Win98SE liegt sie nur in c:\Windows. </font>[/QUOTE]Na da haben wir unsere Kompatibilitätswurzel schon. Bei NT4, Win2000, XP ist es unter %systemroot% und unter %systemroot%/system32 zu finden |
</font><blockquote>Zitat:</font><hr />Original erstellt von *Christian*: Man sollte Kazaa, emule und Co. für softwaredownloads verbieten. </font>[/QUOTE]des is verboten!! |
Du redest Mist. Nichts als Mist. Emule und Konsorten sind nicht verboten. Cobra |
Erstmal recht herzlichen Dank für eure superschnellen Antworten. Als ich von der Mittagschicht nach Hause kam setzte ich mich gleich voller Siegesüberzeugung gegenüber diesem Widerling an meinen Hugo (so heisst mein Computer *g*) brav Norton mal gucken lassen obs was neues gibt Win XP im abgesicherten Modus gestartet.... er fand auch die Bedrohung und zeigte mir an, er habe sie gelöscht! Denn machte ich mich auf den Weg in die Registry. Doch keine fremden Einträge in den angegebenen Pfaden zu finden! und der Wert "%1" %* war auch vorhanden.... hmmm, also Win neu gebootet und voller Hoffnungen. Doch leider ohne Erfolgserlebnis. Weiterhin Meldungen von Norton AV über die Bedrohung in bereits erwähnter notepad.exe :-( Nochmal Systemcheck.... Wieder findet er die potenzielle Bedrohung... und löscht sie.¿ windowssuche gestartet: 3 mal notepad.exe gefunden in \Windows, \Windows\system32 und \Windows\system32\dllchache (alle 66 KB) ausserdem 2mal notepad32.exe in \windows und \windows\system32 (51KB und 47 KB) beide erstellt am 'verseuchungstag' kam mir die knuffelige idee die exe in _xe umzubenennen desweiteren fand ich per Trojancheck einen merkwürdigen Prozess, der keine Informationen preisgab: WTi (und nen kleines quadrat dahinter) ? hab ich auch mal deaktiviert. Spybot auch mal fleissig sein Werk tun lassen Neustart..... Virenscan....... "clean"!! *freuhüpf* einziges dilemma nun noch: habe kein Notepad mehr. die umbenannten zum testen reaktivieren habe ich echt keine Nerven zu. Kann ja kaum nachvollziehen, was nun letzendlich den gewünschten erfolgt brachte. welches ist die richtige und wo muss sie hin????? Weshalb ich den komischen patch per Muli gezogen habe? Echt keine Ahnung mehr, wurde mir wohl empfohlen. ICQ 2003 habe ich nun auch wieder gebannt und meinen geliebten Trillian reaktiviert (verzeiht einer alten Frau) Vielen lieben Dank Euch allen sister http://www.danasoft.com/sig-ger.jpg |
</font><blockquote>Zitat:</font><hr />Original erstellt von -=sister=-: windowssuche gestartet: 3 mal notepad.exe gefunden in \Windows, \Windows\system32 und \Windows\system32\dllchache (alle 66 KB) ausserdem 2mal notepad32.exe in \windows und \windows\system32 (51KB und 47 KB) beide erstellt am 'verseuchungstag' kam mir die knuffelige idee die exe in _xe umzubenennen [...] einziges dilemma nun noch: habe kein Notepad mehr. die umbenannten zum testen reaktivieren habe ich echt keine Nerven zu. Kann ja kaum nachvollziehen, was nun letzendlich den gewünschten erfolgt brachte. welches ist die richtige und wo muss sie hin????? </font>[/QUOTE]Hast Du alle notepad.exe umbenannt? In der zweiten Meldung ist jetzt von notepad32.exe die Rede, das ist ein bißchen verwirrend. Die verseuchte lag Deiner ersten Meldung nach in "...windows\system32\". Also kopierst Du die Datei aus c:\windows dorthin, und benennst sie ggf. wieder um. Du kannst Dir aber auch die Verknüpfung unter Zubehör(?) zum Notepad per "rechte Maustaste-Eigenschaften" mal anschauen, dort steht auch der Pfad drin. Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
Mahlzeit ;) Also, wie schon erwähnt, wurden diese notepad32.exe n wohl von dem Trojaner erstellt? Keinen Schimmer, aber das Erstellunsdatum passte! Habe es nicht versucht meine notepads wieder zu raktivieren. Nen Kollege hat mirs neu geschickt ;) Vielen Dank nochmals Ich werde dieses Board wärmstens weiterempfehlen have a nice day sister |
</font><blockquote>Zitat:</font><hr />Original erstellt von -=sister=-: Habe es nicht versucht meine notepads wieder zu raktivieren. Nen Kollege hat mirs neu geschickt ;)</font>[/QUOTE]So geht's natürlich auch. [img]smile.gif[/img] </font><blockquote>Zitat:</font><hr />Original erstellt von -=sister=-: Vielen Dank nochmals Ich werde dieses Board wärmstens weiterempfehlen</font>[/QUOTE]Danke für das Feedback und fürs Weiterempfehlen. [img]smile.gif[/img] Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
tach ich hatte dieses hässlichen trojaner auch drauf und hab ihn jezt auch wieder runterbekommen aber ich hab immer noch das problem das ich mein hintergrund nicht mehr einstellen kann. Könnt ihr mir da weiterhelfen oder steht das auch in der englischen anleitung und ich habs net gesehen. mfg Screamlord |
Hallo, ich habe das selbe Problem. Ich habe alles gemacht, was oben stand auch nortron bringt mich nicht wirklich weiter. ich habe immer noch bei jedem Klick die Anzeige, dass ich einen Trojaner im notepad habe. Das Problem ist, dass ich das notepad nicht weg bekomme und es bei jedem löschen die exe. 4 sekunden später wieder da ist. Vielen Dank für die Hilfe. |
hi ihrs. habe auch daselbe problem. die notepad.exe generiert sich nach 3-4sek einfach wieder neu. bringt es was,wenn ich ALLE notpad.exe'n in _ex oder so umbenenne? auch das mit dem abgesicherten modus funzt nicht. noch eine frage: ist der trojaner gefährlich? lg olly |
Hallo Leute! Ich habe mir leider auch den Virus eingefangen mit dem bezaubernden Namen "Trojan.Gaslide". Ich schaffe es allerdings trotzdem nicht so recht, ihn zu löschen bzw. zu beseitigen. Leider hab ich jetzt auch so ein Video am Start von Wondows und ein entsprechendes Desktopbild, was mich echt nervt! :headbang: Habt ihr noch ein Paar Tipps eventuell und was mich ehrlich gesagt noch viel mehr interessiert: IST DAS EIN DIALER??? :confused: :confused: :confused: Kann es vielleicht sogar sein, dass der irgendwas im Netz aufruft, bzw. öffnet, was dem auf dem Desktop entspricht??? :pfui: Ich bitte euch echt um Hilfe, weil wenn der sich ins Netz einwählt und mir irgendwelche Kosten verursacht habe ich echt ein Problem... :heulen: Und natürlich auch alle anderen, die den Virus selbst miterlebt haben. Danke schon mal im Voraus. MfG Kassierer |
@Kassierer Scanne mal hiermit im abg. Modus: http://www.trojaner-board.de/42731-escan-anleitung.html Anschl. poste ein HijackThis-Log: http://filepony.de/download-hijackthis/ |
also, ich hatte den Virus leider nicht so richtig wieder hinbekommen(Ich glaube, der war schon zu weit vorangeschritten) und daher die Festpatte formatiert(was geholfen hat). Jetzt ist meine Einzige sorge, bzw. Frage, ob mir im Nachhinein noch was passieren kann, was der Virus eventuell angerichtet hat. Versteht ihr,. was ich meine? :schmoll: Ich bin deshalb nämlich echt schon besorgt, weil solche Bilder, die da auf dem Desktop erscheinen(diese Einschlägigen, die vom Troja.gaslide runtergezogen werden) sind doch bestimmt nicht ohne Folgen, oder? :sword2: Bitte, wenn ihr was darüber wisst, gebt mir bescheid. Danke euch schon mal im Voraus! MfG Kassierer :piggi: :heilig: :crazy: :dummguck: :headbang: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:02 Uhr. |
Copyright ©2000-2025, Trojaner-Board