Ich habe den wp.exe Trojaner
 

Also Hallo,

ich habe einen Trojaner und wollte euch fragen wie ich den wegbekomme.
Wenn ich den Computer neu starte erscheinen immer Anwendungen zum einwählen und so. Im Tsk leuft immer ein Programm wp.exe das unter C:\ gespeichert ist. Ich finde auch daten unter C:\WINDOWS\System32 aber ich kann sie nicht löschen da sie immerwieder kopiert werden bitte hlft mir!

Nebenbei immer wen ich ein weilchen warte öffnen sich pornoseiten und so! Was soll ich machen ?

@benjilein
Mach bitte Folgendes:
1.Systemwiederherstellung abschalten
2. Dieses Bereinigungsprogramm hilft dir, den ganzen Müll aus den Temp-Ordner und Papierkorb zu entfernen.
3. Infected-Ordner des Antivirus-Programms, ggf. von Spybot Search & Destroy, Ad-Aware usw. leeren. Der Name des Ordners sowie Pfad sind Programm- und Benutzerabhängig. Bitte RTFM zum AV-Programm.
4. eScan genau nach Anleitung (bitte ausdrucken und aufmerksam lesen) im abgesicherten Modus laufen lassen. Log hier Posten.
Und antworte bitte nicht auf deine Postings selbst. Du kannst deinen beliebigen Posting einfach editieren.

mit solchen angaben ist es mühsam!
welcher scanner?
welches betriebsystem?

fürs erste kannst du das machen:

starte den rechner in den abgesicherten modus! dann nochmals scannen.
(sofern dein virescanner das ding erkannt hat)
bei WinME und/oder XP vorher die systemwiederherstellung deaktivieren!

danke ich habe windows xp und kann aber die systemwiederherstellung am arbeitsplats nicht abschalten da der button fehlt!

wie bei desktop hintergrund!

was nun?

ok gelöscht =)

@benjilein
Windows-Explorer/Arbeitsplatz/Rechtsklick ... ;).

@benjilein
Bitte lösche Inhalt deines Postings Nr.6 und tue bitte das, was ich gepostet habe.

@ rene so ich habe es ausgeschaltet und CleanProg 1.4.1 runtergeladen und habe Papierkorb Windows Temp-Verzeichnisqs und System Temp gelreinigt.

aber was heißt das?

3. Infected-Ordner des Antivirus-Programms, ggf. von Spybot Search & Destroy, Ad-Aware usw. leeren. Der Name des Ordners sowie Pfad sind Programm- und Benutzerabhängig. Bitte RTFM zum AV-Programm.

ich habe es in das verzeichniss C:\Programme\Clean Prog installiert!

und nun?

@benjilein
Du hast bestimmt ein Antivirus-Programm drauf. Jedes AV-Programm hat einen Ordner, wo die als Virus gekennzeichneten Dateien gespeichert sind. Wenn der Ordner viele solchen Sachen enthält, schlägt eScan auch ein Alarm, der Scan-Log wird unheimlich groß und kaum zu berachten. CleanProg is kein AV-Programm, lasse ihn bitte erstmal in Ruhe.

also ich habe kein antivierenprogramm! ich habe schon seit 3 jahren internet und noch nie einen gehabt also wozu?

naja und jezt?

Und jetzt - Gute Nacht. Benutze bitte Anleitung in meiner Signatur und installiere deine Kiste neu mit allen Patches und Updates. AV-Programm bei www.free-av.de oder www.grisoft.com bekommst du auch kostenlos.

sorry mein fehler

bitte postet mir eine anleitung zum löschne! Weil ich kome erst heute abend wieder onlibne danke!

Poste mal folgendes aus der c:\bases_x\mwav.log (steht ganz am Ende):

Ok aber wenn ich unter Base gehe dan steht da nichts!

Wenn der Ordner c:\bases_x nicht existiert, hast du schon einen Fehler gemacht!
-> bekannte Fehlerquellen
-> Anleitung

was soll ich jetzt machen?

ps: ich starte den echecker und installire ihn aber nicht! er geht so! passt das?

nebenbei ich kann den desktop hintergrund auch nicht ändern!

Führe das Programm eScan streng nach Anleitung aus, beachte auch mein Posting #17

ich habe alles so gemacht aber was soll das sein?

1.) eScan muss im Verzeichnis c:\bases_x laufen. (hast du evtl. gemacht)

soll ich die datei nach base kopieren?

aber aktuallisieren kostet ja was!

Lies die Anleitung zu eScan durch und setze sie um. Es ist alles beschrieben!

ja ok habe ich gemacht aber wenn ich entpacke dan geht update trotzdem nicht und ich habe meinen ordner auf c:\ bases_x genannt!nebenbei ich habe die gratisversion! falls es hilft

achso nein ich habe es! also ich habe aber kein winzip weil das bei xp sowiso geht aber wie soll ich es dan rüber entpacken??

ok danke das update läuft passt das andere update oder muss ich das eupdate nehmen weil das geht nicht!

das andere heißt KAVupdate

@benjilein
winzip kostenlos
http://www.winzip.de/


chaosman

muss ich dan mannuel die daten im virus scann loged löschen?

danke ich habe mir mein winzip von einer mein cds gehold aber trotzdem danke!

@benjilein

EscanErgebnis
Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

chaosman

Hier die Daten:

File System Found infected by "Alexa Spyware/Adware" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\wldr.dll infected by "Trojan-Downloader.Win32.Agent.le" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\searchdll.dll infected by "not-a-virus:AdWare.Serch.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\guninst.exe infected by "not-a-virus:AdWare.Serpo.j" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\wldr.dll infected by "Trojan-Downloader.Win32.Agent.le" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\searchdll.dll infected by "not-a-virus:AdWare.Serch.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\guninst.exe infected by "not-a-virus:AdWare.Serpo.j" Virus. Action Taken: No Action Taken.
File C:\russel.exe infected by "Trojan.Win32.Agent.ct" Virus. Action Taken: No Action Taken.

Sun Apr 24 21:40:04 2005 => ***** Scanning complete. *****
Sun Apr 24 21:40:04 2005 => Total Objects Scanned: 18087
Sun Apr 24 21:40:04 2005 => Total Virus(es) Found: 8
Sun Apr 24 21:40:04 2005 => Total Disinfected Files: 0
Sun Apr 24 21:40:05 2005 => Total Files Renamed: 0
Sun Apr 24 21:40:05 2005 => Total Deleted Objects: 0
Sun Apr 24 21:40:05 2005 => Total Errors: 2
Sun Apr 24 21:40:05 2005 => Time Elapsed: 00:38:46
Sun Apr 24 21:40:05 2005 => Virus Database Date: 2005/04/24
Sun Apr 24 21:40:05 2005 => Virus Database Count: 127300

Also ich habe die Daten Manuell gelöscht! Die Daten kommen nicht mehr aber der Trojaner geht noch! Alles so wie vorher! Außerdem warum wurden die Daten 2 mal angezeigt bzw. gescannt? Naja was soll ich jetzt machen?

Liegt es daran das ich merere User habe? (Windows Konten?)

Und wie verdammt ändere ich den Desktophintergrund?

geth nicht mehr!

Ja und was soll ich jetzt machen? Weil ich habe alles gelöscht aber mehr findet er nicht! Gibt es noch möglichkeiten?

@benjilein

lade spybot
spybotdownload
programm updaten
wechsle in den abgesicherten modus und spybot scannen lassen. lösche was das programm vorschlägt.
lösche danach manuell
C:\WINDOWS\System32\wldr.dll
C:\russel.exe
C:\WINDOWS\System32\searchdll.dll
C:\WINDOWS\System32\guninst.exe

neu booten

chaosman

Also was heißt in diesem bezug neu booten?

Also das werde ich alles Morgen machen aber bitte erklärt es mir noch.

Also hier der Link zur beschreibung meines Wurmes: http://vil.nai.com/vil/content/v_1260.htm

OK also sagt mir bitte lösungsprobleme! weil ich probiere es noch so!

Nebenbei wen es nicht geht dan poste mir bitte den Cybot download link.

ja aber könnte mir jemand das mit booten genau erklären?
danke

gute nacht an alle

ach bitte was von cbybot soll ich downloaden welches programm(wie heißt es)

Also diese daten habe ich gelöscht:
C:\WINDOWS\System32\wldr.dll
C:\russel.exe
C:\WINDOWS\System32\searchdll.dll
C:\WINDOWS\System32\guninst.exe



aber wo bekomme ich ein programm das mir auch den pfad des "mutterprogrammes" zeigt weil die installationsdatei vom wurm ist noch oben!

@ benjilein

zu deinem Problem mit dem wp.exe hier mal zwei Links
http://www.sophos.de/virusinfo/analy...jfakealea.html
http://securityresponse.symantec.com...ilom.worm.html
überprüfe das mal.
Bei dem Desktop probiere mal folgendes: START-->Einstellungen-->Systemsteuerung-->Anzeige-->Desktop-->ganz unten "Desktop anpassen" anklicken -->dann auf Web dort "Security" markieren und dann auf löschen klicken.

Poste ein aktuelles HJT

ALso es gibt kein DEASKTOP! das sage ich ja die kartei ist weg!

Also ich habe mir die IDE heruntergeladen aber ich habe das programm dazu nicht was soll ich machen?

Der computer erkennt .ide nicht

wo oder was muss ich mir downladen um ide zu erkennen?

soclhe seiten tauchen imnmer wieder auf!
http://www.newgenlook.info/ad/ad0195/weightloss.html

aber nicht drücken! vielleicht verseucht

Für das Desktop war ein Versuch, dann lese Dir mal diesen Thread durch und da besonders die Beiträge von Haui und Cidre
Diese Datei nützt Dir alleine nicht's da brauchst Du auch noch den Scanner dazu, aber so war das auch nicht gedacht, Du solltest Dir dort nur mal durchlesen wo die Einträge eventuell noch zu finden sind

Also ich habe nochmal gescannt! Ich habe alle Daten vorher Manuel gelöscht aber er geht immer noch hier die Log File:

File System Found infected by "Alexa Spyware/Adware" Virus. Action Taken: No Action Taken.

Mon Apr 25 21:32:58 2005 => ***** Scanning complete. *****
Mon Apr 25 21:32:58 2005 => Total Objects Scanned: 16707
Mon Apr 25 21:32:58 2005 => Total Virus(es) Found: 1
Mon Apr 25 21:32:58 2005 => Total Disinfected Files: 0
Mon Apr 25 21:32:58 2005 => Total Files Renamed: 0
Mon Apr 25 21:32:58 2005 => Total Deleted Objects: 0
Mon Apr 25 21:32:58 2005 => Total Errors: 2
Mon Apr 25 21:32:58 2005 => Time Elapsed: 00:36:44
Mon Apr 25 21:32:58 2005 => Virus Database Date: 2005/04/24
Mon Apr 25 21:32:58 2005 => Virus Database Count: 127300

Mon Apr 25 21:32:58 2005 => Scan Completed

Hier die Alte fals es hilft:

File System Found infected by "Alexa Spyware/Adware" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\wldr.dll infected by "Trojan-Downloader.Win32.Agent.le" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\searchdll.dll infected by "not-a-virus:AdWare.Serch.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\guninst.exe infected by "not-a-virus:AdWare.Serpo.j" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\wldr.dll infected by "Trojan-Downloader.Win32.Agent.le" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\searchdll.dll infected by "not-a-virus:AdWare.Serch.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\guninst.exe infected by "not-a-virus:AdWare.Serpo.j" Virus. Action Taken: No Action Taken.
File C:\russel.exe infected by "Trojan.Win32.Agent.ct" Virus. Action Taken: No Action Taken.

könnte mir bitte jamand helfen?

Also de4r Thread hat mir nicht geholfen guing alles nicht!

Aber ich habe zwei komische dateien gefunden!

C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Eigene Videos\Desktop
Konfigurationseinstellungen (Dateityp) Geöffnet wird mit Editor.

Hier die 2.
C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Eigene Videos
Datenbankdatei (Dateityp Geöffnet wird mit Unbekannte Anwendung

Naja heißt das was?

Achja und in System 32 befindet sich dier datei Xcopy (Anwendung)

Wenn ich diese löscher kommt sie immerwieder!

Also ich habe den Computer unter Abgesichertem Modus mit iGuard gescannt! DAbei ist reus gekommen das diese Schlüssel hier ein Trojaner ist. Wie bekomme ich ihn weg?

HKEY_CLASSES_ROOT\CLSID\{B599C57E-113A-4488-A5E9-BC552C4F1152}

Wenn ich ihn lösche kommt er immerwieder!

Hier die volle beschreibung
Type Threat Location

Reg Key Trojan.Win32.Generi… HKEY_CLASSES_ROOT\CLSID\{B599C57E-113A-4488-A5E9-BC552C4F1152}

Also eigentlich haben alle versucht Dir bisher zu helfen aber Du scheinst nicht in der Lage zu sein, dass Ganze umzusetzen. Du solltest vielleicht einen Grundkursus belegen oder Dich von einem erfahrenen Bekannten schulen lassen, um die wichtigsten Begriffe wie z.B. "booten" zu verstehen.
Falls Dein Problem noch besteht, kann ich Dir gerne eine detaillierte Anleitung per eMail schicken oder auch hier posten. Allerdings ist nicht machbar jeden einzelnen Schritt zu erklären. Du solltest schon wissen welche Einträge/Dateien eine Bedrohung darstellen und welche nicht. Siehe hierzu auch: http://faq.underflow.de/#SECTION00070000000000000000

Hier noch eine Beschreibung, was der Trojaner anstellt und wie er arbeitet:
http://www.percomp.de/query/show_entry.php?index=1473

Wenn Dir die hier gebotenen Lösungen nicht weiterhelfen, rate ich Dir den Rechner zu einem Fachmann sprich Fachhandel zu geben. Bin ansonsten auch gerne bereit dir entsprechenden Telefon-Support zu geben. Melde Dich also hier, wenn Dein Problem noch besteht.
MfG