Hallo,
mein antivir hat mir einen trojaner gemeldet als ich einen USB stick angeschlossen habe, ich habe diesen geloescht, aber gemerkt, dass auf dem stick immer noch was nicht stimmt, da in jeden ordner ein unterordner kopiert worden war, der sich weder oeffnen noch kopieren liess, aber eine angebliche exe datei war. mit antivir konnte ich zwar noch den stick scannen, und ausser dem ersten fund, behauptete er nichts gefunde zu haben, aber bei den versuchen die einzelnen festplatten und ordner des laptops zu scannen, gab antivir nach 10 sekunden die rueckmeldung der scan sei fertig und ohne befund, ich vermute also mal antivir wurde irgendwie ausgehebelt, das laptop wurde ploetzlich extrem langsam und als ich den taskmanager aufrufen wollte, bekam ich die meldung dieser sei vom admin deaktiviert worden, admin bin ich aber selbst. beim versuch ueber regedit den taskmanager wieder zu aktivieren, bekam ich die meldung, die registrierung sei ebenfalls deaktiviert. Hat jemand ideen, abgesehen davon, das laptop neu aufzusetzen oder ein neues admin konto einzurichten,?
Das ist tatsächlich ein Virus, das hatte ich auch schon.. Entweder du findest eine Möglichkeit ihn wieder vom System zu bekommen.
Versuch dazu folgende Programme:
- Zone Alarm Security Suite (Virensoftware; allerdings kostenpflichtig also Testversion verwenden)
- CCleaner (Software zum Aufräumen des Systems)
- Reg Cleaner (RegistryCleaner)
- Hijackthis (und dann das Logfile hier online stellen)
Um in die Registry zu gelangen würde ich dir TuneUp empfehlen, damit kannst du noch auf die Registry zugreifen.. Allerdings auch kostenpflichtig, also auch hier wieder Testversion...
Mehr fällt mir im Moment nicht ein, wenn nichts davon hilft, dann kannst nur formatieren
theoretisch schon, du brauchst ja nur eine Verknüpfung zur taskmgr.exe in den Autostartordner zu legen und dann wird der Taskmanager bei jedem Windowsstart automatisch gleich mit gestartet.
danke fuer die tips, ich werd mich mal ranmachen und aufs beste hoffen...meld mich dann bestimmt wieder, denn reibungslos wird das wohl nicht hinhauen, bin nicht so der mega computer crack
kannst du den Rechner denn noch im abgesicherten Modus starten? Da dort keine Autostarts abgearbeitet werden, sollten sowohl Regedit, Taskmaner und Antivir dort normal funktionieren.
also, hab gestern mit ach und krach antivir wieder zum funktionieren gebracht, er hat einige dropper und 2 trojaner gefunden (einen davon in der autostart.ini), danach lief zumindest mal das system wieder schneller (sprich ich konnte ohne stundenlange wartezeit dateien oeffnen und bearbeiten) aber ich habe das gefuehl, das war noch nicht alles, und auf task manager und registry konnte ich natuerlich wieterhin nicht zugreifen. habe heute den Aro Trial Registry Cleaner installiert, und er hat auch hunderte funde angezeigt, nur als ich die fixen wollte bekam ich die nette nachricht: das bearbeiten der registry wurde durch den admin deaktiviert.... hat mich nicht mehr wirklich ueberrascht.
nun habe ich versucht im abgesicherten modus zu starten, ueber f8 gings nicht, aber ueber msconfig. festgestellt habe ich folgendes, erstens ich kann mich entweder als ich selbst oder als admin einloggen, das admin konto habe ich aber nie angelegt, wo kommt das her? zweitens, lasse ich grad antivir nochmal durchlaufen und habe das gefuehl, er zeigt mit wieder genau dieselben sachen an wie gestern im normalen modus, wo ich sie geloescht habe, zb den TR/spy.104 in der autorun.ini
auf den taskmanager kann ich auch im abgesicherten modus nicht zugreifen ebensowenig wie auf die registry...
what now? highjack this?
kann ich meinen laptop eigentlich neu aufsetzen auch wenn ich keine wirkliche windows xp cd habe, das ist ja heute beim kauf alles vorinstalliert, man schaltet nur noch an...
lg
ps: da ich mir den virus ueber usb stick geholt habe, wuerde ich gerne den stick komplett platt machen, im moment sind da die ganzen verseuchten folder drauf, die sich nicht loeschen lassen, also was kann ich tun?
also hier waere dann mein highjack this logfile, bin fuer hilfe jeder art sehr dankbar...
lg
Logfile of HijackThis v1.99.1
Scan saved at 14:10:18, on 24.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Moin,
viele Fragen auf einmal.
Ich halte nicht unbedingt die Reihenfolge ein:
1. Bevor du den Virenscan im 'abgesicherten Modus' machst, solltest du vorübergehend die 'Systemwiederherstellung' deaktivieren.
2. Wenn du eine vorinstallierte WIN XP auf deinem Laptop hast, so hast du zumindest den Lizenzkey irgendwo. Evtl. ist er sogar auf dem Gehäuse aufgepappt oder auf dem Handbuch. Dann kannst du mit einer beliebigen (aber identischen Home/Pro) ausgeliehenen XP-CD operieren.
3. Zum Stick habe ich das hier bei 'schieb' gefunden > https://www.schieb.de/tipps/result.php?id=452726
ach ja, und spybot bringt mir grade die meldung, dass die von mir eben gefixte datei
O4 - HKCU\..\Run: [Yahoo Messengger] C:\WINDOWS\system32\SSVICHOSST.exe
wieder versucht hat in der registry aenderungen vorzunehmen, ich habe ihr den zugriff verweigert, aber bekomme jetzt wieder die meldung bei regedit, dass die bearbeitung durch den admin deaktiviert wurde...aaarghhh,
gibts sonst ne moeglichkeit diese datei ein fuer alle mal loszuwerden...
nochmal virenscan im abgesicherten modus bei vorher deaktivierter sysemwiederherstellung?
Ja, und auch mit S&D.
Vielleicht installiert das Biest sich jedesmal heimlich neu.
Dein Stick ist aber erst mal nicht im Spiel?
dass die von mir eben gefixte datei
O4 - HKCU\..\Run: [Yahoo Messengger] C:\WINDOWS\system32\SSVICHOSST.exe
wieder versucht hat in der registry aenderungen vorzunehmen
nach dem Fixen mit HjT solltest du zusätzlich die *.exe im Explorer aufsuchen und löschen.