bekomme den trojaner nicht vom system

[motzel 10]

Hallo,

 

ich muss leider zugeben, ich krieg ne Krise !

 

Seit 2 Tagen habe ich einen Trojaner auf meinem W2K SP4 inkl.

aller Hot-Fixes mit Firewall und NAV (Stand 24.05.04) gesichertem System

 

Das Ding wird vom NAV schon mal nicht gefunden ?!

Mit Ad-Ware, Spybot und Hijacker werden zwar div. Probleme gefunden und angeblich auch behoben, aber nach einem Neustart bzw. nach neuer Anmeldung habe den Tojaner wieder aktiv.

 

Er äußert sich darin, der IE beim Start immer auf die Site http://69.50.191.139 läuft.

 

Hat evtl. jemand von Euch noch ne Idee was ich machen kann ?

 

 

Danke

 

motzel

[menac 10]

abgesichter modus

datei manuell löschn wenn du weisst wo sie liegt

in der regedit

HKLM/software/**********/******/current version/run

löschn wast net brauchst

adware/hjacker laufen lassn und weg is er (hoff ich für dich :D)

[edv-olaf 10]

Hallo,

 

nimm den CWShredder: http://www.mcseboard.de/showthread.php?s=&threadid=30691

 

Und nebenbei (persönliche Meinung / Erfahrung): nimm was anderes als NAV/NIS.

 

Grüße

Olaf

[menac 10]

welchen empfielst du olaf

also ich muss sagen die buisness lösungen von symantec gefalln mir

[motzel 10]

Servus,

 

vielen Dank für die Tipps :-)

 

hab ich alles versucht, abgesicherter Modus + Scanner etc.

CWShredder etc.

 

Unter HKLM/software/**********/******/current version/run

steht nur mein babylon + internat

 

Das Problem ist, es kommt wieder und wieder und wieder

und ich hab keine Ahnung wo es her kommt ....

 

 

Grüsse

 

motzel

[menac 10]

naja er muss sich aus der reg starten

jedes prog das sich startet steht in da reg

 

such mal nach der exe in der reg und lösch die werte

[edv-olaf 10]

Original geschrieben von menac

welchen empfielst du olaf

Wenn es im Geschäftsbereich ist, kannst du natürlich nicht mal eben neue SW kaufen, das ist schwierig.

 

Ansonsten ist alles andere genauso gut. Empfehlung ist für privat einfacher: ZoneAlarm und AVPersonal (beides für Privat kostenfrei).

 

Grüße

Olaf

[menac 10]

naja ich hab nur mitn zonealarm die erfahrung g,macht auch wennst den deaktivierst bzw beendest lauft er hat mich mal 2std kostet weil ich dachte mein netzwerk daheim is im eck :D

hat sich das mit den neuern version geändert?

[gr@mlin 10]

hi,

 

bei allem, was ich dazu gefunden hab, konnte hijackthis bei richtiger anwendung (abgesicherter modus, versteckte dateien anzeigen, systemdateien anzeigen, richtige hijackthis-konfig) das hijacking auf die von dir angegebene website entfernen.

 

schau mal hier nach:

 

http://www.mytechsupport.ca/support/topic.asp?TOPIC_ID=3518⳶

 

http://forums.net-integration.net/index.php?showtopic=15583

 

dann würde ichs an deiner stelle damit noch mal probieren.

 

gruss, gr@mlin

[edv-olaf 10]

Was du da deaktiviert hast, ist das Tray-Icon, die Scan-Engine läuft IMHO aber weiter. Wenn die natürlich nicht korrekt konfiguriert ist (externes/vertrauenswürdiges Netz), bekommst du Probs.

 

Grüße

Olaf

[motzel 10]

Servus,

 

ich glaub is habs :rolleyes: die winupd.exe in System32

war das ekelhafte Ding, welches mich zum Wahnsinn getrieben hat.

 

Ich frag mich nur warum mir der sch... NAV nichts erzählte :mad:

 

Also:

1. die winupd.exe löschen

2. mit Hijackthis die Einträge aus der Reg löschen

3. mit Adaware gar aufräumen

4. die Temp-Files, cookies etc. für den IE löschen

5. hoffen, dass es nicht wieder passiert :)

 

 

Vielen Dank für Eure Hilfe

 

motzel

[edv-olaf 10]

Original geschrieben von motzel

NAV nichts erzählte :mad:

Nun, der NAV ist nicht für Trojaner ausgelegt (wenn es einer war). Ansonsten kann ich nur aus persönlicher Erfahrung sagen/raten, nicht NAV oder NIS zu verwenden, zu viele Bugs und Löcher.

 

Grüße

Olaf