1. Liebe Forumsgemeinde,

    aufgrund der Bestimmungen, die sich aus der DSGVO ergeben, müssten umfangreiche Anpassungen am Forum vorgenommen werden, die sich für uns nicht wirtschaftlich abbilden lassen. Daher haben wir uns entschlossen, das Forum in seiner aktuellen Form zu archivieren und online bereit zu stellen, jedoch keine Neuanmeldungen oder neuen Kommentare mehr zuzulassen. So ist sichergestellt, dass das gesammelte Wissen nicht verloren geht, und wir die Seite dennoch DSGVO-konform zur Verfügung stellen können.
    Dies wird in den nächsten Tagen umgesetzt.

    Ich danke allen, die sich in den letzten Jahren für Hilfesuchende und auch für das Forum selbst engagiert haben. Ich bin weiterhin für euch erreichbar unter tti(bei)pcwelt.de.
    Dismiss Notice

SD findet zwei Trojaner, löscht sie, aber sie leben weiter

Discussion in 'Sicherheit' started by michiomreg, Jun 27, 2008.

Thread Status:
Not open for further replies.
Page 1 of 2
  1. michiomreg

    michiomreg Byte

    Hallo!

    hab mir zwei Trojaner gefangen, die Spybot offiziell löscht, jedoch nach jeden Scan wieder da sind. Die Namen sind "wwwcoolsearch" (wird nicht gefunden, wenn ich den CWS Shredder nutze) und einen weiteren der den Namen "hellzlittlespy" trägt.

    Im Anhang findet ihr meine aktuelle HiJackThis File.

    Danke für eure Hilfe
     

    Attached Files:

    michiomreg, Jun 27, 2008
    #1
  2. Hnas2

    Hnas2 Ganzes Gigabyte

    Hast du Spybot als Administrator gestartet?
     
    Hnas2, Jun 27, 2008
    #2
  3. michiomreg

    michiomreg Byte

    soweit ich weiß ja, habe nur einen Beutzer
     
    michiomreg, Jun 27, 2008
    #3
  4. Hnas2

    Hnas2 Ganzes Gigabyte

    Dieser eine Benutzer ist aber kein Administrator.
     
    Hnas2, Jun 27, 2008
    #4
  5. michiomreg

    michiomreg Byte

    Ok, wie melde ich mich denn als Admin an?
     
    michiomreg, Jun 27, 2008
    #5
  6. Hnas2

    Hnas2 Ganzes Gigabyte

    Wie wäre es mal mit der Windows-Hilfe?
     
    Hnas2, Jun 27, 2008
    #6
  7. michiomreg

    michiomreg Byte

    ok, hab zwar nix gefunden in der WIn HIlfe, aber bi meinem Konto steht ADMINISTRATOR drunter, also ist es ein Konto mit Admin Rechten ...
     
    michiomreg, Jun 27, 2008
    #7
  8. Hnas2

    Hnas2 Ganzes Gigabyte

    Unter Vista läuft das ein wenig anders. Auch als "Administrator" bist du zuerst ganz normaler Benutzer, es sei denn DU schaltest diesen Schutz aus.
    Du hast als "Administrator" die Befugnis, Programme mit Abministratorrechten zu starten. Dazu gibt es ein Kontexmenü für die einmalige Ausführung und eine Möglichkeit in den Dateieigenschaften dies permanent zu aktivieren.
     
    Hnas2, Jun 27, 2008
    #8
  9. ohmsl

    ohmsl Viertel Gigabyte

    Alice Software gehört nicht auf ein Vista-System.

    Was ist das für ein Programm:
    O4 - Startup: HMLosung.lnk = C:\Program Files\HMLosung\HMLosung.exe

    Die Datei bei http://www.virustotal.com/de/ hochladen und überprüfen.

    Ebenfalls:
    C:\Windows\helppane.exe

    Java-Runtime ist nicht aktuell:
    http://java.sun.com/javase/downloads/index.jsp

    Einträge mit "file missing" können gefixt werden.

    Hijackthis mit Admin-Rechten starten= Rechtsklick und "Als Administrator ausführen" wählen.
     
    ohmsl, Jun 27, 2008
    #9
  10. michiomreg

    michiomreg Byte

    Danke!

    Java wurde aktualisiert.
    HM Losung is ein programm bei für den Desktop
    helppane ist von Microsoft
    beide Dateinen ohne Virus nach Scan mit virustotal


    Im Anhang der neue LOG von HJT im Admin Modus
     

    Attached Files:

    michiomreg, Jun 27, 2008
    #10
  11. michiomreg

    michiomreg Byte

    Alice und Vista.

    Gibt es eine Begrüdung. Wollte die Netzwerverbindung manuell einrichten, hat aber nich tgeklappt, daher die Nutzung der Software

    LG
     
    michiomreg, Jun 27, 2008
    #11
  12. ohmsl

    ohmsl Viertel Gigabyte

    Alice verursacht bei vielen Probleme. Bei XP und Vista wird die Software nicht benötigt. Aber wenn's läuft, lass es so.

    Das Logfile ist soweit unauffällig. Die "file missing" Einträge noch fixen.

    Kannst ja nochmal einen Onlinescan auf http://www.ewido.net/en/onlinescan/ machen lassen.
     
    ohmsl, Jun 27, 2008
    #12
  13. michiomreg

    michiomreg Byte

    Die missed files sind gelöscht. Im Anhang das aktuelle HJT log File.
    SD findet trotzdem noch die beiden trojaner/keylogger.

    Im Anhang ein Screenshot von SD mit dem Registry Pfad. Könnt ihr damit etwas anfangen?

    Danke für die Hilfe
     

    Attached Files:

    michiomreg, Jun 28, 2008
    #13
  14. Hnas2

    Hnas2 Ganzes Gigabyte

    Has du SD nun als Administrator ausgeführt?

    Bilder zu verkleinern ist ja richtig, nur muss man sie auch lesen können.
     
    Hnas2, Jun 28, 2008
    #14
  15. -humi-

    -humi- Joker

    ist Bastelbude..... ist mir auch schon aufgefallen wenn ich screenshots anhänge...

    zum Thema: gibt es bei Vista einen abgesicherten Modus? Systemwiederherstellung aus.... und scannen... auch als "nicht Admin" müsste das Prob behebbar sein...
     
    -humi-, Jun 28, 2008
    #15
  16. Hnas2

    Hnas2 Ganzes Gigabyte

    Ich hatte früher auch mal ein solches Problem (noch unter XP), wo Spybot einen Registry-Eintrag einfach nicht entfernt hat.
    Ich habe mir diesen Eintrag dann in regedit angeschaut und festgestellt, dass es nur noch ein leerer Eintrag war. Den habe ich dann schlichtweg händisch gelöscht.
     
    Hnas2, Jun 28, 2008
    #16
  17. michiomreg

    michiomreg Byte

    Habe SD als Adim ausgeführt. Die beiden Trojaner waren immer noch da, auch nachdem ich sie gelöscht hatte.

    Habe SD auch im abgesicherten Modus durchgeführt da wurden die beiden Trojaner nicht gefunden... WIE SCHALTE ICH DIE SYSTEMWIEDERHERSTELLUNG AUS? Vielleicht ergibt das noch eine Lösung ...


    Werde Screenshot nochmals einfügen nach den nächsten Scan.

    Vielleicht ist es ja wirklich so, dass es sich um leere Einträge handelt, die ich manuell (das müsst ihr mir dann bitte erklären wie ich das mit regedit machen soll) löschen kann.

    Andere AntiSpyware progs finden nichts!!!

    LG und danke für die Hilfe bisher
     
    Last edited: Jun 28, 2008
    michiomreg, Jun 28, 2008
    #17
  18. michiomreg

    michiomreg Byte

    Ok, hier das Ergebnis von SD:

    CoolWWWSearch.hjg: Benutzereinstellungen (Registrierungsdatenbank-Änderung, nothing done)
    HKEY_USERS\S-1-5-21-3896918291-1897725334-1334895720-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\PrivDiscUiShown!=W=0

    CoolWWWSearch.hjg: Benutzereinstellungen (Registrierungsdatenbank-Änderung, nothing done)
    HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\PrivDiscUiShown!=W=0

    CoolWWWSearch.hjg: Benutzereinstellungen (Registrierungsdatenbank-Änderung, nothing done)
    HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\PrivDiscUiShown!=W=0

    HellzLittleSpy: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit!=<$SYSDIR>\userinit.exe,


    Kommt ihr damit klar???
     
    michiomreg, Jun 28, 2008
    #18
  19. deoroller

    deoroller Wandelndes Forum

    deoroller, Jun 28, 2008
    #19
  20. michiomreg

    michiomreg Byte

    Der findet die Trojaner nicht, hab ich schon versucht
     
    michiomreg, Jun 28, 2008
    #20
Page 1 of 2
Thread Status:
Not open for further replies.

Share This Page