WTLBUI.exe --> Benötige Hilfe bei Trojanerproblem

Hallo,

ich bin neu hier und benötige unbedingt eure fachmännische Hilfe.
Ich bin vor kurzem im Internet gesurft und habe mir da (ich glaube via PopUp) einen Tojaner oder sowas durchlaufen lassen,welcher mir von meinem AntiViren Programm auch sofort angezeigt wurde.
Leider stellt er sich nach dem löschen selbst wieder her (typisch für einen Trojaner oder?).

Problem: Sobald ich mit dem Internet Explorer ins Internet gehe habe ich eine veränderte Startseite und ich bekomme beim öffnen einer neuen Seite eine Virusmeldung mit folgendem Inhalt: "Es wird versucht auf eine verdächtige Datei zuzugreifen: WTLBUI.exe.
Diese Datei verhält sich wie trojan.startpage"
Mit Mozilla kann ich allerdings noch einwandfrei surfen und an meinem PC sonst gab es ebenfalls keine Auswirkungen.

Ich habe mehrmals verucht diese Datei zu löschen auch mit den Methoden wie man der trojan.startpage loswird ---> Alles vergebens.

Daraufhin habe ich 2mal einen Systemvirenscan gemacht -> ohne Erfolg.
Spyware Doctor -> ohne Erfolg
CW Shredder -> ohne Erfolg
Ad-Aware -> ohne Erfolg
Spybot - > ohne Erfolg
GData AV-Kit -> ohne Erfolg
Norton -> ohne Erfolg
HighJackThis -> ohne Erfolg
Autom. Suche nach Datei -> Ohne Erfolg
Manuelle Suche nach Datei -> Ohne Erfolg

Nun habe ich nicht all zu viel Ahnung von Computern oder Viren,deshalb benötige ich eure Hilfe. Was habe ich mir da eingfangen und wie werde ich es wieder los?


Bitte helft mir!

 

Hast Du vorher alle Temp-Orner leer gemacht, bzw. irgendwelche neuen .exe, .dll's in c: und c:/windows entfernt?
Manchmal ist sogar was neues unter Software (Systemsteuerung) zu finden. Gehst Du mit Adminrechten ans Entfernen?


Ansonsten, poste mal Deine Netzteilwerte. Ach, das war ja die falsche übliche Antwort.

 

Also ich habe die Datei WTLBUI.exe jetzt manuell gelöscht und sie hat sich selber reproduziert.
Ebenfalls scheint eine Datei namens wtlbass32.dll damit zu tun zu haben,da sie genau an dem Datum und Urzeit erstellt wurde,als ich mir den Virus eingefangen habe.
Nach löschen dieser Datei stellt sie sich allerdings auch selber wieder her.

Was tun? Ich kann diese Dateien nicht löschen.

Ja,ich gehe mit Admin-Rechten ans entfernen,ist das falsch?

Ich traue mich ehrlich nicht einfach so Dateien aus der Systemsteuerung zu löschen.

 

Zeig doch mal dein HijackThis Log. Aber bitte so wie in diesem Thread beschrieben, nicht den kompletten Text hier reinposten.

 

http://www.hijackthis.de/logfiles/eef73db759f6aca0ff7d419ffb8c9536.html


Kannst du damit was anfangen?

 

ich schmeiss mich weg...

 

@ DannyC

Was soll denn der Mist?
Du sollst hier den Link zur Auswertung posten, nicht einen Teil des Logs selbst...

 

Ich glaube zwar nicht,dass der Link viel bringt:

http://www.hijackthis.de/index.php

Ich habe nach deren Auswertung keine bösartigen Files auf meinem PC.


Ich habe allerdings zwei,bei denen es eventuell sein könnte,die ich mich nicht traue zu löschen,da sie,denke ich zur Systemsteuerung gehören:

c://windows/system32/CTFMONSS.exe
c://windows/system32/CSRSSW.exe

und eventuell

C://windows/wtlbass32.dll

 

Was soll ich jetzt mit der Startseite von hijackthis.de?

Poste bitte den Link zur Auswertung deines Logs, findet sich nach der automat. Auswertung ganz unten auf der Seite...

 

Sorry wusste ich nicht:

www.hijackthis.de/logfiles/80a6aea963ad19a33abf52bf4188e38c.html

 

Systemprozesse:

http://www.reger24.de/prozesse/ctfmon.exe.php
http://www.reger24.de/prozesse/CSRSS.EXE.php


Alles, was anders heisst, ist verdächtig. Probier es aus, lässt sich alles rückgängig machen.

 

Was machen denn die ganzen BHOs da ? Ausser Acrobat bräuchte da garnichts zu stehen, und der Spybot-BHO hat sich nun ja selbst disqualifiziert

Schon mal unter "Extras-Addons" nachgeschaut ?
Ist das alles wissentlich installiert worden ?

 

Nanu....

 

Die sind nach suchen bei google alle am richtigen Platz.

Extras-Addons muss ich gleich mal nachschauen.


Was ist mit dem Alaunch,muss ich das fixen?

Wo steht das mit dem infected by not-a-virus.....?

 

Ja, die schon, aber die von dir genannten heissen anders. Gaaaanz genau lesen:

CTFMON= Systemprozess
CTFMONSS=

CSRSS=Systemprozess
CSRSSW=

ICH kenne es nicht, ich würde es tun. Wichtig für das System ist es nicht.
Hast du es wissentlich installiert ?

Eine der ersten Fundstellen, wenn ich "Alaunch" bei google eingebe:
http://www.google.de/search?q=cache...ml?bwthreadid=761768+alaunch&hl=de&lr=lang_de


Und wie immer, wenn Hijacker und Trojaner im Spiel sind: Es wird kein Gebrauch vom Zonensystem gemacht.

http://www.blafusel.de/ie.html

 

Also im Prinzip hat steppl ja schon alles gesagt, aber hier nochmal die Zusammenfassung:

Folgende Einträge entfernen (in HijackThis fixen und die zugehörigen Dateien löschen):

Falls Spyware Doctor und Alaunch keine von dir installierten Programme sind müssen die auch weg.

 

Gut,aber wird bei Laptops "Alaunch" nicht zum hochfahren des PC benötigt?

Die anderen beiden .exe dateien kann ich also beruhigt löschen?

 

Also mein Laptop braucht kein Alaunch. War das Programm bei deinem Laptop dabei oder wo hast du das her?


Ja, die zwei Dateien (CTFMONSS.EXE und CSRSSW.EXE) müssen weg, die sind doch die Ursache deines Problems (zusammen mit der wtlbass32.dll).

 

Das Alaunch war bei mir drauf! Naja,ich lasse es mal lieber drauf!

Die 3 Dateien lassen sich nicht löschen,die stellen sich immer wieder selbst her.

Ich habe es jetzt manuell,mit dem Security Task Manager und mit HiJackThis probiert!

Habt ihr einen Tip dafür,wie ich die löschen kann?

Was ist mit dieser komischen WTLBUI.exe Datei?

Die wird bei mir immer als risikohaft angezeigt,ich finde die aber im ganzen PC nicht!

 

Versuch die Dateien im abgesicherten Modus zu löschen. Evtl. musst du vorher noch laufende Prozesse dieser Dateien beenden.


Welches Programm meldet dir denn die WTLBUI.exe? Dasselbe Programm sollte dir auch sagen können wo die liegt.