Jump to content
- Werbung nur für Gäste -

IGNORIERT

Virenmeldung nach Flash-Update


dukenukemforever

Recommended Posts

- Werbung nur für Gäste -

den .Gen2 auf jeden fall..

ich kann gerade nicht viel nachschauen weil mein system lahmt.. avira macht gerad systemprüfung..

psnprofiles haben vorgestern auch wartungsarbeiten gehabt.. vllt. ham die sich dort die seuche eingefangen..

Ja, vorgestern hatte ich da auch sowas gesehen, das die Seite nicht erreichbar war oder so.

Dann haben wir uns das wohl dort eingefangen.

Link zu diesem Kommentar
Auf anderen Seiten teilen

@ duke..:

.Gen und .Gen2 hab ich auch beide drauf..

sehr komisch.. jetzt hab ich den unter c>windows>installer im abgesicherten modus gelöscht..

jetzt sitzt das teil in c>dok. u. einst.>user>lokale einst.>anwendungsdaten drinne..

ich dreh am rad.. ich geh erstmal was futtern bevor ich lust hab mich weiter mit dem mist zu befassen..

Link zu diesem Kommentar
Auf anderen Seiten teilen

@ duke..:

.Gen und .Gen2 hab ich auch beide drauf..

sehr komisch.. jetzt hab ich den unter c>windows>installer im abgesicherten modus gelöscht..

jetzt sitzt das teil in c>dok. u. einst.>user>lokale einst.>anwendungsdaten drinne..

Ja, genau da habe ich ihn auch drin irgendwo gemeldet bekommen.

Okay.

Hab was informationen:

http://www.trojaner-board.de/118123-trojaner-tr-atraps-gen2-tr-atraps-gen-w32-patched-ua.html

Die Sagen neuinstallation.

Ist meiner meinung nach nicht notwendig.

Hier wird er auch als Zeroaccess Angezeigt.

Für die leute die ein tool dafür ausprobieren wollen:

http://www.symantec.com/security_response/writeup.jsp?docid=2011-121607-4952-99

Funzt nicht immer leider.

Hoffe es klappt erstmal

amsonsten einfach melden

Macht mir nicht gerade Mut....:(

Link zu diesem Kommentar
Auf anderen Seiten teilen

welche schritte?!

du sprachst davon den temp ordner zu leeren.. wie ist der pfad?? ich hab nich nur einen temp ordner?!

das symantec tool funzt bei mir gar nicht, des sieht nichmal was..

mal ne andere frage.. welchen schaden kann das teil anrichten??

Link zu diesem Kommentar
Auf anderen Seiten teilen

- Werbung nur für Gäste -

welche schritte?!

du sprachst davon den temp ordner zu leeren.. wie ist der pfad?? ich hab nich nur einen temp ordner?!

das symantec tool funzt bei mir gar nicht, des sieht nichmal was..

mal ne andere frage.. welchen schaden kann das teil anrichten??

Pfad: c:\users\dein user\local settings\temp\ komplett entleeren.

Dann kann der sich noch in Local settings sonstwo verstecken. (auch im ordner Microsoft.

Kannst du die Fundorte von dem Ding per hand entfernen?

ist oft nicht der fall.

Der Trojaner passt die zugriffsrechte im register an.

hab oft gesehen dass der einen benutzer in die Gruppe: "Restricted" setzt.

des weiteren sammelt er Finanzielle daten usw.

Wenn du nach infektion Online Banking benutzt kannste das besser direkt sperren lassen bei der bank.

Ich hab mir den Trojaner aber runter geladen und infizier mal einen meiner rechner und melde mich morgen..

Link zu diesem Kommentar
Auf anderen Seiten teilen

Ich hoffe ich habs nicht überlesen, aber lasst mal Malwarebytes mit der neusten Aktualisierung drüber laufen.

Witzigerweise war ich gestern auch auf psnprofiles und ab da gings los.

Nachdem Malwarebytes 5 was gefunden hat, habe ich 3 was davon gelöscht. Und bisher gabs keine Meldungen mehr.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Weiß nicht obs schon gepostet wurde?!

Wenn ihr wisst,wie die Trojanerordner heißen u sitzen würd ich euch zu Hijackthis raten,da gibts die Möglichkeit über Delete File on Reboot,diese zu löschen. Aber vorsicht mit dem Programm... :)

Wenn du Folgenden text als irgendwas.reg speicherst in Notepad und den doppelt anklickst dann hast du von windows aus schon diese Funktion delete on reboot.

Steht dann einfach im rechtsklick menü ^^

ich wüsste nicht wofür man da ein extra programm braucht. ^^

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\*\shell\Delete on reboot\command]

@="CMD /E:OFF /C REG ADD HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\Currentversion\\RunOnce /v \"Del %1 OnNextReboot\" /d ^\"cmd.exe /c DEL /F /Q \\\"%1\\\"\" /f\""

[HKEY_CLASSES_ROOT\*\shell\Open]

[HKEY_CLASSES_ROOT\Folder\shell\Delete on reboot\command]

@="CMD /E:OFF /C REG ADD HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\Currentversion\\RunOnce /v \"Del %1 OnNextReboot\" /d ^\"cmd.exe /c RD /S /Q \\\"%1\\\"\" /f\""

Link zu diesem Kommentar
Auf anderen Seiten teilen

- Werbung nur für Gäste -

Wenn du Folgenden text als irgendwas.reg speicherst in Notepad und den doppelt anklickst dann hast du von windows aus schon diese Funktion delete on reboot.

Steht dann einfach im rechtsklick menü ^^

ich wüsste nicht wofür man da ein extra programm braucht. ^^

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\*\shell\Delete on reboot\command]

@="CMD /E:OFF /C REG ADD HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\Currentversion\\RunOnce /v \"Del %1 OnNextReboot\" /d ^\"cmd.exe /c DEL /F /Q \\\"%1\\\"\" /f\""

[HKEY_CLASSES_ROOT\*\shell\Open]

[HKEY_CLASSES_ROOT\Folder\shell\Delete on reboot\command]

@="CMD /E:OFF /C REG ADD HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\Currentversion\\RunOnce /v \"Del %1 OnNextReboot\" /d ^\"cmd.exe /c RD /S /Q \\\"%1\\\"\" /f\""

Oh SORRY,wie konnt ich nur!!!:facepalm:

Weil das vlei nicht jeder weiß...mal eben was als reg speichern u im Notepad doppelklicken....

Was spricht dagegen Hijackthis zu verwenden??? Zumal man das Programm nicht mal installieren,sondern nur ausführen muss.

Wie auch immer,wollt nur helfen u werd gleich angepampt...tzzzz

Link zu diesem Kommentar
Auf anderen Seiten teilen

Oh SORRY,wie konnt ich nur!!!:facepalm:

Weil das vlei nicht jeder weiß...mal eben was als reg speichern u im Notepad doppelklicken....

Was spricht dagegen Hijackthis zu verwenden??? Zumal man das Programm nicht mal installieren,sondern nur ausführen muss.

Wie auch immer,wollt nur helfen u werd gleich angepampt...tzzzz

War nicht zum anpampen gedacht ;)

Wollt nur informationen teilen. Da es auch manchmal dazu kommt das zB internet nicht funktioniert. dann muss man schon auf diese weise arbeiten wenn man keinen zweitrechner hat.

und Tut mir leid wenn du das als angriff wertest.

War allerdings als hilfe gedacht ;)

Link zu diesem Kommentar
Auf anderen Seiten teilen

War nicht zum anpampen gedacht ;)

Wollt nur informationen teilen. Da es auch manchmal dazu kommt das zB internet nicht funktioniert. dann muss man schon auf diese weise arbeiten wenn man keinen zweitrechner hat.

und Tut mir leid wenn du das als angriff wertest.

War allerdings als hilfe gedacht ;)

Ok,angenommen :)

Wie auch immer,man sollt sich das Proggi echt mal anschauen,es hat nämlich ne Menge hilfreiche Tools....z.b. lässt sich damit auch wunderbar ne Logfile,vom laufenden Prozessen, erstellten u posten...

Link zu diesem Kommentar
Auf anderen Seiten teilen

Die tools soweit hab ich mir noch nicht angesehen aber werde ich die Tage mal machen.

Mit der Logfile ist wohl wahr.

Ist viel besser sortiert zum abschicken als ein msinfo32 /report

da gib ich dir auf jeden fall recht.

Hab sonst immer mit GMER und Icesword gearbeitet.

sind auch kräftig in solchen sachen. ;)

Link zu diesem Kommentar
Auf anderen Seiten teilen

so, jetzt nachdem ihr beiden euch (hoffentlich) zu ende gemobbed habt :stubs: kann ich scheinbar positive neuigkeiten berichten..

@ duke..:

versuch mal folgendes..:

- merk dir den pfad indem sich das gute stück eingenistet hat..

- neustart an deinem pc im abgesicherten modus mit deinem infizierten benutzer..

- dann dem pfad folgen..

- wie Dunne21 schon zuvor beschrieben hat, sind dort zwei ordner (L und U) und zwei systemdateien (@ und n) enthalten.. L, U und @ kannst du direkt löschen..

- die datei n benennst du um in x.txt

- neustart vom pc im normalen modus mit deinem infizierten benutzer..

- wieder dem pfad folgen, und direkt den kompletten ordner mit der x.txt datei drin löschen..

- papierkorb leeren..

seitdem hab ich ruhe.. :sleep::cheer:

Link zu diesem Kommentar
Auf anderen Seiten teilen

- Werbung nur für Gäste -

Archiviert

Dieses Thema ist jetzt archiviert und für weitere Antworten gesperrt.
Wende dich an einen Admin, wenn du in diesem Thema etwas posten möchtest.

×
×
  • Neu erstellen...