Trojaner im Arbeitsspeicher x.x

[ChibiFluttershy]

Dieser nette Trojaner tarnt sich als ein Programm von Win, was man benötigt um alles auf dem Lappi korordinieren zu können. -.-* Mein Virenprogramm (Eset) hat darauf aber keinen Zugriff und kann das Zeug nicht in die Quarantäne verschieben.

Weis, Jemand von euch vielleicht, wie man dieses äzende Teil wieder los wird ? o.O
Ich habe auch ein paar Shortsceens.

http://i41.tinypic.com/15dm8nc.jpg

Ich versuche schon ran zu kommen aber irgendwie klappt das nicht. =(((

[Zerko]

Hmm ich weiss nicht ob es hilft aber unlocker kann Dateien auf die man normalerweise keinen Zugriff hat öffnen/entfernen
Je nachdem welches Betriebssystem du hast und welche Bit Anzahl müsstest du nach dem Download gucken.
(das ist für
Win 2000
Win XP
Win 2003 Server
Windows Vista
Win 2008 Server
Windows 7 in der 32Bit Version)
http://www.chip.de/downloads/Unlocker-32...14122.html

Edit:404compliant's Methode ist eindeutig die bessere kam ich jetzt nicht drauf ^^

[404compliant]

Da hilft wahrscheinlich nur eins: Auf einem SAUBEREN PC eine Reinigungs-CD deines Antivirus-Programm erstellen, dann direkt von der CD starten und die ganze Platte scannen und säubern lassen. Der Trojaner ist wahrscheinlich vom Booten an aktiv, und kann sich gegen Versuche, ihn zu beseitigen, verteidigen.

WICHTIG: Alle Passwörter, Banking-PINs usw. die du auf dem PC gespeichert sind, oder die du in letzter Zeit eingegeben hast, sind kompromittiert, und müssen schnellstmöglich von einem sauberen PC aus geändert werden!

[rainbowdash28]

Ja ich kann mich 404compliant's Methode nur anschließen.. je nach Viren-Software kann man eine "Reinigungs-CD" brennen und von dieser aus dann booten. sollte ESET dies nicht unterstützen kann ich nur die Kaspersky "Notfalls CD" empfehlen sie ist Freeware und erzielt gute Leistungen.

(Als Virensystem auf Windows nutze ich zwar AVAST aber sollte es wirklich zu einen "Notfall" kommen würde ich wohl auch zu Kaspersky's CD greifen man installiert es ja nicht ;] da es bekanntlich recht Ressourcen fressend arbeitet (Was sich auch von Version zu Version ändert))

Link: http://support.kaspersky.com/de/faq/?qid=207621612
Dort ist der Download und diverse Anleitungen verlinkt (CD / USB-Stick)

Die speziellen Varianten die in den FAQ-Beitrag erwähnt werden sind hier nicht gegeben, also die normale Notfall-CD 10.

Viel Glück!

[TheDuriel]

zuerst solltest du versuchen den prozess per oben gepostet unlocker zu killen
danach erst mal die datei suchen (nicht entfernen sondern sicherstellen wo sie ist)
jezt die windows regestry nach der datei durchsuchen und auffälligkeiten entfernen (falls sie sich wie eine systemdatei benannt hatt)

entfernen sollte man die datei/en erst wenn prozess sowie regitry weg ist sonst hatt man das risiko das irgentwo noch ein clon übrig ist

[Sleya]

Ich bin mal auf einer der Seiten gegangen die man im Picture sehen konnte und hab mir auch gleich nen Trojaner eingefangen. Nach nem Systemscan wurde er isoliert. Vielleicht solltest du in Zukunft solche "Websites" meiden?

[Blu3t0oth]

Per Unlocker die Datei zu löschen, ist keine gute Idee. Zumal es sich als Systemeigener Prozess tarnt, oder dwm.exe mit dem Virus infiziert wurde. Sollte dwm infiziert worden sein, und du löscht die Datei so, könntest du massive Probleme mit Windows kriegen.

DWM ist der "Desktop Window Manager", der ab Windows Vista als Fenstermanager arbeitet, und Effekte bei den Fenstern sorgt. Nicht zu verwechseln mit dem DWM für Linux (X Window System).

Deine einzige Lösung wäre es, eine Notfall-CD zu benutzen. Diese basieren auf Linux, und könnten, sofern alles optimal läuft, den Viren entfernen. Ich empfehle die von rainbowdash28 verlinke Kaspersky Notfall-CD oder die Notfall-CD von Computer Bild:
COMPUTER Bild-Notfall-CD - Download - COMPUTER BILD

Damit lädst du eine .iso Datei herunter, die du auf eine CD schreiben musst. Dies kannst du zum Beispiel mit dem Active ISO-Burner machen:
Active@ ISO Burner. Data CD DVD burning software. Write ISO image to CD, DVD, CD-RW, CDR, DVD-RW

Oder du schreibst das Image auf einen USB-Stick und bootest von dem.

Und falls du öfters mal auf fragwürdigen Seiten unterwegs sein solltest, empfehle ich dir Linux zu nutzen. Somit wirst du keine Probleme mit Virenbefall haben.

[DE_Dashy]

(05.04.2012)Blu3t0oth schrieb:  DWM ist der "Desktop Window Manager", der ab Windows Vista als Fenstermanager arbeitet, und Effekte bei den Fenstern sorgt. Nicht zu verwechseln mit dem DWM für Linux (X Window System).

Eigentlich ja. Allerdings nur, wenn sich die Datei dwm.exe im Ordner C:\Windows\System32 befindet. Andernfalls ist es ein Virus.
Siehe auch hier.

[ChibiFluttershy]

Es ist ein Trojaner sagt Eset. ^^ Das Programm kann aber wie gesagt nicht auf den zugreifen, da der schon bei hochfahren aktiv wird, das programm aber erst später. Ich lade gerade die Rescue Disk Ich hoffe mal, dass mir das helfen wird und der gleich ausgemerzt wird. I will fight against dieses Ding !! Ich werde den schon fertig machen. xD *hüstel dank euch*

@Games4fail Was sind denn diese Websites o.O ??? *sich mit dem technischen Kram nicht auskennt. ^^*

Ich danke euch soooooooooo sehr. Ich hoffe, dass es helfen wird. So sehr ich habe keine Lust schon wieder alles zu wechsln. XD Aber was muss das muss vermutlich ^^ Dann mache ich das und werde jedes Pw ändern. ^^

[rainbowdash28]

ChibiFluttershy schrieb:@Games4fail Was sind denn diese Websites o.O ??? *sich mit dem technischen Kram nicht auskennt. ^^*

Auch wenn es nicht an mich gerichtet war möchte ich diese Frage mal beantworten:

Es gibt sogenannte WOT Services wörtlich heißt es "Web of Trust", da gibt es viele verschiedene; ein großes davon bietet AVAST an, das heißt wenn man sich AVAST installiert hat man bei diversen Browsern (Chrome, Firefox, etc, wo es unterstützt wird) 3 kleine Balken die werden grün, gelb oder rot angezeigt (oder grau wenn nicht genug Informationen verfügbar stehen). Bei gefährlichen Websites wird der Balken rot/gelb, dann sollte man vorsichtig sein oder gar die Seite meiden (JavaScript etc bietet alles Sicherheitslücken könnte man deaktivieren).

Dieses WOT gibt es eben mit Plugins oder eben AVAST, dies ist dann eben eine vollständige Anti-Viren Software:
http://www.avast.de/

Allerdings ist das auch keine Bestätigung dafür das eine Website sicher oder unsicher ist, manche glauben zu stark auf diesen System. Denn das sind nur von User gemeldete Daten (Wenn genug zur Verfügung stehen (z.b. alles negative) dann wird die Seite als gefährlich eingestuft).

Das wäre das in etwa zum Thema sichere/unsichere Webseiten.
Achja viel Glück mit der Notfalls CD..

@Technik-Freaks:

Ich finde es zwar immer schön wenn Leute mit Unlocker kommen, meinen man solle den Virus selber entfernen Pfade suchen wo er sich einnistet und dann manuell löschen.. allerdings halte ich das für einen Laien sehr tödlich wenn er mal eine falsche Datei löscht, kann dies böse Enden indem das System nicht mehr startet... registry dasselbe, klar mit der Suchfunktion ein leichtes aber trotzdem ist Vorsicht geboten. Ich kann es keinen empfehlen der nicht genug Know-How dafür hat.
Man sollte es einfach Software überlassen die weiß was Sie macht (Zumindest in den meisten Fällen).

[404compliant]

Wer glaubt, ihm kann nichts passieren, weil er nur auf vertrauenswürdigen Seiten unterwegs ist: Das ist zu kurz gedacht. Trojaner-Angriffe sind auch schon über geschaltete Werbebanner gemacht worden, die der eigentliche Seitenbetreiber kaum kontrollieren kann, und auch das Hacken von renommierten Webseiten, um darauf Trojaner zu verstecken, ist durchaus üblich, und bleibt teilweise erschreckend lange unbemerkt.

Es gibt halt nur einen Weg, sauber zu bleiben: Virenscanner und Sicherheits-Updates. Und immer schön tagesaktuell bleiben! Und auch nicht die vielen Plugins vergessen: Flash-Player, Acrobat-Reader, Java-Runtime, ... die werden alle gerne für Angriffe genutzt, weil viele es da mit den Updates nicht so eng sehen.

Zum Thema PC säubern: Das ist keine leichte Aufgabe. Trojaner nisten sich gerne mehrfach ins System ein, auch gerne mit verschiedenen Systemen. Löscht man im laufenden System einen, wird er von den diversen Kopien sofort wieder ersetzt. Und auch wenn man von einer CD aus säubert, eine einzige vergessene Kopie genügt, und er ist zurück. Auch sehr beliebt: Eine vergessene Kopie schläft, und installiert sich erst Tage später per Task-Planer erneut.

[Riko]

Es sind zwar schon einige gute Empfehlung hier aufgekommen aber ich hätte auch noch einen Tipp.
Das AntiVirenprogramm avast! bietet eine Funktion namens "Startzeit-Überprüfung".

Dabei wird dein System auf Malware etc. geprüft, noch bevor Windows oder irgendwelche Dienste gestartet wurden. Das heißt der Trojaner wird es schwierig haben sich hinter irgendwelche Prozessen zu verstecken. Kann ich nur sehr empfehlen, hat mir schon sehr oft weitergeholfen und man muss nicht extra eine CD dafür brennen.

Und noch ein ganz wichtiger Tipp: Niemals! mehr als ein AntiVirenprogramm auf einmal installieren!! Danach könntest du dein System echt fast wegschmeißen

[DudeLove]

1. Was Riko sagt. Und auch schon 1000 mal davor gesagt wurde hier.

2. Wer sich bei Softtonic rumtreibt, dazu noch deren dubiosen Downloader nutzt, (und vermutlich sogar mit nem Adminaccount eingeloggt Surft, ist es selbst schuld.

Ich persönlich würde da jetzt mit der Notfall Disk rangehen, bzw. Windows nochmal neu aufsetzen, alle Passwörter ändern und, und, und. (Ich nutze hier praktisch einen kleinen Linux Homeserver (Ubuntu 10.04, welches die Windowsrechner alle 2 Stunden durchcheckt, mit ClamAV *nicht, dass es 100% sicher wär )

PS.: Ich will hier niemanden Fertig machen, aber wie schonmal der Onkel von Peter Parker sagte:"Viel Macht bedeutet auch viel Verantwortung!". Und das ist hier auch nicht anders. So ein bisschen aufpassen was man macht, aufmerksam beobachten/lesen kann ja nicht zuviel verlangt sein.

[ChibiFluttershy]

rainbowdash28 schrieb:Ich finde es zwar immer schön wenn Leute mit Unlocker kommen, meinen man solle den Virus selber entfernen Pfade suchen wo er sich einnistet und dann manuell löschen.. allerdings halte ich das für einen Laien sehr tödlich wenn er mal eine falsche Datei löscht, kann dies böse Enden indem das System nicht mehr startet... registry dasselbe, klar mit der Suchfunktion ein leichtes aber trotzdem ist Vorsicht geboten. Ich kann es keinen empfehlen der nicht genug Know-How dafür hat.
Man sollte es einfach Software überlassen die weiß was Sie macht (Zumindest in den meisten Fällen).

Da hast du Recht. Ich habe davon keine Ahnung. Daher wollte ich ein Programm was das alles für mich von alleine macht. x.x Aber leider kommt es ja nicht ran, weil der sich ja als Windatei ausgibt, wenn ich das richtig verstanden habe.

@Riko Normaler Weise warnt mich mein Programm auch vor den Seiten und öffnet die nicht mal. Also infizierte Seiten oder so. Aber es gibt ja sicherlich auch welche, die sich z.B auf Yt oder so rumtreiben und da bin ich leider sehr oft. Oder auch über Skype oder so werden welche verschickt. Wenn man Daten Bilder oder so austauscht. Zudem haben meist Menschen wie ich davon eigentlich keinen Plan. Daher beschäftigen sich Leutchen wie ich auch nicht wirklich damit. Bei Softtinic downloade ich nicht. Nur Chip de.

Ich habe es mit der Disk versucht. o.O Habe meinen Lappi mal durchlaufen lassen, aber seltsamer Weise findet Kaspersky den Trojaner nicht mal. x.x Geschweige denn, dass sie, also diese Rescue Disk, den beseitigt, nein da ist nichts passiert. ^^* Nur gescannt aber ein Scann ist keine Enfernung. ^^*

[DudeLove]

Ok, das ist unerwartet...

Was man da noch rüberlaufen lassen könnte: "Windowstaste" + "r", da dann "mrt" eintippen -> Suchen lassen. Ist kein Ersatz für ein Programm, aber zum überprüfen reichts. (Wenn's denn was bekannteres ist.)

Ansonsten gab es da nicht von McAffee den Stinger:
http://www.chip.de/downloads/McAfee-Labs...11160.html

Den muss man aber erst so Einstellen dass er infizierte Daten löscht.

[Shippou]

Startet das Mistviech auch im Abgesicherten Modus? Wenn ja, einfach mal mit Autoruns schauen wo der Drecksack steckt und sich lädt. Ggf. nen Image vorher machen, nicht das Windows nen "Blauen" anzeigt. Dienste bekommste mit pserv 3.4 aus den gtools sauber weg, sollte der sich dann noch im System befinden, sofern ne Löschung erfolgreich war.

Bei Autoruns und pserv aber nur dann was machen, wenn du weißt was du tust.
Bei Fragen: Immer her damit oder PN.

[ChibiFluttershy]

Ich danke euch. ^^ Mal sehen ich gebe den vermutlich am di ab und werde mal meinen Spezialisten darüber gehen lassen. Wenn der nichts findet wie man das Teil mal zur Strecke bringen kann, dann werde ich vermutlich neu formatieren müssen. x.x Weil das Ding mich schon sehr nervt.
*knuddel* Danke an euch alle