Moin Leute,

hm hab ein kleines Problem hab 2 Trojaner drauf, die ich einfach nicht loswerde. Gibt ja noch kein Security-Forum deswegen hab ich den Thread mal hier eröffnet.

Trojan horse Dialer.10.AF
Trojan horse downloader.Small.8.F

hab schon alles drüber laufen lassen was ich hab. AVG 6.0, AntiVir XP, Bitdefender, Trjoancheck, Trojan Hunter, avast Virus cleaner, Mc Affee Avert Stinger. Aber mit keinem werde ich es los. AVG 6.0 findet es zwar kann es aber weder unter Quarantäne stellen, healen oder gar deleten. Weil die Datei locked ist bzw. die Datei nich gelesen werden kann und nicht erkannt wird. Kann es auch nicht manuell entfernen sind unter anderem Files mit der Endung .ocx. Ist wahrscheinlich so eine Mischung aus Wurm und Trojaner, falls es sowas gibt. Jedenfalls breitet sich das Ding aus und befällt .dll's oder schreibt sich seine eigenen .dll's. Die kann ich diese auch immer wieder löschen nur bleiben da immer noch die drei ursprungsfiles die ich nicht entfernen kann. Und solange die nicht weg sind geht alles wieder von vorne los...

...dann hab ich noch was mit dem Mc Affee Avert Stinger gefunden. Kann aber auch von dem nicht entfernt werden. Die andern Progs erkennen den erst gar nicht. hat offensichtlich den Browser befallen.

C:\Windows\Explorer.Exe
Found the W32/Backdoor-CFB Virus
C:\Windows\Explorer.Exe could not be repaired !!!

Ich weiss das formatieren die letzte Lösung wäre, aber ich hoffe es gibt alternativen die das vermeiden. Weil hab viele wichtige Daten drauf und das wäre ne ganz schöne Arbeit...

Bin über jede Hilfe dankbar !!!

MFG

Xcellent

morgen

also wegen deinen trojanern: scan nach denen, schreib dir genau auf wo die liegen u. wie die heissen, dann boot im abgesicherten u. lösch die dateien. dann müsste es gehen. (googel roX)

*puh, wegen deinem Virus hab ich jetzt selber auch nichts gefunden.
du könntest jedoch probieren, im abgesicherten modus die C:\windwos\explorer.exe mid dieser hier zu überschreiben: C:\WINDOWS\system32\dllcache\explorer.exe
Im dllcache sind alle wichtigen Windooof Dateien drinnen, so als Sicherheitskopier. Wenn du die nicht überschreiben kannst, dann mach den Taskmanager auf u. kill den explorer.exe, mach nen neuen task "cmd" und kopier die datei. (Falls die kopie vom explorer im dllcache nicht funktioniert, such auf der win cd nach der datei u. kopier sie von dort her, die ist sicher nicht infektet)



Weiss nicht, ob das funktioniert, aber du könntest mal probieren. Nach dieser Aktion unbedingt noch mal scannen, mit allem was du hast. Organisier dir Searcbot&Destroy, der is gonz guad.

hoff i hab dir geholfen.

chris...

Also .ocx lösche mal deine temp int dateien, sowie deinen verlauf.
ps. einfach den pfad aus deinem virenprogramm ( den pfad des suchergebnis: Bsp:

C:\Dokumente und Einstellungen\"NUTZERNAME"\Lokale Einstellungen\Temporary Internet Files\Content.IE5\E218V533\ )

markieren und im explorer löschen!
findest die datei sonst nie.
antiviren tools tuen sich immer schwer mit dat´s im verlauf.

danach erneut scannen und checken

so erstmal big thx an alle für die schnelle hilfe

bin die zwei Trojaner schon mal losgeworden, konnte die im abgesicherten Modus entfernen.

hab aber jetzt beim 2 Durchgang und detailierteren Sucheinstellungen noch einen gefunden, der is hartnäckiger als die anderen.

Das Ding heisst Trojan horse Startpage.6.AQ

Der Trojaner ist polymorph und reproduziert sich anscheinend selbst in dem es .dll's erstellt

C:\WINDOWS\SYSTEM32\GIHBE.DLL repaired
C:\WINDOWS\SYSTEM32\JCJJAPC.DLL repaired
C:\WINDOWS\SYSTEM32\LAGM.DLL repaired
C:\WINDOWS\SYSTEM32\LBG.DLL repaired
C:\WINDOWS\SYSTEM32\MPMKLAD.DLL repaired
C:\WINDOWS\SYSTEM32\OPHGPPC.DLL repaired
C:\WINDOWS\SYSTEM32\PGB.DLL repaired

auch wenn ich die gesicherten von AVG reparierten Files lösche, kommen sie irgendwann mit anderem Datei Namen wieder. Anscheinend gibts auch keine Ursprungsdatei. zumindest konnte keine gefunden werden.

So hab im abgesicherten Modus auch über CMD die Explorer.exe mit der im dllcache ersetzt. Aber das hat nicht funktioniert nach dem rebooten hat Avert Stinger den W32/Backdoor-CFB Wurm immer noch gefunden. Mit ner sauberen Explorer.exe könnte es funktionieren. Aber die Windows CD hat mein Bruder und der ist im Moment im Urlaub.

Also ich danke euch auf jedenfall bin aber noch offen für weitere Tipp's

MFG

Xcellent :bier1:

zerwas

also, da hast ja einen schönen hartneckigen trojaner : )

look@this: h**p://w*w.bullguard.com/forum/10/Here-is-how-to-fix-the-Worst-S_2076.html

So müsste es zum removen gehn : ) Viel Spass dabei.

Hast du die datei explorer.exe überschreiben könne ? Oder hat das auch nicht funktioniert ?

chris...

boah, also erstmal dankeschön "Chrisi" hast mir bisher am besten weiterhelfen können. Die Page erklärt auch einiges. Und hab mich grösstensteils daran gehalten doch ich denke mal mein Trojaner diferenziert sich ein bischen von dem. Da einige sachen nicht mit der removal-Anleitung übereinstimmen.

in der Regedit sollte ich danach suchen:

"Search CLSID, there should be approximately 30 of them, DELETE all 30."

aber leider sind das bei mir keine 30 sondern so um die 3000 o. mehr. Hab angefangen welche davon manuell zu deleten aber das hörte gar nicht mehr auf. Hab in der regedit ----> search "CLSID" eingeben, blos gefunden wird dieser Wert immer nur einzeln. Hab dann immer F3 ---> entf ---> Return hintereinander drücken müssen und nach ca. 200 Mal hab ichs dann sein lassen.

Ich vermute mal das es eine Abänderung des Trojaners ist, weil auf der Seite steht zwar das es sich um die Anleitung für einen "StartPage Trojaner" handelt aber davon gibts leider haufenweise Versionen.

hab mal ein paar bsp. wieviele es davon gibt.

trojan horse Startpage.3.AW
trojan horse Startpage.3.av
trojan horse Startpage.4.av
trojan horse Startpage.4.BS
trojan horse Startpage.4.m
trojan horse Startpage.4.AO
trojan horse Startpage.5.AV
trojan horse Startpage.5.BD
trojan horse Startpage.6.t
trojan horse Startpage.CG

...und das nur als bsp. hab die mir mal zusammengegoogelt. Gibt mehr als 100 Versionen davon. Und auch immer wieder Berichte gefunden wo geholfen werden konnte. Aber jeder Trojaner hat offenbar ne andere Signatur und ne andere Arbeitsweise. Für meine Version (Trojan horse Startpage.6.AQ) hab ich bisher leider keine vernünftige Lösung finden können. Ich kenn mich leider auch nur mangelhaft in Trojaner Beseitung aus. Ich weiss leider nicht wie ich dem Trojaner auf die Spur kommen kann. Vor allem wenn es in die Regedit geht. Ich will da nichts falsches löschen. Also wenn da jemand Ahnung von hat ich bitte um Rat.

Achso und W32/Backdoor-CFB Virus findet Avert Stinger immer noch, hab die Exlorer.Exe im abgesichertem Modus über die CMD-Befehlszeile überschrieben, hat aber nichts gebracht.

bin immernoch für jedehilfe dankbar :bier1:

MFG

Xcellent

zerwas

also, das ding ist echt hartnäckig : )
gibt wirklich keine brauchbaren hilfen im i-net. vielleicht hilft dir das hier:

h**p://www.abxzone.com/forums/showthread.php?p=816228

Sieht fähig aus.

btw: Nimmst du IE zum surfen her ?

chris...

jo, benutze IE zum surfen.
Also das was die da in dem anderen Forum besprochen haben konnte mir nicht wirklich weiterhelfen. Die sind mit der Problemlösung in etwa so weit wie wir. Hab auch schon die Proggs CWSchredder, SpyWareblaster, Ad-Aware, Spybot Search & Destroy, HIjackThis benutzt es aber mit keinem wegbekommen...hab mir sogar schon den Norton Antivirus 2004 besorgt, habe damit 2 weitere Viren entfernen können, aber dieser Startpagetrojaner fällt leider nicht darunter. ...ich bin langsam echt am verzweifeln :dreck: :boing:

MFG

Xcellent

hmmmm
is echt beschi**en. mir fällt da eigentlich auch nichts weiter ein. Wenn ich selber davor sitz und da herumspiel geht vielleicht noch mehr, so jedoch ists ein bischen schwierig.

Was ich dir jedoch WÄRMSTENS ans Herz legen möchte: SCHEISSSSSS auf IE. Nimm bitte einen andren Brauser. Ich benutz Opera und eine kleine Personal Firewall, ich hab seit Aufsetzten (Jänner od. so) noch keinen einzigen Virus/Trojaner/Wurm gehabt. Weil di ganzen Dinger nur mid IE/Outlook funktionieren.

Ja ich weiss auch nicht, wenn du noch weitermachen willst würd ich dir vorschlagen, weiter bei googel zu suchen od. andre Suchmaschienen probieren, vielleicht haben die mehr/andre treffer.

Od. sag mal so, was genau macht der Trojaner, ausser das er da ist ? Wenn er nur einfach da ist, dann kannst ihn ja leben lassen u. mit nerm Firewall die Ports sperren, die er zum "nach Hause telefonieren" verwendet. ??

chris...

Also so weit ich weiss is der schaden den der Trojaner anrichtet ziemlich gering. kopiert sich selbst bzw. erstellt alle 10 min während man mit dem IE surft eine neue random .dll, befällt keine anderen dll's. Aber das is schon ziemlich nervig wenn alle 10 min ein neues popup vom AVG-shield kommt mit dieser message

"Trjoan horse startpage.AQ6." found pls start AVG to remove.

ich mein wer hat schon gerne ein fremkörper auf seinem Rechner das is wie ne Zecke die an deinen Blutgefäßen klebt.

Desweiteren hat es im "Temporary Internet Files Ordner" an wirklich jede File eine [1], [2], [3] usw. gehängt. Also an den Dateinamen eine Zahl in Klammern hinzugefügt sieht ungefähr so aus:

_splash_nav_left_top[1].jpg
videocontext[6].html
visual_server[2].gif
script[4].php

Bedeutet ich hab auf diese Files keine Zugriffsrechte mehr. Was schon sehr seltsam und nervig ist. Naja aber dazu hab ich schon eine Idee wie ich das beheben kann.

Wahrscheinlich lege ich mir auch nen anderen browser zu. Aber trotzdem werde ich den Trojaner davon nicht los. Er würde zwar nicht mehr so auffallen, weil er sich dann nicht mehr kopieren würde, aber ich würde das Ding trotzdem schon gerne loswerden wollen. Ich hoffe mal das die Entwickler im Bereich Anti- viren,trjoaner,würmer,... bald den Basis-code der Trojaner-Signatur ausfindig machen können und eine gegenmaßnahme entwickeln. Bis dahin muss ich wahrscheinlich einfach nur abwarten.

Also nochmal big Thx an alle, Thread kann von mir aus dich gemacht werden

MFG :D. Es sei denn jemand hat noch ne Idee.

Xcellent :bier1:

ja danke für den Tipp. Aber wie ich oben schon mal angedeteutet hatte kann ich die ursprungsdatei nicht finden in dem der Trojaner steckt, weil den kein prog findet. und ich weiss auch nicht wie ich die Ursprungsdatei aufspüren soll.

Das was AVG 6.0 findet sind lediglich die kopien bzw. die Saat des Trojaners dargestellt in .dll Dateien und die kann ich auch entfernen.

Übrigens nicht an jedem Virus hängt ne .exe und da sich der Trojaner selbst sichert könnte ich gar nicht auf ihn zugreifen, bzw. hab keine schreibrechte, habs schon versucht, dann kommt immer:

Datei kann nicht umgennannt werden: Die Quelldatei oder vom Quelldatenträger kann nicht gelesen werden.

Haste es mal mit dem ERD Commander versucht. Hat nen eigenes Betriebssystem das von CD gestartet wird. Könnte sein das der hilft.

MFG seven of nine

Speedworm schrieb:

scan dein System mal mit hyjackthis

du bist ganz kurz davor vom board zu fliegen
lies dir vorm posten mal die wichtig threads in den entsprechenden sections durch!!!

Xcellent schrieb:

...hab mir sogar schon den Norton Antivirus 2004 besorgt, habe damit 2 weitere Viren entfernen können, aber dieser Startpagetrojaner fällt leider nicht darunter. ...ich bin langsam echt am verzweifeln...

hab's oben schon mal erwähnt, hatte sogar schon Norton Antivirus 2005 (Beta) drauf, hat alles nichts gebracht.

Seven of Nine schrieb:

Haste es mal mit dem ERD Commander versucht. Hat nen eigenes Betriebssystem das von CD gestartet wird. Könnte sein das der hilft.

wie kann mir ein Tool helfen, welches für die Reperatur von Systemen ist, die nicht mehr booten. ERD Commander ist, soweit ich weiss nur eine Bootdisk, bzw. eine Reperatur-Obefläche für Windows Betriebssyteme. Mit dem booten hab ich doch gar kein Problem!? vielleicht hab ich dann eine Konsole mit der ich renamen u. deleten kann, aber was bringt mir das, wenn ich den Trojaner nicht finde. Wenn du dich mit dem Prog. auskennst Erläutere mir mal bitte näher wie das funktionieren soll, bzw. was du dir vorgestellt hast.