Tag
Ich hab mir irgendwo aus den weiten des Internets den Virus Trojan Horse geholt..
Der befällt alle Exe-Dateien..
Ich wüsste ja, wo er momentan steckt, aber er lässt sich nicht löschen.
Immer eine Fehlermeldung ala "Dieses Programm ist entweder schreibgeschützt oder wird gerade verwendet".
:(
Norton kann nix tun..
Firewall hab ich nicht..

Was soll ich tun (heeeeeelp)?:\

Inzwischen müssten die deine ganzen Password's haben. :rolleyes:
Norton sollte man regelmäßig upgraden, dann kann der auch die neuesten Viren und Trojaner killen.

Hiho ToSha,

versuch's doch mal auf der Seite www.chip.de und hole dir
1. den Spybot, der löscht zuverlässig Dialer und Trojaner
2. dden AVK - Antivirenkit, der ist frei zugänglich und sollte bei den meisten Problemen helfen.

Wenn du dich ein wenig besser auskennst mit deinem Rechner, dann hole dir von der Firma Frisk den F-Prot und starte diesen aus DOS heraus, dann ersparst du dir die nervigne Zugriffsverweigerungen von Windows.

Viel Glück!!

Im internet ohne firewall zu surfen ist arg fahrlässig......
Da du ja weisst wo der ist und auch wie der heisst machste einfach task beenden und schaust ob er nen laufender prozess dan ist....wenn ja dan beenden oder lasse eine firewall drüber laufen.

Zuerst mal muss der Trojaner aus der Registrierung raus: "Regedit" starten, und im Ordner
HKEY_LOCAL_MACHINE > Software > Microsoft > Windows > CurrentVersion > Run
den entsprechenden Eintrag löschen.

Dann kann sich der Virus nicht mehr selbst beim Start von Windows aktivieren.
Dann Neustart, und der Virus kann gelöscht werden (falls es nicht geht, dann Rechtsklick auf das Programm, und den Schreibschutz entfernen).
Wie heißt der Virus eigentlich?

Falls er sich übrigens in deinem System verbreitet hat, wirst du wohl nicht um eine Neuinstallation herumkommen.


Btw, eigentlich gehört das ins PC-Forum.

Er ist in meinen Lokalen Einstellungen =_=.
Der Virus heisst Trojan Horse.
Und wie und wo Regedit starten? (bin ein PC-N00b)
Und meinste mit neuinstallieren formatieren?

Moinsen
man kann die registry einsehen und editieren, indem man im startmenue unter "ausführen" ->"regedit eingibt. und dann kannst du dem von strato gepostetn pfad solgen. allerrdings poste ich nicht, da ich dies für die lösung deines problems halte, sondern zur algemeinen information. ich denke nicht, dass sich der trojaner so simpel in den autostart geschrieben hat.
mit neuinstallation, so denke ich, wird wohl ein format c: und eine neuinstallation von windows gemeint sein. die bei manchen usern allerdings wirklich auch alle paar wochen nötig ist, da sonst das ganze system lahmt.
kann ich dir nur raten dir nen update deines virenscanner zu besorgen, nen anderen auszuprobieren, oder anti-trojan zu nutzen.
wobei ich letzteres als die beste und besonders die einfachste lösung empfinde.

klick to chip download center: anti trojan (http://www.chip.de/downloads/c_downloads_8830938.html)


--
zack

HURRA!
Das Ding ist weg:D .
Großen Dank an Griever und Zack und allen anderen die mir geholfen haben^^.

Gnah..
Er ist noch da..
Jetzt befindet er sich in Datein, die angeblich nichtmal auf meinem Compi existieren -_-;.
Der wird immer schlimmer!
Jetzt macht der schon nächtliche selbststarts und der Kompi lässt sich nur manuell beenden, da er bei ausschalten immer nen Neustart macht..
Gott, ich hasse dieses Ding -.-...
Sämmtliche Anti-Viren Progs helfen net.

hmm...

hast du schon mal überprüft, ob er sich im IE (falls du ihn benutzt ^_^) eingeklingt hat. diese methode benutzen z.b. dialer manchmal.
schau mal im IE unter Internetoptionen-->Temp.Internetdateien-->Einstellungen-->Objekte anzeigen.
Wenn dort irgendwas verdächtiges rumhängt, überprüfs mal ;) ^^

so far, so good...
greetz

Fehlanzeige -_-....
Schön langsam weiss ich nichtmehr was ich tun soll..

heißt der trojaner direkt Trojan Horse ??? würde mich wundern...ich hab nichtmal im usenet etwas über diesen ominösen virus gefunden.
wenn du nen genaueren namen hättest, wäre das hilfreich. zur not auch die portnummer, die er benutzt.

Er gehört auf jedem Fall zum Typ Trojan Horse.
So wird er von Norton angezeigt.
Wo sieht man denn einen direkten Namen?

Portnummer editier ich gleich..
thx 4 help;)

EDIT: Anti-Trojan sagt:
Port-Scan:

Port 80 offen. Möglicher Trojaner. Webserver (possible Trojaner: Executor)
Port 110 offen.
Port 135 offen.
Port 139 offen.
Port 445 offen.
Port 1025 offen.
Port 1028 offen.
Port 1036 offen.
Port 1039 offen.
Port 1214 offen.
Port 1341 offen.
Port 1351 offen.
Port 1813 offen.
Port 3029 offen.
Port 4953 offen.
Port 5000 offen. Möglicher Trojaner. Sockets de Troie, Blazer 5
Port 13368 offen.


Anscheinend heisst mein Trojaner Executioner.

wenn es der executor wäre, wäre das ziemlich schlecht. der Executor ist nämlich ein rein destruktiver trojaner, dessen sinn es ist dateien zu eliminieren und irgendwelche funktionen ausser gefecht setzen.

so, nochmal zu den ideen, das ding zu entfernen:

überprüfen der laufenden prozesse
zuerst solltest du die laufenden prozesse überprüfen - allerdings nicht mit dem windoof-taskmanager - da es möglich ist, prozesse vor diesem zu verbergen. du solltest einen anderen taskmanager verwenden, wie etwa DLL-view, der wirklich alle laufenden programme anzeigt. der vorteil von DLL-View liegt darin, dass auch gleich die DLL-dateien angezeigt werden, die dieses programm benötigt.


in folgenden dateien können trojaner/programme automatisch gestartet werden(einige wurden ja schon genannt):

autoexec.bat
in dieser datei können programme wie an der DOS-eingabeaufforderung gestartet werden (z.B.: 'C:\Windows\Trojaner.exe').


win.ini
[Windows]
load=sub7.exe
run=sub7.exe
in den Zeilen 'load' und 'run' können programme beim windows-start automatisch ausgeführt werden (hier z.B. das programm 'sub7.exe':D).

system.ini

shell=explorer.exe sub7.exe
in der zeile 'shell=explorer.exe' kann ein aufruf für ein programm angefügt werden. dieses wird vom explorer automatisch gestartet.

[b]C:\<Windows-Verzeichnis>\winstart.bat
diese datei wird vom OS dazu verwendet um bestimmte dateien, zum beispiel nach der installation eines programmes, zu löschen oder zu kopieren. diese datei ist eine normale BAT-datei, in der programme so wie in der Autoexec.bat aufgerufen, gelöscht oder kopiert werden können.

C:\<Windows-Verzeichnis>\wininit.ini
diese datei wird häufig von setup-programmen verwendet. wenn die datei existiert wird sie einmal ausgeführt, und anschließend gelöscht.

autostart-ordner
ist, denk ich mal, klar ;)

der pfad zum autostart ordner ist im registry-schlüssel:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Shell Folders
im string-wert "Startup" gespeichert. dieser eintrag, z.B. "C:\windows\start menu\programs\startup" kann leicht von jedem beliebigen programm verändert werden.

registry
hier gibt es mehrere möglichkeiten eine datei zu starten. alles folgende ist über regedit.exe möglich:

HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ ...
... Run
... RunOnce
... RunServices

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ ...
... Run
... RunOnce
... RunOnceEx
... RunServices
... RunServicesOnce


registry shell spawning
hier wird der trojaner jedes mal aufgerufen, wenn eine EXE-, PIF-, COM-, BAT- oder HTA-datei ausgeführt wird. Diese methode wird bei subseven als "unknown staring method" bezeichnet:


[HKEY_CLASSES_ROOT \ exefile \ shell \ open \ command] @="%1" %*
[HKEY_CLASSES_ROOT \ comfile \ shell \ open \ command] @="%1" %*
[HKEY_CLASSES_ROOT \ batfile \ shell \ open \ command] @="%1" %*
[HKEY_CLASSES_ROOT \ htafile \ Shell \ Open \ Command] @="%1" %*
[HKEY_CLASSES_ROOT \ piffile \ shell \ open \ command] @="%1" %*

[HKEY_LOCAL_MACHINE \ Software \ CLASSES \ batfile \ shell \ open \ command] @="%1" %*
[HKEY_LOCAL_MACHINE \ Software \ CLASSES \ comfile \ shell \ open \ command] @="%1" %*
[HKEY_LOCAL_MACHINE \ Software \ CLASSES \ exefile \ shell \ open \ command] @="%1" %*
[HKEY_LOCAL_MACHINE \ Software \ CLASSES \ htafile \ Shell \ Open \ Command] @="%1" %*
[HKEY_LOCAL_MACHINE \ Software \ CLASSES \ piffile \ shell \ open \ command] @="%1" %*

der wert hinter diesen schlüsseln sollte wie folgt aussehen: "%1" %*. wenn irgendetwas (sei es auch nur ein scheinbares Leerzeichen) vor dem ersten prozentzeichen steht, änderst du den eintrag so, dass er wie oben beschrieben aussieht.

icq netdetect
dieser schlüssel enthält alle programme die gestartet werden wen ICQ netdetect eine verbindung ins internet festgestellt hat.
HKCU \ Software \ Mirabilis \ ICQ \ Agent \ Apps

ein trojaner-eintrag könnte z.b so aussehen:
HKCU \ Software \ Mirabilis \ ICQ \ Agent \ Apps \ <Trojaner>
"Path"="trojaner.exe"
"Startup"="c:\\trojaner"
"Parameters"=""
"Enable"="Yes"
in diesem fall kannst du den kompletten schlüssel "Trojaner" löschen.

puuh...das sind wirklich alle methoden, die ich kenne. ich hoffe du wirst so fündig. :)
(ich schätze ja, dass der trojaner selbst schon weg ist--> durch antitrojan. jedoch werden die autostart einträge noch erhalten sein. das ist zumindest meine vermutung)

Kannst du das nochmal für N00bs erklären bittex_x ?


(ich schätze ja, dass der trojaner selbst schon weg ist--> durch antitrojan. jedoch werden die autostart einträge noch erhalten sein. das ist zumindest meine vermutung)
Wie geht das denn?
Der spuckt noch immer auf meinem Compi herum.

argl..nochmal ?? o_O

bevor du irgendwas dran rumbastelst, installier dir erstmal ne firewall like ZoneAlarm (http://www.zonelabs.com). damit blockierst du erstmal die kontrollfunktion des trojaners. so kannst du auch herausbekommen, ob der trojaner noch aktiv ist, oder ob nur noch die autostart-einträge vorhanden sind.

Diese Firewall ist genial O_o.
Und auch noch gratis ^.^.

Ne Frage:
Hat die Meldung "Protected The Firewall has blocked Internet access to your computer(UDP Port 1341) from 80.37.149.118(UDP Port 1214)." was mit m Virus zu tun?
Oder was soll das heissen?

die meldung sagt nur, dass jemand/etwas (von 80.37.149.118) über port 1214 versucht hat auf deinen rechner (port 1341) zu connecten.

*hüstel*...ich hab mir mal erlaubt, die IP zu tracen. falls es wirklick was damit zu tun hat. läuft auf jedenfall über nen spanischen ISP.

die komplette log kannst du auch von mir haben (mach per PN oder so) ;)

Feststellung:
Hatte die FW kurz deinstalliert weil sie das i-Net blockierte und in der Zeit hat der Trojaner wohl mein ICQ zerfressen. Kommt immer die Meldung:

Microsoft Visual C++ runtime Library
_____________________________________
Runtime Error!

Program: C:\Programme\ICQ\Icq.exe


abnormal program termination


Was tun?
Mein Scanner is auch schon zerfressen worden:\ .
Und Feststellung:
Der PC macht immernoch unfreiwillige Neustarts obwohl ich ihn runterfahre:( .

Frage: Kann der trotz Firewall immernoch lesen was ich schreib?

Wenn dein ZoneAlarm das I-Net blockiert mußt du nur in ZoneAlarm den Internet Explorer erlauben auf das I-Net zuzugreifen.

Aber das einfachste glaube ich wäre für dich, mach deinen Rechner Platt installiere ihn neu inklusive einer Firewall.

Nein, davon lass ich die Finger:rolleyes: .
Ich hab vielzuviel wichtigen Kram aufn Desk, den ich nichtmal auf CD brennen kann(5GB).