Forum
Tipps
News
Menu-Icon
Thema geschlossen (topic locked)

Win XP: Wie kann ich Trojaner löschen?

Hallo...

Ich habe mich hier im Forum neu angemeldt, weil ich einen riesen Problem habe.
Ich habe meinem Computer Virus eingejagt. 2 Mal habe ich die Festplatte formatiert aber der ist immer noch da  :(
Ich kann kaum programme öffnen. Für die meisten brauche ich auch Windows Service Pack 2 aber, dass kann ich auch nicht installieren. Ich erhalte immer verschiedene Fehlermeldungen oder der Rechner startet einfach ganz von vorne. Nach der 2. Formatierung (23.10.) habe ich schnell Avira runtergeladen um zu gucken was so alles abläuft. Was ich bis jetzt weiß: Im Laufwerk C: sind Trojaner die einfach nicht weg wollen. Avira hat 23 Funde gefunden: MALWARE
Ich habe mir die Namen mit den Datein aufgeschrieben:

C:/Windows/System/ TR/Hijacker.Gen
C:/Gemeinsame Datein/System/wmsncs.exe
TR/Crypt.FKM.Gen

C:/Windows/System32/spool/drivers/wmsncs.exe
TR/Crypt.FKM.Gen

C:/Dokumente und Einstellungen/All User/.../wmsncs.exe
TR/Crypt.FKM.Gen

C:/ARK2.tmp
TR/Crypt.FKM.Gen

C:/Programme/Gemeinsame Datein/System/wmsncs.exe
TR/Crypt.FKM.Gen

C:/Windows/System32/wmsoft13287.exe
TR/ATRAPS.Gen

C:/Windows/System32/wmsoft34635.exe
TR/ATRAPS.Gen

C:/Windows/Fonts/wmsncs.exe
TR/Crypt.FKM.Gen

C:/Windows/System32/wins/wmsncs.exe
TR/Crypt.FKM.Gen

C:/ARK5.tmp
TR/Crypt.FKM.Gen


MFG


 



Antworten zu Win XP: Wie kann ich Trojaner löschen?:

hallo,

Zitat
Ich habe meinem Computer Virus eingejagt. 2 Mal habe ich die Festplatte formatiert aber der ist immer noch da 
das ist bei einer GRÜNDLICHEN formatieren unmöglich.
wenn du es wie schon erwähnt gründlich formatiert hasst und nicht SCHNELL dann kan sowas nicht passieren.
ist es dennoch geschehen dan hasst du sie wieder installiert nachdem formatieren ohne es zu wissen.
trojaner tarnen sich ja letzter zeit immer mehr als nützliche tools.

mfg Zidane

Nach dem Formatieren habe ich nur nach Windows Updates gesucht. Ansonsten habe ich nichts gemacht. Ich konnte bzw. kann nichts machen  :-\


Gerade eben hat Avira noch eine Meldung gezeigt:

C:/Windows/System32/heperlcsass.exe
TR/Proxy.Saper.E.12

hallo,

welche Formatier-methode hasst du ausgewählt "schnell" ?

mfg Zidane

Nein, ganz normal. Das ist ja das Problem... Ich weiß nicht mehr was ich machen kann. Habe auch mit McAfee probiert...Manches wurde gelöscht...Weiß aber nicht ob das mir weiter hilft.


Mfg Esra

hallo,

lade dir Hijackthis runter und erstelle damit ein logfile und poste diesen hier rein.

Downloadlink: klick
Anleitung: klick

mfg Zidane

Danke dir... Hab ich gerade gemacht

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:42:53, on 23.10.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\mdm.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\mldmm.exe
C:\WINDOWS\system32\lcsass.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
c:\programme\avira\antivir personaledition classic\avscan.exe
C:\WINDOWS\SoftwareDistribution\Download\0aa6f42a4dd3d56906fedce124be80cb\update\update.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
F2 - REG:system.ini: Shell=explorer.exe "C:\WINDOWS\Fonts\wmsncs.exe"
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\System32\iexplore.exe
O4 - HKLM\..\Run: [NvidMediaCenter] C:\Programme\Gemeinsame Dateien\System\wmsncs.exe
O4 - HKLM\..\Run: [Spool Driver Service] C:\WINDOWS\System32\spool\drivers\wmsncs.exe
O4 - HKLM\..\Run: [Wmsncs Service] C:\WINDOWS\Fonts\wmsncs.exe
O4 - HKLM\..\Run: [Wins Service] C:\WINDOWS\System32\wins\wmsncs.exe
O4 - HKLM\..\Run: [mmsass] mldmm.exe
O4 - HKLM\..\Run: [dsgb] C:\WINDOWS\system32\lcsass.exe
O4 - HKLM\..\Run: [Windows Networking Monitoring] C:\WINDOWS\System32\mdm.exe
O4 - HKLM\..\RunServices: [mmsass] mldmm.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [dsgb] C:\WINDOWS\system32\lcsass.exe
O4 - HKCU\..\Run: [Windows Networking Monitoring] C:\WINDOWS\System32\mdm.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Wmsncs Service] C:\WINDOWS\Fonts\wmsncs.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Wins Service] C:\WINDOWS\System32\wins\wmsncs.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Windows Networking Monitoring] C:\WINDOWS\System32\mdm.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1224784688750
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CCDFFEB0-46ED-4CBC-AAA7-1A86EC2DA4F9}: NameServer = 213.191.92.86 62.109.123.7
O23 - Service: Advance Service Process - Unknown owner - C:\Programme\Gemeinsame Dateien\System\MSASP32.exe (file missing)
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NET Runtime Optimization Service v2.1.41329_X86 - Unknown owner - C:\WINDOWS\Fonts\wmsncs.exe (file missing)
O23 - Service: NET Service - Unknown owner - C:\WINDOWS\trkwksvc.exe (file missing)

--
End of file - 4214 bytes





was ist los ???    :(

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Schnellstens formatieren!!

Du hast dir den IRC/bot eingefangen und bist somit teil eines Bot netzes. Wenn dir Daten,Privatsphäre etc. wichtig sind dann formatier direkt.

ich habe erst heute formatiert, wie geht das denn :S

kann ich das problem nicht anders beheben? oder ist die einzige möglichkeit nur formatieren???

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Wie das geht ? wenn du infizierte Daten gesichert hast oder dich auf dubiosen Seiten aufhälst geht das ganz schnell.

kann ich das problem denn nicht anders beheben?
Nach den formatierungen habe ich (schon wie gesagt) nur nach windows ubdates gesucht...

Also erstmal möchte ich mich bedanken...ich habe mit McAfee gescannt und jetzt erhalte ich keine fehlermeldungen mehr. Trotzdem möchte ich meinen neuen Hijackthis report wieder senden.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:48:11, on 23.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\mdm.exe
C:\WINDOWS\system32\lcsass.exe
C:\WINDOWS\system32\mldmm.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
F2 - REG:system.ini: Shell=explorer.exe "C:\WINDOWS\Fonts\wmsncs.exe"
O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\System32\iexplore.exe
O4 - HKLM\..\Run: [NvidMediaCenter] C:\Programme\Gemeinsame Dateien\System\wmsncs.exe
O4 - HKLM\..\Run: [Spool Driver Service] C:\WINDOWS\System32\spool\drivers\wmsncs.exe
O4 - HKLM\..\Run: [Wmsncs Service] C:\WINDOWS\Fonts\wmsncs.exe
O4 - HKLM\..\Run: [Wins Service] C:\WINDOWS\System32\wins\wmsncs.exe
O4 - HKLM\..\Run: [mmsass] mldmm.exe
O4 - HKLM\..\Run: [dsgb] C:\WINDOWS\system32\lcsass.exe
O4 - HKLM\..\Run: [Windows Networking Monitoring] C:\WINDOWS\system32\mdm.exe
O4 - HKLM\..\RunServices: [mmsass] mldmm.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [dsgb] C:\WINDOWS\system32\lcsass.exe
O4 - HKCU\..\Run: [Windows Networking Monitoring] C:\WINDOWS\system32\mdm.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Wmsncs Service] C:\WINDOWS\Fonts\wmsncs.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Wins Service] C:\WINDOWS\System32\wins\wmsncs.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Windows Networking Monitoring] C:\WINDOWS\System32\mdm.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1224784688750
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CCDFFEB0-46ED-4CBC-AAA7-1A86EC2DA4F9}: NameServer = 213.191.92.86 62.109.123.7
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Advance Service Process - Unknown owner - C:\Programme\Gemeinsame Dateien\System\MSASP32.exe (file missing)
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NET Runtime Optimization Service v2.1.41329_X86 - Unknown owner - C:\WINDOWS\Fonts\wmsncs.exe (file missing)
O23 - Service: NET Service - Unknown owner - C:\WINDOWS\trkwksvc.exe (file missing)




ist soweit alles in ordnung???


Mfg 

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Und immernoch sind die rest Einträge des Schädlings oder der Schädlinge da. Das Problem ist nicht der Schädling auf em System sondern die änderungen in der Registry, da wir aber nicht wissen welche Registry Einträge geändert wurden, ist ein hohes Risiko da.

...es tut mir Leid Sp2 und IE 6 ist unter meiner Würde!

...es tut mir Leid Sp2 und IE 6 ist unter meiner Würde!

d.h. ????



@ersguterjunge

danke dir, ich werd mich drum kümmern.

Formation..mit xp-cd..nach der Neu Installation auf Xp3 updaten und anschließend ein Image davon erstellen...

Leute,lasst Ihn,er ist merkbefreit.Gäste bekommt man nur durch formatieren weg,löschen geht nicht.
Entweder der TO befreift dies oder er muß in naher zukunft für seine uneinsichtigkeit zahlen.


« internet zurück verfolgenHILFE!! www.kino.to Trojaner runtergeladen!!! »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Computer
Siehe PC....

Supercomputer
Bezeichnung für sehr schnelle Computersysteme, die ein vielfaches an Leistung normaler Desktop-Computer besitzen. Die Top 500 Liste der schnellsten Supercomputer wel...

Virus
Als Computervirus bezeichnet man Programme, die sich ungewollt auf einem PC installieren und dan selbst weiterverbreiten und reproduzieren. Sie sind meistens darauf progr...