WCM Forum

WCM Forum (http://www.wcm.at/forum/index.php)
-   IT-Security (http://www.wcm.at/forum/forumdisplay.php?f=70)
-   -   pls help: trojan.startup befall, CPU-auslastung 100% (http://www.wcm.at/forum/showthread.php?t=184782)

RaistlinMajere 05.02.2006 17:17
pls help: trojan.startup befall, CPU-auslastung 100%
 
nav2004 hat mir gestern gemeldet, daß der trojaner trojan.startup auf meinem system gefunden und entfernt wurde.

komischerweise bekomme ich nun aber bei jedem windows-start dieselbe meldung noch einmal.

dabei werden, wie man sieht, temporäre dateien gelöscht. wenn ich auf OK klicke, kommt die meldung noch einmal, wobei sich der name der tmp-datei inkrementiell verändert (das spielchen geht offenbar eine weile, ich habe irgendwann aufgehört, auf OK zu klicken, weil das offenbar nichts bringt).

manchmal bekomme ich, bevor noch das fenster bzgl. der löschung der tmp-dateien kommt, auch ein solches fenster, dem zufolge eine .exe-datei mit diesem trojaner gelöscht wurde, deren namen aber offensichtlich dynamisch generiert worden ist.

ich habe im abgesicherten modus bereits mehrmals komplette systemscans mit nav2004 sowie nod32 durchgeführt. ersterer löscht jedes mal einige infizierte tmp-dateien, letzterer hat nichts gefunden.
trotzdem kommt bei jedem windows-start im normalen modus immer wieder diese meldung.

seit der infektion ist außerdem meine CPU-auslastung permanent auf 100%. dafür verantwortlich ist der prozeß "System", ich vermute, daß das auch auf den virus zurückzuführen ist. was genau allerdings da vor sich geht, weiß ich nicht.

ich habe bereits die removal-anleitung von symantec gelesen, allerdings habe ich die darin angeführten registry-einträge auf meinem system nicht gefunden.

kann mir bitte jemand sagen, wie ich das ding loswerden kann? gegoogelt habe ich schon, leider ohne erfolg.

ich habe auch schon daran gedacht, einfach mein letztes image reinzuspielen, allerdings hat murphy mal wieder rechtbehalten. :(

Christoph 05.02.2006 21:01
Hallo RaistlinMajere,
hier einige Tools zur Prüfung:
http://www.hijackfree.de/de/
http://www.safer-networking.org/inde...nload-managers
http://www.lavasoft.de/german/support/download/
http://www.javacoolsoftware.com/
http://www.spywareinfo.com/~merijn/downloads.html
http://www.merijn.org/downloads.html
http://vil.nai.com/vil/stinger/
http://www.winpatrol.com/news.html

Bei HiJack This eine Logfileauswertung machen lassen!

Unbedingt letzte Updates verwenden!!

RaistlinMajere 06.02.2006 12:01
erstmal danke für die links.

hab mit hijack this eine auswertung machen lassen (ziemlich nützlich, das tool) und bin alle einträge einzeln durchgegangen, da dürfte alles in ordnung sein.

mittlerweile weiß ich auch, woher die CPU-auslastung kommt. es werden offenbar neue, infizierte tmp.dateien geschrieben, deswegen auch die in folge auftretenden nav2004-meldungen, daß diese gelöscht wurden (ich hab mal das quarantäne-directory geleert, nach ein paar minuten hat sichs dann wieder zu füllen begonnen).

auch habe ich in AVG antivirus installiert und damit nochmals einen fullscan im abgesicherten modus vorgenommen - ohne erfolg.


Alle Zeitangaben in WEZ +2. Es ist jetzt 06:56 Uhr.

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag