Trojaner der sich nicht löschen lässt

Begonnen von RenePP, 29. Januar 2007, 21:59:05 Uhr

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

Drucken
Nach unten Seiten1
Benutzer-Aktionen

RenePP

29. Januar 2007, 21:59:05 Uhr
Hallo!

Hab seit dem Wochenende eine Info von meinem Virenchecker " Das mein System möglicherweise infiziert ist"
Es handelt sich um folgenden Virus " Trojan.Win32.Patched.i"

Diesen Virus kann ich aber nicht löschen, kann mir bitte wer weiterhelfen?

tyco

29. Januar 2007, 22:04:12 Uhr #1
Poste einmal Dein HijackThis.log (http://www.merijn.org/programs.php#hijackthis).
Bitte keine Supportanfragen per PM stellen.

tobi

29. Januar 2007, 22:36:17 Uhr #2 Letzte Bearbeitung: 29. Januar 2007, 23:02:56 Uhr von tobi
Ist ne schwere Nuss der da, musste den letztens entfernen, bis zur Lösung waren es einige Stunden, dieser Trojaner lässt sich nur unter einer Live CD löschen mit NTFS Zugriff

Erstmal benötigst du eine Knoppix Live CD, die du hier bekommst:  http://www.knopper.net/knoppix/
damit bootest du, nachdem die CD gebrannt wurde.

Nachdem gebootet wurde siehst du einen Desktop.
Links stehen alle deine Laufwerke, falls mehrere Festplatten angezeigt werden, guck dir deine Festplatte raus auf der Windows installiert ist. Auf dem Desktop machst du jetzt einen Rechtsklick auf das entsprechende Laufwerk und gehst auf:
Lese-/Schreibmodus ändern , die folgende Frage beantwortest du mit Ja

Jetzt durchsuchst du das Laufwerk, mit einem Doppelklick auf das Laufwerk
dann gehst du auf WINDOWS/Temp und auf /Dokumente und Einstellungen/DeinUser/Lokale Einstellungen/Temp, sowie auf /Dokumente und Einstellungen/DeinUser/Lokale Einstellungen/Temporary Internet Files und löschst den kompletten Inhalt.

Jetzt musst du den Trojaner eliminieren. Das machst du indem du in das Verzeichnis WINDOWS/system32 wechselst.
Dort löschst du folgende Dateien winlogon.exe , wsys.dll , main.sys , systems_.exe
Da du aber die winlogon.exe für Windows brauchst, kopierst du eine nichtinfizierte aus einem zweiten System.
Die datei liegt standardmäßig in dem Pfad: C:\WINDOWS\system32\winlogon.exe
Diese Datei von dem Zweitsystem kopierst du auf eine Diskette, USB-Stick und steckst den USB-Stick unter Knoppix ein.
Knoppix erkennt den USB-Stick und du kopierst die Datei vom USB-Stick in das \WINDOWS\system32 des infizierten Rechners, dies geschieht alles noch unter Knoppix!
Dann kopierst du die Datei zusätzlich noch in das Verzeichnis /WINDOWS/system32/dllcache

Nach einem Neubooten sollte der Trojaner weg sein, bei weiteren Fragen stehe ich gerne zur Verfügung, falls du kein Zweitsystem hast, wo du die winlogon.exe herbekommst, so schreib mir doch bitte eine PM.

EDIT: Beim HijackThis Log taucht die winlogon.exe unter O20 - winlogon.exe file missing auf

MFG

tobi



Mein Rechner
Benutzer-Aktionen
Drucken
Nach oben Seiten1