PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Geschlossen Trojaner TR/BHO.axg wird nicht gefunden



hreith
10.02.08, 19:59
Ich habe einen Trojaner in der
c:\windwos\system32\pmnnmno.dll
Diese Datei wird von winlogon.exe benutzt, so dass ich sie werde löschen noch verschieben oder umbenennen kann.
Auch kann ich winlogon.exe leider nicht anhalten.
Antivir findet dieses Problem, kann es aber nicht beseitigen.
avast! könnte es warscheinlich beseitigen, findet es aber nicht.

Was kann ich tuen, um das Teil loszuwerden?

Canaris101
10.02.08, 22:49
Für solche Fälle empfehle ich das hier:
http://www.johannrain-softwareentwicklu ... eutsch.htm (http://www.johannrain-softwareentwicklung.de/Free-Online-Scan-BitDefender-8-Deutsch.htm)

Vorher in den Einstellungen reinlesen.

Was ist mit HijackThis?

hreith
10.02.08, 23:51
Hi Canaris101

HijackThis zeigt einige Einträge, die auf den AntiVir-Scanner verweisen und auch erst zu sehen sind, seit dem das Teil installiert ist.
Ansonsten hängt der PC nicht am Netz.
Da er ja irgendwelche Daten übertragen will, habe ich ihm sofort den Stöpsel gezogen.

Catweezel
11.02.08, 19:26
avast! könnte es warscheinlich beseitigen, findet es aber nicht.


versuche es mal mit einer Boot-Zeit-Prüfung, ob dort dann Ergebnisse vorliegen.
Die Option findest du im Menü des Programmhauptfensters
Stelle vorher unter Erweitert ein, dass Infizierte Dateien in Quarantäne geschoben werden. Bei Systemdateien "nach Bestätigung fragen" stehen lassen.

Gruß Catweezel

hreith
11.02.08, 19:47
Hi Catweezel,

die .dll ist gelöscht.

Ich habe die Registry nach der .dll durchsucht und alle Schlüssel gelöscht. Nach der der Aktualisierung waren sie aber wieder da. Erst als ich bei den übergeordneten Schlüsseln die Rechte so verändert hatte, dass der user "System" darin keine Rechte mehr hat, sind die Einträge auch nach dem Neustart weggeblieben.
Damit hat dann die winlogon.exe nicht mehr auf der .dll gesessen und ich konnte sie löschen.

Ich denke mal, dass avast diesen Virus noch nicht kennt.

Catweezel
11.02.08, 20:38
Hi hreith,
danke für die Info...


Beim IE war unter Internetoptionen => Programme => Add-Ons verwalten auch die .dll drin. Da habe ich erstmal alles rausgenommen.
Wichtig war aber wohl die Registry. (....)

sorry, dass ich mich hier so spät eingeklinkt habe.. :wink:
ja, wär wohl der nächste Part gewesen. BHO lässt ja schon drauf schließen..

HijackThis zeigt einige Einträge, die auf den AntiVir-Scanner verweisen
Da war dann dieser Eintrag mit den BHO's aber auf jeden Fall auch im Hijackthis-Logfile zu sehen gewesen... :!:
Aber das andere Forum war mit AntiVir ja letztendlich auch die adäquate Anlaufstelle....

Gruß Catweezel

hreith
11.02.08, 21:47
Hi Catweezel,

" BHO lässt ja schon drauf schließen.."
=> ich kenne mich mit Viren und deren Bezeichnung nicht aus. Das war eben der Name, den antivir ausgespuckt hat. Was man daraus hätte erkennen können ... ich kann es auf jeden Fall leider nicht.

Bei Hijack kann ich mich nicht daran erinnern, dass er das angezeigt hätte - bin aber nicht sicher.

Wichtig zur Beseitigung war der Hinweis, den WhoLockMe zu benutzen.
Damit habe ich eben gesehen, dass winlogon auf der dll sitzt und das es unter dem user system läuft.
Zum Glück habe ich den aus den Registry-Einträgen aussperren können.
Letztlich war meine Vorgehensweise reines Glück.

Den betroffenen Laptop benutze ich sonst immer ohne Netzverbindung als reines Werkzeug für dies und das.
Jetzt wollte ich eben mal den Datenaustausch im Netzwerk ausprobieren und war dann auch mal kurz im web. Ich hatte auf dem Laptop auch nur den IE drauf und habe seine Einstellungen nicht kontrolliert - also war AktivX eingeschaltet und auch der Rest default. Das war nicht gut.
Ich hatte nach einer Möglichkeit gesucht, unter XP mit dem dos-debug an den PrinterPort zu kommen. Dabei bin ich auf eine Seite gestoßen auf der es eine .zip gab. Darin war nach der Beschreibung ein Tool, welches die Anmeldung beim XP macht, so dass man mit dem debuger die Pins bewegen kann. Laut der deutschsprachigen Beschreibung gabs das wohl mal vom Elektor. Diese .zip hatte ich geladen. Ich habe sie aber nicht angeklickt. Damit nahm das Unheil seinen lauf. Der Bösewicht hat sich als Windoof-Warnhinweis ausgegeben und wollte dann dies und jenen installieren, hat die "Sicherheits-Icons" unten rechts in der Taskleiste verbogen .... sehr rafiniert.