Du bist nicht angemeldet.

Stilllegung des Forums
Das Forum wurde am 05.06.2023 nach über 20 Jahren stillgelegt (weitere Informationen und ein kleiner Rückblick).
Registrierungen, Anmeldungen und Postings sind nicht mehr möglich. Öffentliche Inhalte sind weiterhin zugänglich.
Das Team von spieleprogrammierer.de bedankt sich bei der Community für die vielen schönen Jahre.
Wenn du eine deutschsprachige Spieleentwickler-Community suchst, schau doch mal im Discord und auf ZFX vorbei!

Hilfe bei entfernen von virus/Trojaner

Werbeanzeige

Swoerm

Alter Hase

  • »Swoerm« ist der Autor dieses Themas

Beiträge: 451

Wohnort: 127.0.0.1

  • Private Nachricht senden

1

26.02.2016, 20:30

Hilfe bei entfernen von virus/Trojaner

Hallo erstmal.

Ich habe mir leider scheinbar in der letzten Stunde was bösartiges zugezogen. Ich habe auf einen TS3-Server connectet welcher meinte meine Versionen wäre nich aktuell. Ich habe den vermeintlichen downloadlink benutzt und habe mir so die Schadsoftware zugezogen. Im taskmanager kann ich Prozesse mit Namen wie z.B MZPPXdeWXHOCOdiDNc.exe *32.exe sehen die starten sich jedoch sobald ich sie beende neu. Antimalwarebytes hat nach einem vollen Scan nichts gefunden und Avast dessen Scan gerade bei 24% liegt war ebenfalls noch nicht fündig. Ich habe nach der Infektion umgehend die Internetverbindung getrennt und seitdem den Rechner nicht neugestartet. Ich hoffe auf euren schnellen Rat.

MfG
Swoerm

C-/C++-Quelltext

 
1
2

    /* Keep the compiler happy */
    return(0);

Roflo

Alter Hase

Beiträge: 955

  • Private Nachricht senden

2

26.02.2016, 20:31

Hm, vielleicht mal eine livecd einwerfen und nach MZPPXdeWXHOCOdiDNc.exe suchen. Du warst doch sicher nicht als admin unterwegs, oder? ^^

Swoerm

Alter Hase

  • »Swoerm« ist der Autor dieses Themas

Beiträge: 451

Wohnort: 127.0.0.1

  • Private Nachricht senden

3

26.02.2016, 20:49

Ne live CD hab' ich leider gerade nicht da.
Ich habe gerade gesehen, dass anscheinend nichts ins startup geschrieben wurde und keine andere software installiert wurde. Kann es also sein, dass ich einfach meinen PC Neustarten müsste und sich die Programme gar nich mehr neustarten?

C-/C++-Quelltext

 
1
2

    /* Keep the compiler happy */
    return(0);

Checkmateing

Community-Fossil

Beiträge: 2 218

  • Private Nachricht senden

4

26.02.2016, 22:16

Jup, das ist die beste Idee. Wird definitiv dann alles ok sein, aber nur, wenn du möglichst bald Onlinebanking benutzt, sofern das dann möglich ist. :)
brain.exe kann auch nicht schaden.

MfG
Check
Das gibt Übersicht! Stay gold.

Swoerm

Alter Hase

  • »Swoerm« ist der Autor dieses Themas

Beiträge: 451

Wohnort: 127.0.0.1

  • Private Nachricht senden

5

26.02.2016, 22:21

Inwiefern hilft mir Sarkasmus weiter? :P

Edit: hat irgendwer noch Vorschläge? Mir gehen gerade die Ideen aus.

C-/C++-Quelltext

 
1
2

    /* Keep the compiler happy */
    return(0);

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Swoerm« (26.02.2016, 22:26)

KeksX

Community-Fossil

Beiträge: 2 107

Beruf: Game Designer

  • Private Nachricht senden

6

27.02.2016, 00:45

Hast du denn eine Idee, um was es sich handeln könnte? Nach ähnlichen Fällen gegooglet?
WIP Website: kevinheese.de

CeDoMain

Alter Hase

Beiträge: 587

Wohnort: Ilmenau

Beruf: Student für Mechatronik

  • Private Nachricht senden

7

27.02.2016, 01:07

Lösch mal deinen gesamten %temp% Ordner, dadrin verstecken sich meist die Exen. Kannst du zum Beispiel von nem Linux aus mit der Konsole machen. Dann schau dir noch deinen Programmeordner gut an, ob sich da etwas hineininstalliert hat - das wird auch mit Linux gelöscht. Hast du, als du dir den Autostart angesehen hast, die verstecken SYSTEMDATEIEN eingeblendet? Also nicht nur die "Versteckten Dateien" anzeigen, sondern auch "Systemdateien". Kann sein, dass sich der Virus so versteckt... so macht das zum Beispiel der Keylogger (von mir), der bei meiner Informatiklehrerin aufm Rechner läuft. ^^

Nachtrag: Schau dir außerdem mal C:\ an. Auf dieser Ebene können sich auch Skripte verstecken. Wenn eine Datei sichbar sein sollte, kannst du sie bedingungslos löschen. Bei den Systemdateien sind aber die Bootscripte von Windows dabei, da musste gut aufpassen. ;)
Mit freundlichem Gruß
CeDo
Discord: #6996 | Skype: cedomain

Zitat von »BlueCobold die Forumpolizei«

Lass solche persönlichen Angriffe lieber bleiben, meine sind härter.

Dank des Fold-Tag ist dieser Post ...

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »CeDoMain« (27.02.2016, 01:12)

Swoerm

Alter Hase

  • »Swoerm« ist der Autor dieses Themas

Beiträge: 451

Wohnort: 127.0.0.1

  • Private Nachricht senden

8

27.02.2016, 08:44

Ich habe soeben durch den Tipp mit den versteckten Systemdateien das Programm, welches immer noch auf meinem Rechner läuft ausfindig gemacht. Neben den zwei -exe Dateien liegen im selben Ordner auch zwei gleichnamige -au3 Dateien, welche anscheinend den Script-Code enthalten. Ich habe eines der Scripts im Anhang angefügt, da ich gerne wissen würde was dieses Ding eigentlich gerade macht und ich nicht ganz schlau daraus werde.

Mein Problem momentan ist noch, dass ich die -exe nicht löschen kann, da Windows rummeckert es sei ein laufender Prozess. Gibt es da einen Trick wie ich das laufende Programm trotzdem löschen kann?

Auf jeden Fall schon mal vielen Dank für eure Antworten!
»Swoerm« hat folgende Datei angehängt:

C-/C++-Quelltext

 
1
2

    /* Keep the compiler happy */
    return(0);

Checkmateing

Community-Fossil

Beiträge: 2 218

  • Private Nachricht senden

9

27.02.2016, 09:39

Zitat von »CeDoMain«

so macht das zum Beispiel der Keylogger (von mir), der bei meiner Informatiklehrerin aufm Rechner läuft.

Weiß die das denn? Ansonsten solltest du das Teil restlos entfernen.

MfG
Check
Das gibt Übersicht! Stay gold.

Roflo

Alter Hase

Beiträge: 955

  • Private Nachricht senden

10

27.02.2016, 09:47

Entweder du holst dir von einem freund eine livecd oder du verhinderst die ausführung des programms. Hat der prozess immer den gleichen namen? Du kannst zb. mal nach 'image file execution options' in der registry googeln und die Ausführung verhindern.

Werbeanzeige

Ähnliche Themen