Computerhilfen.de Logo
Forum
Tipps
News

Trojaner lässt sich nicht löschen

Ich habe mir leider einen Trojaner eingefangen, es sind zwei Dateien in dem Temp-Ordner.
1. tmp5.tmp, Avira Antiviren Software definiert ihn als TR/AutoR.NMY.7470.1
2. tmp6.tmp, => TR/Patched.CK.56

Ich denke ich habe sie im Griff, da sie immer von der Antivirensoftware geblockt werden, aber ich kann sie nicht löschen, auch nicht mit Unlocker.
Unter dem Punkt "Umbenennen" werden sie in eine .VIR-Datei umgewandelt, aber bleiben trotzdem.
tmp5.tmp ist 8kb groß, tmp6.tmp 662kb
Was gibt es noch für Alternativen?



Antworten zu Trojaner lässt sich nicht löschen:

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

am besten :
Daten retten ,System Formatieren & Neuinstallieren!!

Sons ...
zuerst : ggf auch im abges. Modus !!
Plattenbereinigung machen zum löschen aller temporären Dateien
Zubehör .....oder :
Arbplatz , Rechtsklick auf die Platte , Eigenschaften ,Bereinigen

Virenscan unbedingt immer im abgesicherten Modus machen  !
Denn im Normalmodus sind etliche Dateien gesperrt .

Ausserdem verstecken sich welche ggf in der Systemwiederherst.
Vor dem Scan dort unter SYSTEM die Systemwiederherstellumg AUS ,
(vorsicht, alle Punkte sind dann weg)
-------------
Viren-Vollscan machen mit  MalwareBytes  , vorherUpdate anklicken ...
http://www.trojaner-board.de/51187-anleitung-malwarebytes-anti-malware.html

http://www.zdnet.de/windows_verschluesseln_und_sichern_malwarebytes__anti_malware_download-39002345-88313-1.htm
-------------
Systemwiederherst. wenn OK = wieder AN
Normalstart und Systemwiederherstellungspunkt setzen .
  

« Letzte Änderung: 12.11.08, 16:58:23 von HCK »

So, ich denke die Dateien lassen sich nicht löschen weil, sobald ich sie anklicke, Avira Antivir die Virusmeldung öffnet. Dadurch werden die Dateien von anderen Prozessen beansprucht. Wie gesagt, Unlocker funktioniert nicht, und auch mit MalwareBytes konnte ich die tmp und vir Dateien nicht löschen.

Aus dem Temp-Verzeichniss habe ich es jetzt geschafft zu entfernen, dafür sitzen jetzt 2 neue Dateien ark8.tmp und ark9.tmp direkt bei c:\ 

Also, abgesicherter Modus, keine Schädlinge entdeckt. Aus C:\ sind sie jetzt auch verschwunden, dafür sind sie jetzt wieder im Temp-Verzeichniss.
 ??? ??? ???

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Dann hast Du NICHT nach der obigen Vorgabe gehandelt .

Daten sind gerettet. Möchte aber wenn möglich nicht formatieren. Plattenbereinigung ist gemacht, Temporäre Dateien angeblich gelöscht. Malwarebytes installiert, hat die tmp Dateien aber nicht entdeckt, vll auch weil Avira Sicherheitsmeldungen während dem Scan öffnete.Systemwiederherstellung vor dem abgesicherten Modus deaktiviert.

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button
öchte aber wenn möglich nicht formatieren
Dann das nächste mal vorsichtiger sein oder besser darauf vorbereiten (Daten Auslagerung auf andere Partition, Imagetechnik)

Schädlingsbefall = Neuinstallation, auch wenn es Weh tut

Also, es ist nicht so als ob ich nicht vorsichtig gewesen wäre. Ich denke die Schädlinge kommen von einer Website, die im Hintergrund aufgerufen wurde. Das Problem ist nur, dass ich die tmp Dateien eben nicht löschen kann.

hallo,

sobald schädlinge eingriff im system vorgenommen haben muss formatiert werden.

...nebenbei: wo ist dein Malwarebytes Report ? poste den mal hier rein.

mfg Zidane

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Ich glaube nicht  , dass Du die Syst-Wiederhers. AUS hattest beim Scan im abges. Modus !!

Kauf dir mal das Buch.  ;D;D;D

LG  Burgeule 

So. Systemwiederherstellung vor dem abgesicherten Modus deaktiviert. Abgesicherter Modus, tmp-Dateien gelöscht. Dann die Registry bereinigt,und mit Malwarebytes das System überprüft. Das hat dann das hier befördert ;)


Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System (Rootkit.DNSChanger.H) -> Data: kddqa.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{16d7bb36-7f59-40c5-b785-1784cb3df0de}\DhcpNameServer (Trojan.DNSChanger) -> Data: xx.xxx.xxx.xxx;xx.xxx.xxx.x -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{16d7bb36-7f59-40c5-b785-1784cb3df0de}\NameServer (Trojan.DNSChanger) -> Data: xx.xxx.xxx.xxx;xx.xxx.xxx.xxx -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{f650d841-e4bc-4807-95d6-8a8a9d18bc50}\DhcpNameServer (Trojan.DNSChanger) -> Data: xx.xxx.xxx.xxx;xx.xxx.xxx.xxx -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{f650d841-e4bc-4807-95d6-8a8a9d18bc50}\NameServer (Trojan.DNSChanger) -> Data: xx.xxx.xxx.xxx;xx.xxx.xxx.xx -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{16d7bb36-7f59-40c5-b785-1784cb3df0de}\DhcpNameServer (Trojan.DNSChanger) -> Data: xx.xxx.xxx.xxx;xx.xxx.xxx.xx -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{16d7bb36-7f59-40c5-b785-1784cb3df0de}\NameServer (Trojan.DNSChanger) -> Data: xx.xxx.xxx.xxx;xx.xxx.xxx.xxx -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{f650d841-e4bc-4807-95d6-8a8a9d18bc50}\DhcpNameServer (Trojan.DNSChanger) -> Data: xx.xxx.xxx.xxx;xx.xxx.xxx.xxx -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{f650d841-e4bc-4807-95d6-8a8a9d18bc50}\NameServer (Trojan.DNSChanger) -> Data: xx.xxx.xxx.xxx;xx.xxx.xxx.xxx -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{16d7bb36-7f59-40c5-b785-1784cb3df0de}\DhcpNameServer (Trojan.DNSChanger) -> Data: xx.xxx.xxx.xxx;xx.xxx.xxx.xxx -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{16d7bb36-7f59-40c5-b785-1784cb3df0de}\NameServer (Trojan.DNSChanger) -> Data: xx.xxx.xxx.xxx;xx.xxx.xxx.xxx -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{f650d841-e4bc-4807-95d6-8a8a9d18bc50}\DhcpNameServer (Trojan.DNSChanger) -> Data: xx.xxx.xxx.xxx;xx.xxx.xxx.xxx -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{f650d841-e4bc-4807-95d6-8a8a9d18bc50}\NameServer (Trojan.DNSChanger) -> Data: xx.xxx.xxx.xxx;xx.xxx.xxx.xxx -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\resycled (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\system32\kddqa.exe (Rootkit.DNSChanger.H) -> Delete on reboot.
C:\resycled\boot.com (Trojan.DNSChanger) -> Quarantined and deleted successfully.


Soweit ja alles scheinbar in Ordnung,
Vollständige Systemüberprüfung mit Antivir gemacht, nichts mehr gefunden. Das Problem ist: Wenn ich jetzt über den Arbeitsplatz auf C:\ zugreifen will, kommt die Fehlermeldung
 
"resycles\boot.com" konnte nicht gefunden werden.Stellen sie sicher, dass sie den Namen korrekt eingegeben haben und wiederholfen sie den Vorgang...
Also, die fröhlichen TmpDateien bin ich hofentlich los, wirs sich morgen zeigen. Danke auch an den wertvollen Beitrag von Burgeule.

hallo,

platte gründlich formatieren & system neu-aufsetzten da eingrife im system vorgenommen wurden.
oder falls vorhanden sauberen image zurückspielen.

mfg Zidane   

@Lutze:
Du Bist eindeutig merkbefreit.Das system muß formatieret werden,alles andere ist käse und sinnfreies herumdocktorn.
Aber scheinbar gehörst Du zu den leuten,die lieber einem hersteller irgendeines werkzeugs glauben,als denen,die jeden tag solche "leckeren" berichte sehen.

Dein system ist verseucht,was die schädlinge angerichtet haben,weist Du nicht und Dein wissen reicht IMHO nicht aus,das festzustellen.Welche folgen deine Ignoranz hat,weis du ja,Du mußt für die folgen haften,sonst keiner.


« Hab sohn komisches programm runtergeladen Ungewollte Internet-Seiten »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!