wie kann ich einen trojaner aus dem winverzeichniss löschen?

bei einem scan mit NortonAntiVirus hat sich gezeigt das die datein nssx.exe mit TrojanHorse und die dateien PATCH.exe bzw. KeyHook.exe mit dem Netbus.160.W95.trojan infiziert sind.
NortonAntiVirus konnte die dateien weder reparieren noch löschen "da windows sie verwendet"..manuell konnte ich sie auch nicht löschen obwohl sie nicht schreibgeschütz sind.
nun frag ich mich was ich da am besten mache?
löschen und ersetzen aber wie?

greetz AIM

Format C:

Seth

gibts keine andere lösung....

greetz AIM

Probiers mal mit nem anderen Anti-Viren-Programm.

Oder: starte den Rechner mit einer sauberen Startdiskette im DOS-Modus (besser noch mit einer echten DOS Startdisk) und lösche die Dateien per Hand.

Kallisto

Also dess Problem hat ich auch mal, und hab die infizierten Dateien aus dem Dosmodus per Hand gelösch, aber manche tragen sich noch in die Registry ein, und zwar unter
"\HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURENTVERSION\RUN. Allerdings können die Dateinamen variieren (patch.exe, sysedit.exe oder explore.exe und windll.exe sind einige bekannte Namen die Du dort auch löschen solltest. Ich hab hier auch noch ne Adresse wo Du mal nachschauen kannst, hab eigentlich ne andere gemeint aber die giebts nimmer, schau einfach mal dort :http://www1.inetservice.de/MP3915/netbus/mainpage/nb_loswerden.htm

------------------
Big greetz

((-:M@st€r-TOM)

thx...werds probieren

greetz AIM

Hi !
Das Problem ist, das der Virus
gerade läuft und du ihn nicht so
einfach beenden kannst. Deswegen
hast du keinen Schreibzugriff auf
diese Dateien.
Mit einem Programm wie dem Prozess-Viewer
von Microsoft könntest du den Task beenden
(einfacher natürlich ist dies, wenn die
Programme unter STRG+ALT+ENTF aufgeführt sind, was jedoch eher unwahrscheinlich ist).
Falls alles nichts hilft, (echten) DOS-Modus und dort die Dateien löschen (Registry anschließend durchsuchen nach den Programm-
namen).
cu Cyberdemon

Das Programm laüft als shell-funktion und ist damit im Taskmanager unsicht bar !
Du musst entweder alle verdechtigen Programme aus hklm/Software/Microsoft/Windows/CurrentVersion/run entfernen (entweder von Hand oder mit dem Konfigurationsmanager von Win98 (bei den Systeminformationen)

Gruß maxit

Haha! Man, schon mal von CCTASK gehört???

(Bitte keine Fragen was das ist oder wo man es findet )

Übrigens - DT3 is out - also ihr könnt gleich euere Antivirenprogramme abschreiben, sogar Norton AV


------------------
"Moga, no me marzi"
http://bmc.b3.nu
Our board:
http://talk.virtualave.net

Hi Stoye,

was meinst Du mit "DT3 is out"? Ein paar Infos wären nicht schlecht, bevor bei mir Panik ausbricht.

Kallisto

Jo also CCTASK iss ein Tool das alle momentan laufenden Anwendungen, DLL´s etc. auflistet, und es besteht auch die möglichkeit diese für immer zu beenden bzw. zu löschen. Wer das Tool benötigt, der findet es dort: http://www.geocities.com/SiliconValley/Way/5768/w95util.html



------------------
Big greetz

((-:M@st€r-TOM)

Hi
AIM
Starte deinen Rechner mit F8 in den Abgesicherten Modus und dan Lösche deine
dateien es geht

oder instaliere AVP - Vieren Scaner von http://watchersoft.megapage.de / der entfernt dir die T-Pferde

Cu
Sky

Hi Leute,

also den guten alten Netbus werdet ihr so loß indem ihr erstmal einen guten Virenscanner drüberlaufen läßt. Dann habt ihr ja die infizierten Dateinamen. Nun geht in die Registry und sucht Einträge die auf diese Dateien verweist unter \HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURENTVERSION\RUN.
Dort werdet ihr das Hauptprog finden. z.B. Patch.exe oder Sys.exe auf alle Fälle löscht den Eintrag. Nach dem nächsten Booten seit ihr schon clean. Nun könnt ihr noch die Dateien löschen die euch der Virenscanner angezeigt hat, nicht daß ihr ausfersehen euch nochmal infiziert. Nun kann man sie auch in Windows löschen da sie nicht mehr in Benutzung sind.
Egal welches Trojanische Pferd ihr euch eingefangen habt es muß auf alle Fälle beim Windowsstart geladen werden und zwar ist das Möglich in folgenden Dateien/Registry
Arbeitsplatz\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RUN
Arbeitsplatz\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Arbeitsplatz\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RUN-
Arbeitsplatz\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Arbeitsplatz\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
Arbeitsplatz\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Arbeitsplatz\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
Danach müßt ihr noch die WIN.INI (unter RUN), SYSTEM.INI (LOAD) und die AUTOEXEC.BAT überprüfen um sicher zu sein daß ihr nicht infiziert seit. Wenn ihr einen verdächtigen Eintrag gefunden habt dann löscht ihn einfach mal. Wenn euer PC nicht mehr in Windows geht habt ihr wahrscheinlich etwas wichtiges erwischt, haut den Eintrag dann doch lieber wieder rein. ;-)
Ich muß erhlich sagen ich trau den Virenscannern nicht unbedingt. Die neuen Trojaner werden nicht von allen erkannt und so ist es doch besser ihr wißt was in der Registry und der Win.ini sowie System.ini drinsteht, oder?
Good Hunting

Habe es noch nicht getestet, aber soll Trojaner killn. http://www.homestead.com/moosoft/cleaner.html

vorab erst einmal danke für die vielen replys

hab die trojaner jetzt alle entfernt und zwar im dos-modus( atguard zeigt schön den pfad an und dann ists ja nicht mehr schwer).
ich hatt auch nicht so einen riesenstress dass mir jetzt jemand mein pw klaut oderso da ich die trojaner von meinem freund als geschenk von der letzen netztwersession habe aber es ist nicht so lustig wenn er sich mit meinem pc spielt wenn ich online bin.

THX+greetz AIM

Hello!
AIM halte uns bitte auf dem laufenden wie du
das T-Pferd hoffentlich entfernst!

Admin, kannst nich wieder IP-Anzeige anschalten? *g*

greets, StOniE

hmmmmm....