Supportnet Computer
Planet of Tech

Supportnet / Forum / WindowsXP

Trojaner, trotz Löschmeldung und Image auf FP,





Frage

Moin, hatte neulich -trotz Trojaner-, Wurrm- und Vierenschutz- den Trojaner Abwiz auf meinem PC. Norten meckerte ihn zwar an und bestätigte sogar seine Löschung. War aber nicht! Das Ding hat eine eigene E-Mail-Engine und versandte pausenlos E-Mails über meinen Rechner (20 bis 30 Aktionen pro Sek.). Also habe ich ein vier Wochen altes Festplattenimage über C: gelegt und dachte, ich wäre damit das Ding los. Auch dem war nicht so! Habe dann später mit Hilfe von Internetrecherche Einträge in der Registry und in "System32" löschen können und damit das Problem gelöst. Nun bzwei Fragen: > Wie kommt der Trojaner, trotz Löschmeldung, an allen Sicherheitseinrichtungen vorbei auf den PC? > Wie kann es angehen, das er sich nach einem sauberen Festplattenimage (auch der MBR wurde neu geschrieben) wiederum zeigte? Wo kann sich denn so´n Biest, am Image vorbei, einnisten? Wär schon nett, wenn mir das mal jemand erklären könnte. Danke und Gruß wis [*][quote][sup][i]Admininfo: Artikel editiert. Bitte beachte [url=https://supportnet.de/faqsthread/840][u]folgendes FAQ[/u][/url] für deine nächste Anfrage.[/i][/sup][/quote]

Antwort 1 von Flintstone

Hallo wis,
wie darf man
Zitat:
Also habe ich ein vier Wochen altes Festplattenimage über C: gelegt ...
jetzt konkret verstehen?
Der Rest ist ziemlich einfach erklärt. Per Run-Befehl in der Registry wird beim Hochfahren des Rechners ein kleines Programm gestartet, welches überprüft, ob das lästige Teil noch vorhanden ist. Wenn nicht, wird es neu installiert. Eine andere Variante ist eine zusätzliche, in der Registry hinterlegte ´Funktion´ des IE, die beim Aufruf die gleiche Prozedur ausführt. Die Virenscanner können das aber erst nach der Installation erkennen, den eigentlichen Übeltäter jedoch nicht ausfindig machen. Der versteckt sich ggf. nach jeder erfolgreichen Neuinstallation hinter einem neuen Namen.
Womit wir wieder bei meiner Eingangsfrage wären.
Gruß
Fred

Antwort 2 von wis

Hi Flintstone,

das mit dem Image ist folgendermaßen: Vor vier Wochen habe ich ein absolut sauberes Image von Festplatte C erstellt und auf einem anderen Laufwerk komprimiert abgelegt. Dieses Image habe ich nun wieder drübergelgt. Dabei werden alle bestehenden aktuellen Daten von C gelöscht und durch das Image ersetzt. Auch die Registry wird mit den Einträgen der Images-Registry überschrieben. Darum mein Erstaunen, dass der Trojaner wiederum aufmuckte.

wis

Ich möchte kostenlos eine Frage an die Mitglieder stellen:


Ähnliche Themen:


Suche in allen vorhandenen Beiträgen: