Hallo Leute,
ich habe mir einen Trojaner eingefangen mit dem Namen
Generic.dx!ja.
Wie kann ich diesen, und vor allem mit welchem Programm entfernen?
Kann es sein, daß dieser Bursche auch eine Startup.exe von einem Spiel blockiert, welches auf DVD ist, blockiert?
Vielen Dank für die Unterstützung.
fredl8 Scotty4 „Trojaner“
hi
Trojaner eingefangen mit dem Namen
Generic.dx!ja.
der name generic.dx ist nur ein Alias für den wurm w32/vanebot-m .
W32/Vanebot-M ist ein Wurm für die Windows-Plattform. W32/Vanebot-M enthält IRC-Backdoortrojaner-Funktionalität, so dass ein remoter Angreifer Zugriff auf und Steuerung über den Computer erhält.
W32/Vanebot-M verbreitet sich:
auf Computer, die für häufige Schwachstellen anfällig sind, darunter SRVSVC (MS06-040)
auf MSSQL-Server, die durch einfache Kennwörter geschützt werden
auf Netzwerkfreigaben
über MSN Messenger
über Yahoo Instant MessengerW32/Vanebot-M ist ein Wurm für die Windows-Plattform. W32/Vanebot-M enthält IRC-Backdoortrojaner-Funktionalität, so dass ein remoter Angreifer Zugriff auf und Steuerung über den Computer erhält.
W32/Vanebot-M verbreitet sich:
auf Computer, die für häufige Schwachstellen anfällig sind, darunter SRVSVC (MS06-040)
auf MSSQL-Server, die durch einfache Kennwörter geschützt werden
auf Netzwerkfreigaben
über MSN Messenger
über Yahoo Instant Messenger
W32/Vanebot-M verbreitet sich mitunter unter dem Dateinamen redworld.exe, redworld2.exe oder _redworld2.exe.
Wenn er zum ersten Mal ausgeführt wird, kopiert sich W32/Vanebot-M nach \dllcache\dragonage.exe.
Die Datei dragonage.exe wird als neuer Systemtreiber-Dienst namens "Dragon Age - Bioware", mit dem Anzeigenamen "Dragon Age - Bioware" und dem Starttyp "Automatisch" registriert, so dass er beim Systemstart automatisch ausgeführt wird. Registrierungseinträge werden erstellt unter:
HKLM\SYSTEM\CurrentControlSet\Services\Dragon Age - Bioware\
W32/Vanebot-M erstellt die folgenden Registrierungseinträge, wodurch der automatische Start anderer Software verhindert wird:
HKLM\SYSTEM\CurrentControlSet\Services\wuauserv
Start
4
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
Start
4
Hinweis: Wird der automatische Start für den Dienst SharedAccess verhindert, so wird die Microsoft Internet Connection Firewall (ICF) deaktiviert.
Die folgenden Registrierungseinträge werden erstellt:
HKLM\SOFTWARE\Microsoft\Ole
EnableDCOM
N
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
lmcompatibilitylevel
1
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous
1
Wie kann ich diesen, und vor allem mit welchem Programm entfernen?
am besten platt machen und neu installieren
mfg
trilliput fredl8 „hi der name generic.dx ist nur ein Alias für den wurm w32/vanebot-m ....“
Mal ehrlich, wenn du sowieso platt machen und neu installieren schreiben wolltest, wozu dann die Infos?
fredl8 Scotty4 „Trojaner“
trilliput fredl8 „ kann hier jeder schreiben...!! Mal ehrlich hättest du gewusst das der...“
Habe dieseFRAGESTELLUNG erneut ducrchgelesen, dann deine Antwort, und mir ist aufgefallen, dass diese so ziemlich alles sein kann, nur blos keine Antwort auf die gestellte Frage.
Oder habe ich in deine Statement was verpasst?
und vor allem mit welchem Programm entfernen
Und?
auch eine Startup.exe von einem Spiel blockiert
Autostart-Deaktiveirung und Blockieren des Aufrufs sind doch unterschiedliche Sachen.
Davon mal abgesehen, wenn schon bekannt ist, wo sich das Vieh breitmacht, kann man es auch händisch plätten. Process Explorer, Safe Mode und Co sind dein Freund und Helfer.
fredl8 trilliput „Habe diese erneut ducrchgelesen, dann deine Antwort, und mir ist aufgefallen,...“
beantworte Du zuerst mal meine frage,bevor Du eine erneute stellst !!
oder habe ich in dein Statement wo verpasst ?
trilliput fredl8 „beantworte Du zuerst mal meine frage,bevor Du eine erneute stellst !! oder habe...“
fredl8 trilliput „Dieser Beitrag ist gelöscht.“
na was bist den du für einer
kannste nur beleidigen oder ??
mehr haste nicht drauf
fredl8 trilliput „Dieser Beitrag ist gelöscht.“
pema1983 Scotty4 „Trojaner“
Hallo Scotty
ich habe mir einen Trojaner eingefangen mit dem Namen
Generic.dx!ja.
Welcher Scanner zeigt Dir das an? In welchem Pfad wird der Schädling gefunden? Schau mal im Scan-Report nach und poste das Ergebnis.
Nächste Frage:
Einen Schädling "fängt" man sich nicht ein, entweder man installiert sich diesen aktiv (z. B. huckepack mit einem Download aus entsprechender Quelle) oder inaktiv via Drive-by-Download. Hast Du was geladen oder installiert? Wenn ja, was und von welcher Seite?
Scotty4 Nachtrag zu: „Trojaner“
Hallo Pema,
ja wenn ich das wüsste, wie und wo runtergeladen. Aufmerksam geworden bin ich erst, als ich ein DVD-Spiel installieren wollte. Alles normal bis auf die Meldung Startup-Exe nicht gefunden. Wahrscheinlich habe ich div. Trojaner auf meinem Rechner gehabt, die ich durch div. Programme finden und löschen konnte.
Clam Win Antivirus, Mac Affee, A-Squared free, Scan Spyware.
Was mir auffällt ist, daß das Symbol in der untersten Leiste von Mac Affee nicht mehr angezeigt bekomme, der Scanner geht aber.
Ich benutze keine Messenger, nur Mailprogramme von Web.de und Yahoo.
PS: Bin am Montag mit meiner Kiste bei einem PC-Spezialist, der meint den Generic löschen zu können. Prüflauf soll eine Stunde betragen. Wenn kein Erfolg muß ich entweder das System mit allem drum und dran neu aufsetzen lassen oder mir einen neuen PC zulegen.
Das Neuaufsetzen veranschlagt der Spezialist mit ca. 3 Std. was ca. 200,-€ kosten würde.
Das ist alles zum Kotzen, denn gibt es überhaupt Programme die jedwede Schadsoftware wirksam verhindern können?
ScanSpyware 3.9 (Build 1.9)
===========================
Scan Log created at: March 09, 2010 [01:51:14 PM] (GMT+01:00)
Platform: Microsoft Windows XP Home Edition Service Pack 3 (5.1.2600)
MSIE: Internet Explorer 6.0.2900
Unique App Id: D7F11C4D-085F5521-D91F8094-475708D6
Last Updated: March 08, 2010 (03:17:11 PM)
Preferences
~~~~~~~~~~~
[X] Quick Scan
(Fast yet Powerfull)
[ ] Deep Scan
(Recommended)
[ ] Custom Scan
(Be Selective)
[ ] Remove threats automatically after every scan.
[X] Create a 'Restore Point' before removing threats.
[X] Always send found threats to quarantine.
[X] Create a log-file automatically after every scan.
[ ] Launch app at Windows startup
[ ] Start scan when app starts
[ ] Scan in silent mode
[ ] Close app after completing scan
Scan Summary
~~~~~~~~~~~~
Processes scanned: 31
Processes detected: 0
Cookies scanned: 6
Cookies detected: 0
Directories scanned: 10015
Directories detected: 3
Files scanned: 101355
Files detected: 4
Registry entries scanned: 166416
Registry entries detected: 4
Total objects scanned: 277823
Total objects detected: 11
Total objects removed: 0
Elapsed Time: 00:03:32
Scan Report
~~~~~~~~~~~
[Object Type : Directory]
-------------------------
C:\Programme\intexus - (Action to be taken : Quarantine) - belongs to "MainPean"
C:\Programme\intexus\backup - (Action to be taken : Quarantine) - belongs to "MainPean"
C:\Dokumente und Einstellungen\Jürgen\Lokale Einstellungen\Temp\NSXA.TMP - (Action to be taken : Quarantine) - belongs to "Starware"
[Object Type : File]
--------------------
C:\Programme\intexus\cont - (7f611c1f9df8b160dc79888b6b31d3ea) - (Action to be taken : Quarantine) - belongs to "MainPean"
C:\WINDOWS\DCEBoot.exe - (1a69e2188dac0e9233df53f20c48c592) - (Action to be taken : Quarantine) - belongs to "VIRTUMUNDO"
C:\Programme\intexus\icon.ico - (024fd221c9e42ba667a12c50ff0e13b3) - (Action to be taken : Quarantine) - belongs to "MainPean"
C:\Dokumente und Einstellungen\Jürgen\Lokale Einstellungen\Temp\sarscan.log - (5696b4f5ae0b84907401641bedc86dc1) - (Action to be taken : Quarantine) - belongs to "Kukudro.C"
[Object Type : Registry Key]
----------------------------
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_6TO4 - (Action to be taken : Quarantine) - belongs to "Agent.TM"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_6TO4 - (Action to be taken : Quarantine) - belongs to "Agent.TM"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_6TO4 - (Action to be taken : Quarantine) - belongs to "Agent.TM"
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{9971458F-29E5-772B-D55C-E681993738D1} - (Action to be taken : Quarantine) - belongs to "CWS"
------------------------- End Of File -------------------------
shrek3 Scotty4 „Hallo Pema, ja wenn ich das wüsste, wie und wo runtergeladen. Aufmerksam...“
fredl8 shrek3 „ Innerhalb von nur drei Stunden ist kaum mehr möglich als die Neuinstallation...“
@shrek3
*du hast post *
mfg
Scotty4 fredl8 „@shrek3 du hast post mfg“
Hallo shrek3,
das mit der Post habe ich leider nicht verstanden. Auch wenn ich google werde ich nicht schlauer.
Ist dies ein Test für meinen PC und wo kann ich das Programm runterladen?
Gruß scotty
shrek3 Scotty4 „Hallo shrek3, das mit der Post habe ich leider nicht verstanden. Auch wenn ich...“
Hallo Scotty,
Fredl meinte damit, dass er mir eine private Nachricht geschickt hat.
Der Inhalt dieser Nachricht stand nicht im Zusammenhang mit deinem Rechnerproblem - es ging da um andere Dinge.
Hast du dich mal nach einem günstigeren Dienstleister umgeschaut?
Gruß
Shrek3
pema1983 Scotty4 „Hallo Pema, ja wenn ich das wüsste, wie und wo runtergeladen. Aufmerksam...“
Hallo Scotty4
.....ja wenn ich das wüsste, wie und wo runtergeladen. Aufmerksam geworden bin ich erst, als ich ein DVD-Spiel installieren wollte. Alles normal bis auf die Meldung Startup-Exe nicht gefunden. Wahrscheinlich habe ich div. Trojaner auf meinem Rechner gehabt, die ich durch div. Programme finden und löschen konnte.
Dieses DVD-Spiel ist - nehme ich an - von Dir gekauft worden, oder hast Du es von einem Freund/Bekannten bekommen, und dieser wiederum hat es irgendwo runtergeladen? Bitte nicht falsch verstehen, das ist kein Mißtrauen von mir sondern ich versuche nur den möglichen Infizierungsweg festzustellen.
Sollte die DVD aus einer Tauschbörse im Internet stammen, ist die Wahrscheinlichkeit hoch, daß da ein Schädling mit dabei war. Herausfinden läßt sich das aber nur schwerlich im Nachhinein, wenn Du dieses machst:
"Wahrscheinlich habe ich div. Trojaner auf meinem Rechner gehabt, die ich durch div. Programme finden und löschen konnte".
Das ist das falsche Vorgehen. Wenn so ein Verdacht besteht, oder ein Fund angezeigt wird bitte nicht einfach löschen, sonst vernichtest Du Beweismittel.
Außerdem:
a) einen aktiv gewordenen Schädling kannst Du nicht durch Löschen von offensichtlichen Symptomen eliminieren, der sitzt i. d. R. so tief im System, daß andere Schädingskomponenten, die der AV-Scanner nicht zeigt, weiter aktiv sind, von daher: vergebliche Liebesmüh und
b) wenn der AV-Scanner sich geirrt hat und es nur ein FP = FalsePositive = Falschalarm ist, dann war die ganze Aufregung vergeblich. Hinzu kommt,daß Du die Datei, die angemeckert wurde, gelöscht hast. Möglicherweise war das eine wichtige Datei, die nur irrtümlich als Schädling klassifiziert wurde, von daher nicht löschen, sondern künftig höchstens in Quarantäne verschieben und Scan-Reporte sichern!
Das mit den 200 Euros ist echt dreist, da wird dem unwissenden User für nichts und wieder nichts Geld aus der Tasche gezogen, und der Rechner ist hinterher in keinem besseren Zustand als vorher.
Traust Du Dir Neuaufsetzen überhaupt nicht zu und kennst Du auch niemanden, der Dir hierbei behilflich sein könnte? Dann würde ich Dir entsprechende Links posten, denn es schadet nicht, sich da ranzuwagen, das ist kein Hexenwerk.
Und es gibt auch Möglichkeiten, Deine Daten zu sichern. Scheib noch mal und berichte, was Du weiter vorhast.
pema
fredl8 Scotty4 „Trojaner“
fredl8 Nachtrag zu: „ und sonst gehts dem spezialisten noch gut oder ?? selber machen,ist leichter...“
..
trilliput fredl8 „..“
Danke für den Troll, ich fühl' mich geehrt!
Aber welchen meiner Accounts willst du nun aufs Lebenszeit sperren?
Ansonsten: Ich schreib in den Foren nichts, was ich im RL auch nicht geschrieben hätte :) Nur dass man im Netz Postings löschen kann, wenn es einem nicht passt.
shrek3 trilliput „Danke für den Troll, ich fühl mich geehrt! Aber welchen meiner Accounts willst...“
So langsam reicht es, trilliput.
Es geht hier immer noch um das Anliegen eines anderen Users (Scotty4), und nur deshalb ist dieser Thread überhaupt noch offen.
Ich habe auch nicht im Geringsten Verständnis dafür, wie du durch deinen "Auftritt" hier dessen Thread kaputtmachst.
Gruß
Shrek3
@fredl8
Halte dich bitte zurück, auch wenn es dir schwer fällt.
Wie man an diesem Thread unschwer erkennen kann, verliert vor allem derjenige, der sich daneben benehmen kann... ;-)
trilliput shrek3 „So langsam reicht es, trilliput. Es geht hier immer noch um das Anliegen eines...“
Ja, ich lasse mich gerne provozieren, aber das bedeutet auch, dass es jemand tun muss (und auch tut).
fredl8 erlaubt sich auch, mir mir seinen Frage auf den Prüfstand zu stellen, auch wenn seine Fragen an mich nicht im geringsten mit der Problemlösung zu tun haben.
Ja, ich bin nach wie vor der Meinung, dass man bei jedem Möchte-gerne-Trojander eine Neuinstallation machen muss.
Und ich bereue auch kein Wort. Der fredl hat sein Statement ja bekommen.
Man, sind das zarte Gemüter hier.
Conqueror Scotty4 „Trojaner“
Trojaner haben die Angewohnheit sich seh gut zu tarnen.
Ich kann Dir auch nur empfehel den PC neu aufzusetzen. Alles andere ist verschwendete Zeit.
pema1983 Conqueror „Trojaner haben die Angewohnheit sich seh gut zu tarnen. Ich kann Dir auch nur...“
Ack, meine Rede. Aber vorher mit einer Ubuntu-Live-CD wichtige Daten sichern. Aber hierfür müßte sich Scotty nochmal melden.
Außerdem wäre es gut, wenn er einen 2. sauberen PC, einen funktionierenden Brenner und CD-Rohlinge hat.
Wiesner Scotty4 „Trojaner“
Anderer Lösungsvorschlag.
Geh zu deinem PC-Spezi kauf dir eine günstige Festplatte.
Steck die alte Festplatte ab.
Versuch dann in aller Ruhe dein Windows neu zu Installieren und so zu konfigurieren wie wie du es brauchst.
Steck aber die alte Festplatte erst an wenn du alle Updates und eine Aktuelle AV installiert hast.
Dann kannst du die Daten von der alten auf die neue Festplatte überspielen.
Bei der Installation und Konfiguration kann dir Google helfen, es gibt ganz gute Schritt für Schritt Anleitungen die du noch mit der alten Festplatte ausdrucken kannst.
zb.: http://www.google.at/search?hl=de&source=hp&q=xp+installieren+schritt+f%C3%BCr+schritt&meta=&aq=f&oq=
Die ganze Geschichte kommt billiger und selbst ist der Mann.
trilliput Wiesner „Anderer Lösungsvorschlag. Geh zu deinem PC-Spezi kauf dir eine günstige...“
Und wenn der Trojaner sich mit der Erkennung oder ersten Zugriffen der Platte initialisieren kann und dasn neuen System befällt, bevor der Antivirus dort tätig wird???
Scotty4 Nachtrag zu: „Trojaner“
Hallo Leute,
gestern war ich beim PC-Spezialist.
Es wurden nachfolgende Tests durchgeführt:
HW-Test mit Tool-Star
Scanner Gedata, Kasperski, Avira und Bitdefender.
Ergebnis: Kein Trojaner, kein Virus!
Jetzt bin ich aber baff, ja wo ist der Trojaner?
Kosten 50,-€
Gruß und vielen Dank an Alle die ihre Hilfe mir zukommen haben lassen.
Scotty
trilliput Scotty4 „Hallo Leute, gestern war ich beim PC-Spezialist. Es wurden nachfolgende Tests...“
Kommt drauf an, entweder wurden die Tests mit veralteten Signaturen gemacht (möchte man aber bei einem Fachman nicht hoffen) und die kennen den Trojaner noch nicht, oder aber mit brandaktuellen Signaturen und die kennen den "Trojaner" nicht mehr, weil es sich um ein (nun bekanntes und berücksichtigtes) False Positive (Fehlalarm) handelte...
Scotty4 trilliput „Kommt drauf an, entweder wurden die Tests mit veralteten Signaturen gemacht...“
Teil 2
Also auf meinem PC kein Trojaner mehr und die Empfehlung vom PC-Spezialist einen Virenscanner Kaspersky.
Nach Installation von Kaspersky, was übrigens problemlos gelang, div. Programme entfernt, die angemeckert wurden.
Dann Update und Scan gestartet. Alles i.o.
Dann gebootet und siehe da blauer Bildschirm, dann schwarzer Bildschirm (abgesicherter Modus). Windows ist nicht hochgelaufen.
Wieder zum Spezialist und wieder wurde gesucht und recherchiert.
Dann kam heraus, daß Kaspersky sich nicht mit meinem PC und den Programmen verträgt.
GData wurde installiert, zuvor Kaspersky gelöscht und alles war wieder so wie es sein soll.
Dann das Spiel installiert und wieder ging es nicht.
GData hat auf der DVD im LF D diesmal den Trojan.Generic.2015577 entdeckt und in Quarantäne geschickt.
Da offensichtlich die Startup Exe befallen ist, kann ich nicht mehr das Spiel installieren.
Frage:Gibt es eine Möglichkeit trotzdem das Spiel zu installieren?
Danke für die Tipps
pema1983 Scotty4 „Teil 2 Also auf meinem PC kein Trojaner mehr und die Empfehlung vom...“
pema1983 Scotty4 „Hallo Leute, gestern war ich beim PC-Spezialist. Es wurden nachfolgende Tests...“
Conqueror Scotty4 „Trojaner“
Behauptet welches Programm ?
Trojaner haben die Angewohnheit Links zu Antivirseiten abzublocken, Schau mal Deine Hostdatei an !
Scotty4 Conqueror „Behauptet welches Programm ? Trojaner haben die Angewohnheit Links zu...“
die Lösung meines Problemes war ganz einfach, denn dtp als Spielehersteller postet, dass unter allen Umständen der Virenscanner ausgeschaltet sein muß.
Es funktioniert also und das Spiel lässt sich von DVD installieren.
Die Meldung Trojan.Generic..... gefunden sei eine Fehlmeldung.
scotty
trilliput Scotty4 „die Lösung meines Problemes war ganz einfach, denn dtp als Spielehersteller...“
Generic-Meldungen sind in den allermeisten Fällen Fehlermeldungen.
Virenschreiber prüfen die Viren durchaus auf das heuristische Anschlagen und verbessern sie auch dahingehend. Erwischen tut es fast immer die harmlosen Programme, die zu viel wagen.
