Hallo zusammen,
habe vorhin mich selber durch einen "Fehlklick", mit einer Datei eines anderen infiziert von der ich weiß das es ein versteckter und gecrypteter Trojaner ist.
Jetzt ist mein Problem, dass ich die .exe nicht mehr von der Platte bekommen.
Ich weiß das er sich in C:\User\AppData\Roaming\tskmgr.exe befindet, sprich ich weiß wie erst heißt^^.
Habe schon alles versucht ihn zu löschen bekomms aber nicht hin
Würde mich über Hilfe freuen.
MFG CriMe!
Ergebnis 1 bis 10 von 16
-
12.05.2010, 16:22 #1Gesperrt
- Registriert seit
- 23.02.2010
- Beiträge
- 128
Bin infiziert ;D (bitte um Hilfe)
-
12.05.2010, 16:26 #2emo-destroyer.*
- Registriert seit
- 27.10.2008
- Beiträge
- 1.318
Wieso sniffst du auf deinem Hauptsystem ?
Wie wäre es, wenn du das System im abgesicherten Modus startest und die Schadsoftware manuell löschst ?
LG br00_pwn
-
12.05.2010, 16:29 #3Gesperrt
- Registriert seit
- 23.02.2010
- Beiträge
- 128
Okey ich versuchs mal, hättest du noch eine andere Idee ?
-
12.05.2010, 16:34 #4emo-destroyer.*
- Registriert seit
- 27.10.2008
- Beiträge
- 1.318
Als erstes solltest du versuchen den Prozess zu beenden, da laufende Prozesse nicht geändert oder gelöscht werden können. Dann löschen versuchen...wenn das nicht möglich ist, einfach im abgesicherten Modus starten (am besten ohne Netzwerk) dann sollte das Löschen funktionieren !
Probiere das mal, wenn es nicht klappt, einfach noch mal posten...
Solltest die exe vielleicht auch aus dem Autostart nehmen (regedit)
Lg br00_pwn
PS. Wenn du zufällig noch nebenbei Linux installiert hast, kannst du deine C Platte auch mounten und dort die Löschung vornehmen
Geändert von br00_pwn (12.05.2010 um 16:37 Uhr)
-
12.05.2010, 16:38 #5Gesperrt
- Registriert seit
- 23.02.2010
- Beiträge
- 128
Hier nochmal ein Bild von meinen Taskmanager:
Eehm.. ich hab schon versucht den Prozess zu beenden, er kommt aber immer wieder.
Meine msconfig hab ich auch schon gecheckt und hab den Eintrag rausgenommen.
Er erstellt aber nach einem Neustart immer wieder einen neuen Eintrag!Geändert von CriMe! (12.05.2010 um 16:43 Uhr)
-
12.05.2010, 16:39 #6W32.Klez
- Registriert seit
- 13.02.2010
- Beiträge
- 413
Bisschen klein meinste nicht?
Epic stuff is epic!
Zitat von Unbekannt (bzw unkenntlich gemacht)
-
12.05.2010, 16:44 #7emo-destroyer.*
- Registriert seit
- 27.10.2008
- Beiträge
- 1.318
Wie gesagt, lösche den Registry-Eintrag -> PC abgesicherter Modus starten -> exe löschen !
Probiere das doch bitte erst einmal...wenns nicht klappt, schauen wir weiter...
Ich weiss wie ein Prozess im Taskmanager aussieht, oder was wolltest du uns auf dem mega-großen Bild zeigen ?
LG br00_pwn
-
12.05.2010, 16:45 #8Gesperrt
- Registriert seit
- 23.02.2010
- Beiträge
- 128
@Ascor
Habs auch bemerkt und größer gemacht^^
Wie kann ich den Registry-Eintrag löschen? Sry für meine Unwissenheit^^
Achja die .exe kann ich auch nicht finden, sehe in welchem Ordner sie ist (Roaming) sie ist aber nicht zu finden!Geändert von CriMe! (12.05.2010 um 16:47 Uhr)
-
12.05.2010, 16:50 #9emo-destroyer.*
- Registriert seit
- 27.10.2008
- Beiträge
- 1.318
Start -> regedit eingeben -> dann öffnet sich die Registry -> da nach dem Eintrag schauen...
Löschen oder manipulieren
Vielleicht solltest du in deinen Windows Optionen "versteckte Dateien ausblenden" deaktivieren
LG br00_pwn
-
12.05.2010, 16:51 #10Master of Porn
- Registriert seit
- 28.05.2007
- Beiträge
- 533
Stell mal ein, dass du versteckte und -Systemdateien sehen kannst.
Dann solltest du sie sehen können. Ich an deiner Stelle hätte mein System formatiert.XMPP: sp1nny @ exploit.im
MAIL: sp1nny @ tuta.io
PGP:
Wir müssen wissen — wir werden wissen.
Zitieren
