Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Verfolgung starten Optionen

Trojaner "GAYSEX IS GREAT" nix geht mehr!

PingOfDeath / 11 Antworten / Baumansicht Nickles

Hallo,

ich habe ein großes Problem! Bei mir ist anscheinend ein Trojaner auf der Festplatte der durch eine E-Mail aus Outlook Express gestartet wurde. "GAYSEX IS GREAT", auch hier schonmal besprochen : http://www.nickles.de/static_cache/537519718.html
scheint ja schon alt zu sein, aber ich habe noch ein weiteres Problem. Ich kann keine EXE-Dateien ausführen und so auch nix neues zum entfernen dieses Trojaners installieren!!!
Ich schreibe grad von meinem zweit-PC über den ich noch auf den infizierten PC zugreifen kann.
Ich weiss nicht wie ich das wieder hinbekommen soll, am besten Windoof neu installieren (ich habe ein Image von C mit allen wichtigen Progs.) aber dann ist mein Outlook-Ordner auch weg und ich brauche die E-Mails noch!!!
Gibts eine möglichkeit diese zu sichern?

Oder noch einen anderen Tipp wie ich wieder Programme starten kann und den ganzen Müll entfernen kann?

Noch ein Problem :
Wenn ich die E-Mails sichere und nach der Neuinstallation Outlook wieder starte wird da bestimmt wieder der Trojaner sein - kann man irgendwie die letzte E-Mail löschen oder irgendwie bestimmte Mails löschen?

Bitte helft mir!

Gruß, PingOfDeath

bei Antwort benachrichtigen
PingOfDeath Nachtrag zu: „Trojaner "GAYSEX IS GREAT" nix geht mehr!“
Optionen

Nachtrag:

EXE-Dateien lassen sich doch ausführen wenn ich z.B. ein Bild mit rechtsklick anklicke und "öffnen mit ..... PAINT" auswähle - dann gehts.

- AVG-Antivir findet leider nix
- mit MSCONFIG habe ich ein paar Dinge wie "ieexlplorer" und "nwitz.exe" entfernt - jetzt kommt zumindest kein Bildschirmschoner mehr und ich kann meine wichtigen Daten direkt an dem PC sichern (übers Netzwerk)

PingOfDeath

bei Antwort benachrichtigen
Teletom PingOfDeath „Trojaner "GAYSEX IS GREAT" nix geht mehr!“
Optionen

Hi,

Guckst Du beispielsweise mal hier: (sehr ausführlich sehr anschaulich)
http://www.pctip.ch/helpdesk/kummerkasten/archiv/viren/25534.asp

Unbedingt zu empfehlende Ergänzung meinerseits:
Ressourcenfressende Systemwiederherstellung NICHT wieder aktivieren und stattdessen EruNt einsetzen (Emergency Recovery Utility for NT).

http://home.t-online.de/home/lars.hederer/erunt/erunt.zip
downloaden und in ein Verzeichnis z.B. C:\Programme\Erunt extrahieren.
Im Explorer nach C:\Programme\Erunt wechseln und erunt.exe doppelt anklicken und somit starten - OK
Haken setzen bei Andere geöffnete Benutzerregistrierungen OK
Ordner ex. nicht C:\ERDNT Erstellen? Ja
Sicherung läuft Registry wird in C:\ERDNT gesichert.
Abgeschlossen OK

Falls Du wieder Probleme mit der Registry hast, z.B. ein Trojaner, brauchst Du das System nur möglichst im abgesicherten Modus zu starten, im Explorer nach C:\ERDNT zu wechseln und die ERDNT.EXE durch Doppelklick zu starten. Das System muss anschließend neu gestartet werden und nach dem Neustart hast Du wieder den alten sauberen Zustand der Registry zum Zeitpunkt der Erunt- Sicherung.

Gruß
Teletom

bei Antwort benachrichtigen
PingOfDeath Nachtrag zu: „Trojaner "GAYSEX IS GREAT" nix geht mehr!“
Optionen

Danke Teletom :)

Das Registry-Backup-Tool ist schonmal ein guter Tipp, werde ich machen sobald alles wieder ok ist!
Habe die Dateien die ich laut Anleitung löschen sollte glaub alle beseitigt bzw. aus dem Autostart rausgenommen, jetzt kommt kein GAY-Zeugs mehr ;-)

Es bestehen noch folgende Probleme :

1.) ALLE EXE-Dateien sind nur mit "öffnen mit ..... Word.exe/Nero.exe ... usw." ausführbar. Regedit geht nicht da hier der Trick "öffnen mit .... regedit.exe" nicht klappt!!! (MSCONFIG geht auch nicht mehr).

2.) Das Hintergrundbild kann ich nur über Bildbearbeitungsprogramme wechseln, da der eintrag "Desktop" fehlt und sowieso (wie ich grad bemerkt habe) rundll32.exe (EXE!!) auch nicht ladbar ist!!!

Toll wäre es wenn mir jemand eine REGISTRY-Datei (*.reg) schreiben könnte damit rundll32.exe und die anderen EXE-Dateien wieder gehen.
Ich hoffe mal das ich die *.reg mit "öffnen mit...." starten kann!!

Gruß, PingOfDeath

bei Antwort benachrichtigen
T-Rex PingOfDeath „Danke Teletom : Das Registry-Backup-Tool ist schonmal ein guter Tipp, werde ich...“
Optionen

Ich glaube, eine Neuinstallation geht deutlich schneller als eine Wurmgrube zu reparieren.

 GrüßeT-Rex 
bei Antwort benachrichtigen
Teletom T-Rex „Ich glaube, eine Neuinstallation geht deutlich schneller als eine Wurmgrube zu...“
Optionen

Das Argument von T-Rex (thx) ist KEINESFALLS von der Hand zu weisen.

Evtl. löst XP TweakUI von MS das Restproblem:
http://www.microsoft.com/downloads/details.aspx?FamilyID=afa135c8-8b63-4c03-8986-d7f45a6aa1fa&displaylang=en

TweakUI > Repair > Registry

Und denke bitte an EruNT besonders nach einer Neuinstallation, dann passieren auch nicht so viele Ping of Death ;<D

Gruß
Teletom

bei Antwort benachrichtigen
Olaf19 T-Rex „Ich glaube, eine Neuinstallation geht deutlich schneller als eine Wurmgrube zu...“
Optionen

Denk ich auch - und vor allem: Nach der Neu-Installation ein SystemImage erstellen, damit ein derartiger Aufwand in Zukunft nicht mehr betrieben werden muss. Selbst wenn es gelänge, die "Wurmgrube" zu reparieren - das System wäre nicht mehr vertrauenswürdig. Besser einmal von vorn beginnen und das saubere System als Image konservieren! Geeignet sind dafür Progs wie Norton Ghost, Drive Image, Acronis TrueImage - die üblichen Verdächtigen eben.

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
PingOfDeath Nachtrag zu: „Trojaner "GAYSEX IS GREAT" nix geht mehr!“
Optionen

Habe jetzt mein Image vom Oktober2003 aufgespielt, hat super geklappt. Meine Empfehlung für HDD-Images ist "HDcopy".

Befor ich das Image aufgespiel habe, habe ich die Outlook Daten mit diesem Programm gespichert :

http://www.priotecs.com/oebackup/oe-beschreibung.html

Hat auch alles sehr gut funktioniert.

Eigentlich alles nicht sooo schlimm gewesen, jetzt muss ich eben fast alle Programme neu installieren aber das wird in Zukunft hoffentlich EruNT verhindern :-)

Danke für Eure Hilfe.

PingOfDeath

bei Antwort benachrichtigen
Olaf19 PingOfDeath „... Festplatte mit Image überschrieben“
Optionen

Danke für deine Rückmeldung! Freut mich, dass alles wieder gut läuft.

"HDcopy" kenne ich nur dem Namen nach - kann man mit dem Programm nur komplette Festplatten wieder herstellen, oder auch einzelne Partitonen, z.B. die Systempartition allein? Wenn ja, dann würde ich das Programm auch mal ausprobieren, als Alternative zu Acronis TrueImage.

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
PingOfDeath Olaf19 „... Festplatte mit Image überschrieben“
Optionen

Hi Olaf19,

mit HDcopy kann man auch einzelne Paritionen sichern. Das Programm passt auf eine einzelne Diskette (ich habe kein Diskettenlaufwerk und lads von meiner Boot-CD).
Wenn man keinen "Freischalte-Code" besitzt kann man die Images aber nur eine bestimte Zeit lang wieder aufspielen (glaub 14Tage?)!
Ich habe mir das Programm mal von einem Freund abgekauft - hat sich auf jedenfall gelohnt ;-)

PS: Das man am Ende schreibt wies ausgegangen ist halte ich für normal, aber ich weiss das dass leider nicht jeder so sieht.

Gruß, PingOfDeath

bei Antwort benachrichtigen
Olaf19 PingOfDeath „... HDcopy auch Partitionen“
Optionen

Klingt interessant - das Progamm schaue ich mir demnächst mal an.

Auch Acronis TrueImage ist an und für sich keine Freeware. Es gibt auf PC-Zeitschriften regelmäßig eine kostenfreie "SE" (=Special Edition), die fast alle Features der Vollversion bietet, bzw. das was fehlt ist zu verschmerzen (z.B. Zugriff auf Netzlaufwerke, Bandsicherungen etc). Mir genügt diese Version, aber evtl. ist HDcopy genau so gut. Danke in jedem Fall für den Hinweis.

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
Teletom PingOfDeath „... Festplatte mit Image überschrieben“
Optionen

Mich freut speziell, dass Du Dir Gedanken gemacht hast, da ja beim Zurückspielen des HDCopy- Backups aktualisierte persönliche Daten durch die Backup-Daten ersetzt werden bzw. gänzlich verloren gehen.

Außer man benutzt persönliche Daten Sicherheitstools wie z.B. oebackup.

Tja, auch die HDCopy- und Imagefile- Methode ist nicht perfect.

Im Folgenden übertreibe ich mal bewußt etwas:

Als Mindest- Backup- Maßnahme EruNt einsetzen bewirkt, dass die Registry rücksicherbar ist, dadurch kann man Trojaner- und Hijacking- Registryprobleme elegant umgehen. Setzt natürlich voraus, dass man mindestens nach der Neuinstallation Erunt ausführt und dass man möglichst in unterschiedliche Verzeichnisse für jeden Monat ein Erunt- Backup anfertigt.

Die andere Sicherung befindet sich immer auf der Installations- CD. Falls eine EruNt- Rücksicherung - übrigens mit Erdnt.exe - nicht ausreicht, weil beispielsweise das System total zerschossen ist, kann man die bewährten persönlichen Datensicherungstools (wie z.B. oebackup) einsetzen und eine komplette Neuinstallation ausführen.
49 Minuten oder so für eine Grundinstallation sind zumutbar.

Gruß
Teletom

bei Antwort benachrichtigen