r.exe in C:

[ripperchris]

Ich glaub da hab ich mir ganz schön was eingefangen. Trotz AntiVir auf dem neuesten Stand un Firewall hab ich mir nen Trojaner eingefangen den ich nicht loswerde....
Nach dem Sophos Virenlexikon heisst der Trojaner Troj/Small-OY.
Und hier die Eklärung zum Trojaner:

Troj/Small-OY ist ein Trojaner für die Windows-Plattform.

Der Trojaner versucht, Dateien von einem remoten Speicherort herunterzuladen und zu starten. Die Dateinamen der von dem Trojaner benutzten Komponenten sind runsvc32.exe, spoolsrv32.exe und srpcsrv32.dll.

Die heruntergeladenen Dateien werden in C:\r.exe gespeichert.

Toll oder? Hab den Virenscan drüberlaufen lassen, nach Spyware gesucht usw.... Nix...

Und noch was Tolles... Das richtet sich ständig auf meinem Desktop ein:

WARNING!
YOU'RE IN DANGER!

ALL YOU DO WITH COMPUTER IS STORED FOREVER IN YOUR HARD DISK. WHEN YOU VISIT SITES, SEND EMAILS... ALL YOUR ACTIONS ARE LOGGED. AND IT IS IMPOSSIBLE TO REMOVE THEM WITH STANDARD TOOLS. YOUR DATA IS STILL AVAILABLE FOR FORENSICS. AND IN SOME CASES FOR YOUR BOSS, YOUR FRIENDS, YOUR WIFE, YOUR CHILDREN.

Every site you or somebody or even something, like spyware, opened in your browser, with all images, and all downloaded and maybe later removed movies or mp3 songs - ARE STILL THERE and could broke your life!

SECURE YOURSELF RIGHT NOW!
REMOVE ALL SPYWARE FROM YOUR PC!

Removal instructions

Ich kann die r.exe nicht löschen, und die Regestry-Einträge weiss ich net wie ich die behandeln soll. Deshalb frag ich euch ob ihr eine Ahnung habt was ich noch tun kann und/oder ob ihr mit dem Trojaner schon Ehrfahrung gemacht habt. Thx @ all

 

[SUID:root]

Hallo!

Du hast dir Spyware eingefangen.
Es gibt mehrere Möglichkeiten dies wieder loszuwerden.

Manuell (der schnelle Weg):

Öffne über Start-> ausführen-> msconfig und sie nach, welche Komponenten gestartet werden. Du hast gute Chancen, sie dort incl dem Reg-Key zu finden. Versuche sie zu deaktivieren.

Lösche alle Temp-Files und leere den Temporary-Internet-Ordner, trenne deine Inet-Verbindung.

Rechner danach im abgesicherten Modus neu starten.
Versuche die entsprechenden Tasks zu beenden, falls sie wieder laufen, vorher kannst du sie nicht löschen, da sie von Windows verwendet werden. Sieh in msconfig nach, ob sie immernoch deaktiviert sind oder sich neu eingetragen haben.

Deaktiviere jetzt auf jeden Fall die Systemwiederherstellung!

Wenn die Tasks nicht mehr laufen, lösche die Dateien in den Ordnern und Einträge in der Registry.

Starte dein System neu und sie nach, ob es clean ist.

Mach einen Scan mit Spybot o.Ä.

Automatisch:

- Versuche es mal mit Spybot Search and Destroy / Adware und mit dem Anti-Spyware-Tool von MS.

Wenn nichts klappt, gibt es hier den langen, manuellen Weg:

TUTORIAL: Spyware entfernen -So geht´s-

Wenn dann immernoch Fragen offen sind, poste bitte nochmal.

Achja. Wichtig: Nach erflogreicher Entfernung bitte Systemwiederherstellungn einschalten und einen neuen Punkt setzen.

Viele Grüsse

root

 

[Erde]

Hi

Öffne über Start-> ausführen-> msconfig und sie nach, welche Komponenten gestartet werden. Du hast gute Chancen, sie dort incl dem Reg-Key zu finden. Versuche sie zu deaktivieren.

Oder mit HijackThis.exe scannen und den Trojaner fixen.

Dann weiter siehe @SUID:root und ab da siehe Ziat unten in abgesicherten Modus;

Lösche alle Temp-Files und leere den Temporary-Internet-Ordner, trenne deine Inet-Verbindung.

Wobei ich noch Ratschlagen möchte das du C: => Windows => diesen Ordner Temp auch noch leeren solltest.
Die Erfahrung machte ich heute bei meinen anderen Rechnern da sich in diesen Ordner mehrere bösartige exen ( Trojaner ) befanden.

erde

 

[ripperchris]

Thx @ Root und Erde
Das Problem ist beseitigt. Wollte nur noch sagen das Spybot (neueste Version) und mein AntiVir (ebenfalls Up-To-Date) die Spyware/Trojaner nicht fanden. Und ich las im Internet das ich mir die r.exe nicht eingefangen hätte wenn ich SP2 installiert gehabt hätte? Stimmt das? Naja, jetzt ist der Spuk ja vorbei, hab aber trotzdem nicht vor SP2 zu installieren.