Trojaner???

[Micha91]

Hey,

habe mir beim letzten surfen wohl nen Trojaner eingefangen. Obwohl mein Virusprogramm gleich beim Öffnen der Seite ne Meldung rausgab und ich auf blockieren gegangen bin, landete er auf meinem Rechner. Habe dann nen Scan durchlaufen lassen und ihn entfernt.
Komisch war nur, das er sich im Verzeichnis "C:\...Dokumente und...\...\Lokale Einstellungen\Temporary Internet Files\Content.IE5\DMC8N4EP" befand. Ich hatte aber im Explorer unter "Temporary Internet Files" keine Dateien geschweige denn Ordner. (Ordneransicht war alles an)
Naja, bin nu heute mal unter Dienste gegangen und finde nen Eintrag "tdpaeynis". Der war vorher nicht da, ist mir jedenfalls nicht aufgefallen. Der Dienst war auf manuell gestanden, unter Eigenschaften ist kein Pfad vorhanden. Bekomme ihn daher auch nicht deaktiviert, auch nicht in der Registry gelöscht.
Glaube nu, das es mit dem Virus zusammenhängt. Kann mir jemand helfen???

weitere Daten:

Win XP SP2
vorm PC hängt nen Router
Sygate Personal Firewall 5.5 Platinum
GDate AntiVirenKit 2005

Virus: Trojan.Win32.StartPage.fg (Datei: fav[1].exe)

[EoN]

Die Ordner Content.IE5\XXXXXXXX bekommst du normalerweise wenn du als der User eingeloggt bist nicht zu gesicht. Diese maskiert Windows und stellt nur die Dateien direkt im TempINet Files Ordner dar.
Wenn du dich als anderer User einloggst und dann in den Ordner schaust, müssten dort ein paar solche Ordner sein.

Lass doch mal a² drüberlaufen. Die kennen so ziemlich viele Trojans. Google hat mich z.B. bei dem Namen auch auf deren ihre Seite geleitet.

Den Dienst "tdpaeynis" habe ich in der Computerverwaltung/Dienste nicht finden können. Allerdings hat mir Google auch keinen Hit ausgegeben. Die einzige Möglichkeit die ich mir denken könnte, wäre, dass ein Trojan den Dienst mit einer zufälligen Zeichenfolge benannt hat, um unerkannt zu bleiben. Dies ist aber nur eine Hypothese, für die ich keine Beweise habe!

[Micha91]

Hey Eon,

danke erstmal für deine schnelle Reaktion.
Habe mal das Programm a² durchlaufen lassen, ohne Ergebnis. Muß dazu sagen, das bei mir im Hintergrund der Ewido-Wächter läuft.
Der Dienst steht auf manuell, also wird nicht automatisch gestartet. Mittlerweile ist er aus der Liste raus, nur in der Registry finde ich noch Einträge die ich nicht löschen kann.

mfg
micha

[EoN]

Nachdem der Trojan in der Mailwareliste von a² gelistet ist, geh ich mal dann davon aus, dass er nicht mehr auf dem System vorhanden ist.
Der Registryschlüssel kann ja ohne zugehöriges Programm keinen großen Schaden anrichten.

Von dem her würde ich mal sagen, dass der Trojan dann vom System schon entfernt sein müsste.

Du kannst aber mal probieren dein System im abgesicherten Modus zu starten und den Schlüssel versuchen da zu löschen.

Sollte der Schlüssel da immer noch nicht weggehen und dir ein Dorn im Auge sein, hilft wohl nur nen format c: mit Neuinstallation.

[Ronald]

Zitat:

Zitat von EoN

Sollte der Schlüssel da immer noch nicht weggehen und dir ein Dorn im Auge sein, hilft wohl nur nen format c: mit Neuinstallation.

Autsch. Nein! Als Administrator anmelden, regedit.exe aufrufen, auf den Schlüssel gehen, rechte Maustaste / Berechtigungen, den Administrator auswählen: [x] Vollzugriff. Dann den Schlüssel löschen (allerdings solltest Du ihn vorher exportieren (also in eine .reg-Datei sichern), um die Änderung ggf. wieder Rückgängig machen zu können - dazu mit rechter Maustaste auf den Schlüssel gehen, Exportieren, ...).

Bye, Ronald

[Micha91]

Hey,

danke für den Tip. Hab die Einträge jetzt vollständig löschen können, brauchte mich aber nicht extra als Administrator anmelden. Ich konnte unter "Jeder" den Vollzugriff aktivieren und dann löschen.
System funktioniert, danke an euch...

mfg
micha