TR/Madtol.A.2 so heißt mein neuer trojaner, erversteckt sich in der datei "explorer.dll" antivir kann ihn nicht löschen und ich auch nicht! google und yahoo liefern mir auch keine treffer, irgendwelche lösungsvorschläge?
danke

hab mir diesen trojaner scanner geholt! scheint ihn gekillt zu haben! da waren gleich noch 8 weitere, die antivir übersehen hatte!

Jo, wer sich für die Vorgeschichte interessiert - Ants war mal der beste Freeware-Trojanerscanner am Markt doch die Entwicklung wurde vor geraumer Zeit eingestellt. a squared ist jetzt das Nachfolgeprodukt vom selben Programmierer. Nach anfänglichen Schwierigkeiten scheint das Programm so langsam wieder zu den Geheimtipps zu gehören.

hyrican

Zitat:

Zitat von hyrican

Jo, wer sich für die Vorgeschichte interessiert - Ants war mal der beste Freeware-Trojanerscanner am Markt doch die Entwicklung wurde vor geraumer Zeit eingestellt. a squared ist jetzt das Nachfolgeprodukt vom selben Programmierer. Nach anfänglichen Schwierigkeiten scheint das Programm so langsam wieder zu den Geheimtipps zu gehören.

hyrican

Sollte man das Programm denn neben Antivir installieren oder vertragen sich die beiden Programme nicht?

Viele Grüße

Also die Freewareversion läuft ja nicht permanent im Hintergrund deshalb sehe ich kein Problem. Allerdings wird empfohlen beim scannen sein Antivirusprogramm zu deaktivieren weil die Möglichkeit besteht das sich die Programme ins Gehege kommen. Kann natürlich auch sein das es keine Probleme gibt, schau dich dazu besser mal im dortigen Forum um.

hyrican

also ich hab sie parallel laufen lassen, gab keine komplikationen. abgesehen davon, dass der trojaner wieder da zu sein scheint!

Wie heißt der Trojaner bei asquared? Mach mal nen Onlinescan( http://www.heise.de/security/dienste...us/links.shtml ) bei TrendMicro und prüf die Datei auch mal mit Kaspersky. Wenn die andere Namen des Trojaners bringen google mal danach oder poste hier.
Kontrolliere auch mal den Autostart und die laufenden Prozesse nach verdächtigen Einträgen. Vielleicht bringt auch HiJackThis( http://www.majorgeeks.com/download.php?det=3155 ) hilfreiche Infos.

hyrican

also trendmicro benennt ihn mit "troj madtol.a" unter dem namen hab ich auch was gefunden unter: http://www.sophos.com/virusinfo/anal...ojmadtola.html ist aber leider auf englisch und meine englisch und computer kenntnisse sind nicht groß genug, als das ich mich an die arbeit trauen würde!
hab ihn jetzt aber mit trendmicro schon mehrfach gelöscht bzw in quarantäne und a² hats auch noch mal gemacht. und jetzt mal schaun ob ich wieder ne meldung krieg!

aber trotzdem schon mal danke für die erbrachten infos und hilfen!

Schau mal in der Registry.
Start-ausführen-regedit
Such den HKEY_LOCAL_MACHINE Eintrag:

HKLM\Software\Microsoft\Windows\Currentversion\
Run\ <Trojan filename> = <SYSTEM>\<Trojan filename>

und lösche ihn wenn er existiert.
Soweit die Übersetzung der Removalanleitung, den Rest macht ja dein Antivirenproggi. Laut Sophos kommt der Madtool auch nicht allein, du solltest also in jedem Fall mit allen möglichen Proggies nochmal scannen.

hyrican

in der registry war nix mehr!
a² und trendmicro ham nix mehr gefunden
aber n online scan mit panda hat folgendes ergeben:

Ereignis / Zustand / Standort

Bck/Ratsou.A / Nicht desinfiziert / C:\WINDOWS\system32\rootkit-ice-packed.exe
Bck/Ratsou.A / Nicht desinfiziert / C:\WINDOWS\system32\explorer.dll
Bck/Ratsou.A / Nicht desinfiziert / C:\Dokumente und Einstellungen\Gott\Lokale Einstellungen\Temp\rootkit-ice-packed.exe

warum zeigt er die an wenn die nicht infiziert sind? und er fragt (wahrscheinlich deshalb?) auch nicht ob ich das entfernen will!
in der registry so wie oben von dir beschrieben find ich aber den ersten eintrag zumindest die rootkit-icepacked.exe! soll ich den entfernen oder is das was wichtiges?

Ratsou.A scheint ein Wurm zu sein der mit Madtol zusammen gekommen ist. Die 3 Dateien und den Registryeintrag kannst du löschen, zur Sicherheit mal vorher ein Registrybackup machen und wenn es keine Probleme hinterher gibt das Backup löschen. Neustart nicht vergessen und auch die Systemwiederherstellung hinterher mal abschalten, neu booten und wieder einschalten. Damit werden alte Wiederherstellungspunkte gelöscht und somit auch die infizierte Konfiguration.
Ich kenne die Arbeitsweise der Virenscanner nicht, weiß nicht wie sie mit Dateien umgehen aus denen sie nen Virus entfernt haben, halte es für möglich das der Ratsou für deinen Scanner immer noch "undetectable" ist weil Madtol laut Beschreibung so etwas bewirkt. Zur Sicherheit kannst du ja die infizierte Datei nochmal mit KAV prüfen.

hyrican

VIELEN DANK!!
endlich scheint mein problem gelöst! nach neustart das erste mal seit dem 18. 12. 03 keine virus warnung und auch die dateien sind nicht mehr zu finden! jetzt hoffe ich nur, dass das so bleibt! werde im lauf des tages allerdings noch den einen oder andern virenscanner laufen lassen!