Zurück   klamm-Forum > klamm.de > Abuse & Kontakt zum Team

Antwort
 
LinkBack Themen-Optionen Ansicht
Alt 29.03.2007, 17:31:15   #46 (permalink)
abgemeldet

Reg: 02.05.2006
Beiträge: 9.117
Standard

Bei WIN 2000 einfach F8 drücken, ich habe es gemacht, jedoch ist die Datei die ich löschen muss im abgesichertem Modus nicht in dem Ordner auch nicht versteckt etc.

Gruß
Gremlin

Ps.: Den ganzen Kram wie man das entfernt könnte doch ein Mod mal ins Spyware Forum schieben?
 
27o8 ist offline   Mit Zitat antworten
Alt 29.03.2007, 17:55:11   #47 (permalink)
Erfahrener Benutzer

ID: 22092
Lose-Remote

Reg: 03.05.2006
Beiträge: 116
Standard

Ihr müßt erst in den abgesicherten Modus starten,dann Systemwiederherstellung deaktivieren und dann die Datei CFTM0N.exe löschen,und dann erst die anderen Dateien.

Die Datei CTFM0N.exe ist 2 x vorhanden,einmal klein geschrieben,das ist die richtige,und einmal groß geschrieben,und anstelle des o ist eine 0 das ist der Trojaner,sieht man auch am Erstellungsdatum.

Danach Rechner neu starten und Systemwiederherstellung wieder aktivieren,dann ist er entgültig weg.

Solange die Datei CTFM0N.exe da ist bekommt man den Trojaner nicht runter
 

Geändert von biancac (29.03.2007 um 19:21:11 Uhr)
biancac ist offline   Mit Zitat antworten
Alt 29.03.2007, 18:43:39   #48 (permalink)
Neuer Benutzer

ID: 88821
Lose-Remote

Reg: 29.03.2007
Beiträge: 6
Standard

Hier ich *hüpf* *hüpf* - bin auch betroffen!
habe heute früh diesen Thread schon gefunden, und während ich auf arbeit war, meinen rechner komplett durchscannen lassen:

Zitat:
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\E_4\eAPI.fne
[FUND] Enthält Signatur der Anwendung APPL/eAPI
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\E_4\krnln.fnr
[FUND] Enthält Signatur der Anwendung APPL/Epl.Dywt
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
hat jemand schon rausgefunden wie man die files los wird? (bin noch am durchlesen der einzelnen seiten - also verzeiht - wenn schon jemand rausgefunden hat wie.

Klamm ID= 88821

Greets FeedBagg

P.S.: klasse, dass man hier so gut aufpasst!
 
FeedBagg ist offline   Mit Zitat antworten
Alt 29.03.2007, 18:48:38   #49 (permalink)
back from H3ll
Benutzerbild von H3llh4mm3r

ID: 51455
Lose-Remote
Abwesend

H3llh4mm3r eine Nachricht über ICQ schicken
Reg: 21.04.2006
Beiträge: 3.817
Standard

habe dir ne PM geschickt mit den daten.
Bitte ebenfalls umgehend ändern die PW's .

MFG
Dies ist nicht irgendeine Signatur das ist meine - Du willst sie? Kein Thema ich bin käuflich!


Geändert von H3llh4mm3r (32.01.2008 um 26:24:14 Uhr).
H3llh4mm3r ist offline Threadstarter   Mit Zitat antworten
Alt 29.03.2007, 19:33:17   #50 (permalink)
abgemeldet

Reg: 02.05.2006
Beiträge: 9.117
Standard

Zitat:
Die Datei CTFM0N.exe ist 2 x vorhanden
Kannst du den Ordner sagen wo die vorkommt, weil ich hab Suche benutzt aber bei mir gibt es die Datei wohl nicht
 
27o8 ist offline   Mit Zitat antworten
Alt 29.03.2007, 19:42:59   #51 (permalink)
Erfahrener Benutzer

ID: 22092
Lose-Remote

Reg: 03.05.2006
Beiträge: 116
Standard

Die ist in System32
 
biancac ist offline   Mit Zitat antworten
Alt 29.03.2007, 19:58:16   #52 (permalink)
…?
Benutzerbild von Banane

ID: 161993
Lose-Remote

Reg: 20.04.2006
Beiträge: 1.129
Standard

Zitat:
Zitat von TeVator Beitrag anzeigen
Windows versucht, den abgesicherten modus zu laden, aber nach ein paar Sekundenn kommt ne Meldung:
"Press esc to cancel loading sptd.sys"
sptd.sys ist ein Bestandteil vom CD/DVD-Emulator Daemon Tools und/oder Alcohol 52% / 120%.
Bin mir aber nicht sicher, ob das Problem mit dem abgesicherten Modus damit zusammenhängt.
*SCNR*
Banane ist offline   Mit Zitat antworten
Alt 29.03.2007, 20:44:32   #53 (permalink)
abgemeldet

Reg: 02.05.2006
Beiträge: 9.117
Standard

Zitat:
Zitat von biancac Beitrag anzeigen
Die ist in System32
Hab sie gefunden, "CTFM0N.exe" in C:\WINNT\system32 jedoch lässt die sich nicht löschen, weil eine Zugriffsverletzung aufgetreten und die Datei möglicherweise geöffnet ist, in den Prozessen die laufen finde ich sie nicht... Sicherer Modus geht auch nicht zu löschen.

Wie bzw. womit hast du sie gelöscht?

Gruß
Gremlin
 
27o8 ist offline   Mit Zitat antworten
Alt 29.03.2007, 20:49:19   #54 (permalink)
Erfahrener Benutzer
Benutzerbild von AceTen

ID: 143928
Lose-Remote

Reg: 20.04.2006
Beiträge: 973
Ausrufezeichen

Vll mal als kleiner Tip am Rande..

Dieser Trojaner ist nicht nur ein reines "Klamm-Problem" sondern ein weit verbreitetes Programm das jegliche Information des Systems an 3. senden kann bis hin zur totale Übernahme des Systems durch Unbefugten.

Daher sollten nach einer erfolgreichen Bereinigung des Computers, nicht nur die Klammbezogene-Passwörter (Accountzugang, LosePw, ForenPw etc..) geändert werden sondern auch alle anderen Passwörter wie z.B. PayPal, Mailaccount, Onlinebanking-PIN´s und sonstige Passwörter die Online genutzt werden und eventuell durch den Trojaner ausgespäht wurden.

Beachtet auch folgende Hinweise zum Thema Passwort-sicherheit:
  • nie die gleichen Passwörter für unterschiedlichen Seiten / Dienste!
  • keine "einfache" Passwörter sondern so komplex wie möglich!
  • Passwörter nie in elektronischer Form auf dem PC speichern!
 
AceTen ist offline   Mit Zitat antworten
Alt 29.03.2007, 20:51:39   #55 (permalink)
Erfahrener Benutzer

ID: 22092
Lose-Remote

Reg: 03.05.2006
Beiträge: 116
Standard

Du mußt darauf achten das du die richtige löschst,nicht die kleingeschriebene sondern die großgeschriebene.
hast du die Systemwiederherstellung deaktiviert?und dann im sicheren Modus gestartet?

Bei mir konnte ich sie so problemlos löschen,und ist auch nicht wieder aufgetaucht.
Hab sie manuell gelöscht
 
biancac ist offline   Mit Zitat antworten
Alt 29.03.2007, 20:55:22   #56 (permalink)
abgemeldet

Reg: 02.05.2006
Beiträge: 9.117
Standard

Zitat:
Du mußt darauf achten das du die richtige löschst,nicht die kleingeschriebene sondern die großgeschriebene.
Bei mir gibt es die nur einmal und das ist eine großgeschriebene.

Zitat:
hast du die Systemwiederherstellung deaktiviert?
Unter Windows 2000 gibt es die nicht

Zitat:
und dann im sicheren Modus gestartet?
Das habe ich, aber da geht es auch nicht

Gruß
Gremlin
 
27o8 ist offline   Mit Zitat antworten
Alt 29.03.2007, 21:01:55   #57 (permalink)
Erfahrener Benutzer

ID: 22092
Lose-Remote

Reg: 03.05.2006
Beiträge: 116
Standard

Wenn du kein Office drauf hast,dann ist das der Trojaner,und dann mußt du sie raus löschen,denn die echte wird klein geschrieben.

Aber wie du ihn unter 2000 raus bekommst weiß ich nicht,ich habe XP,und da hat es so funktioniert wie ich es beschrieben habe.
 
biancac ist offline   Mit Zitat antworten
Alt 29.03.2007, 21:09:56   #58 (permalink)
Erfahrener Benutzer
Benutzerbild von AceTen

ID: 143928
Lose-Remote

Reg: 20.04.2006
Beiträge: 973
Standard

auch dran denken den Reg-schlüssel zu entfernen wenn er vorhanden ist:

Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor.


Bevor Sie die Registrierung verändern, sollten Sie ein Backup erstellen. Klicken Sie im Menü "Registrierung" auf "Registrierungsdatei exportieren", wählen Sie als Exportbereich "Alles" und speichern Sie Ihre Registrierung als Backup.


Suchen Sie unter HKEY_LOCAL_MACHINE den Eintrag:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
ctfmon
"<Windows-Ordner>\cftmon.exe"
Löschen Sie den Eintrag, sofern er existiert.
 
AceTen ist offline   Mit Zitat antworten
Alt 29.03.2007, 21:15:26   #59 (permalink)
www.ladys-talk.de

ID: 224796
Lose-Remote

susi2000 eine Nachricht über ICQ schicken
Reg: 20.04.2006
Beiträge: 677
Standard

vieleicht auchnochwichtig, sich mal eine firewall solange draufziehen
zonealarm zb.

bei mir war es bist jetzt auch immer so, das wenn ein virus versucht hat nach hause zu quatschen, das ich das mit zonealarm verhindern konnte.

bei manchen gibt es wohl probleme mit router und zonealarm, möchte nur sagen bei mir läuft das so seit ca 3 jahren gut zusammen
 
susi2000 ist offline   Mit Zitat antworten
Alt 29.03.2007, 21:27:52   #60 (permalink)
abgemeldet

Reg: 02.05.2006
Beiträge: 9.117
Standard

@biancac
Okay danke, Office hab ich nicht drauf also ist er des

@AceTen
Das hab ich nun getan, aber er löschen geht immer noch nicht

Gruß
Gremlin
 
27o8 ist offline   Mit Zitat antworten
Antwort

Gesponsorte Links

Anzeige


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks sind an
Pingbacks sind an
Refbacks sind an



Alle Zeitangaben in WEZ +1. Es ist jetzt 22:42:56 Uhr.