Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Spyware

1 view
Skip to first unread message

bakip

unread,
Jan 15, 2008, 9:29:02 AM1/15/08
to
Hallo,

habe mir lt. Anzeige folgendes eingefangen: Dialer.Fast_Video_Player_Dialer
und Trojan-Downloader.Dadobra.CP und danach war neben der Uhr ein Iconschwert
- System Alert (blaues Fragezeichen ändert sich auf rotes Kreuz), wenn man
daraufklickt wird man zur Seite (www.virprotect.com) verbunden welche einem
eine Antispysoftware verkaufen möche.
Ist das etwas gefährliches und wie bekomme ich das Icon wieder weg - andere
Icons würde ich wegbekommen nur jenes nicht?

LG
Bakip

Stefan Zivkovic

unread,
Jan 15, 2008, 9:47:24 AM1/15/08
to
Hallo bakip,

welches Prog sagt Dir das? Warum kann das Prog den nicht selbst
entfernen?

Sophos sagt dazu folgendes:
Troj/Dadobra-CP ist ein Trojaner für die Windows-Plattform.
Troj/Dadobra-CP enthält Funktionalität für den Zugriff auf das
Internet und die
Kommunikation mit einem remoten Server via HTTP.
Wenn er erstmals gestartet wird, kopiert sich Troj/Dadobra-CP nach
<Windows>\csrss.exe.
Der folgende Registrierungseintrag wird erstellt, damit csrss.exe beim
Start ausgeführt wird:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
State Service
<Windows>\csrss.exe

Also sollte es reichen, wenn Du den Schlüssel in der Registry löscht,
neu startest und danach die Datei selbst löscht. Anschließend den PC
komplett von einem aktuellen Virenscanner prüfen lassen.

--
Stefan Zivkovic

Stefan Zivkovic

unread,
Jan 15, 2008, 10:00:23 AM1/15/08
to
Hallo Bakip,

Stefan Zivkovic wrote:
> Also sollte es reichen, wenn Du den Schlüssel in der Registry
löscht,
> neu startest und danach die Datei selbst löscht. Anschließend den PC
> komplett von einem aktuellen Virenscanner prüfen lassen.

Nachtrag:
Damit sich das Prog nach dem Löschen des Eintrags in der Registry
nicht selbst wieder dort eintragen kann, solltest Du csrss.exe vor dem
Löschen des Schlüssels per Taskmanager killen.

--
Stefan Zivkovic

bakip

unread,
Jan 15, 2008, 10:46:04 AM1/15/08
to
Hallo Stefan,

1. finde aber in meiner Registry nicht finden: Run State Service

2. csrss.exe liegt in: Windows\system32
braucht Windows xp diese Datei nicht?

3.ist folgendes schädlich: Dialer.Fast_Video_Player_Dialer

Gruß
Bakip

bakip

unread,
Jan 15, 2008, 12:31:09 PM1/15/08
to
Hallo Stefan,

auf meinem PC scheint folgender Pfad nicht auf, was soll ich tun:


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
State Service

LG
Bakip

Ruediger Lahl

unread,
Jan 15, 2008, 12:11:39 PM1/15/08
to
*bakip* schrieb:

> habe mir lt. Anzeige folgendes eingefangen: Dialer.Fast_Video_Player_Dialer
> und Trojan-Downloader.Dadobra.CP

Meinen Glückwunsch.

> Ist das etwas gefährliches

Das kommt darauf an, was das Viech noch so nachläd. Wenn du den Trojaner
jetzt entfernst, bleibt das vorhanden, was er dank DSL in Windeseile
heimlich herunter geladen hat.

Man kann unmöglich sagen was das ist, denn das entscheidet derjenige,
den der Trojaner kontaktiert. Mit einem Viren- oder Adware-Scanner hast
du somit auch keine Chance mehr wieder alleiniger Herr über deinen
Rechner zu werden.

Es gibt(auch laut M$) nur eine Medizin: Wichtige Daten sichern, Rechner
platt machen und Windows neu installieren. Während der Prozedur hast du
dann auch Zeit zu überdenken, was du alles falsch gemacht hast, damit es
soweit kam und was du zukünftig ändern willst, damit es nicht wieder
passiert. In der Regel holt man sich die Viecher nämlich höchstselbst
auf den PC.
--
bis denne

Christine Heinrich

unread,
Jan 15, 2008, 2:03:37 PM1/15/08
to
bakip schrieb am 15.01.2008:

> habe mir lt. Anzeige folgendes eingefangen: Dialer.Fast_Video_Player_Dialer
> und Trojan-Downloader.Dadobra.CP und danach war neben der Uhr ein Iconschwert
> - System Alert (blaues Fragezeichen ändert sich auf rotes Kreuz), wenn man

> daraufklickt wird man zur Seite (***.virprotect.com) verbunden welche einem
> eine Antispysoftware verkaufen möche.

=> Zlob
Einzige Möglichkeit das sicher loszuwerden ist eine Neuinstallation.

--
Gruß Christine

bakip

unread,
Jan 17, 2008, 12:44:00 AM1/17/08
to
Hallo Ruediger,

ist folgendes auch möglich:

Der folgende Registrierungseintrag wird erstellt, damit csrss.exe beim
Start ausgeführt wird:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
State Service

<Windows>\csrss.exe


Also sollte es reichen, wenn Du den Schlüssel in der Registry löscht,
neu startest und danach die Datei selbst löscht. Anschließend den PC
komplett von einem aktuellen Virenscanner prüfen lassen.

Damit sich das Prog nach dem Löschen des Eintrags in der Registry


nicht selbst wieder dort eintragen kann, solltest Du csrss.exe vor dem
Löschen des Schlüssels per Taskmanager killen.

LG Bakip

bakip

unread,
Jan 17, 2008, 12:46:01 AM1/17/08
to
Hallo Christine,

was bedeutet: => Zlob

Ist foglendes auch möglich:


Der folgende Registrierungseintrag wird erstellt, damit csrss.exe beim
Start ausgeführt wird:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
State Service
<Windows>\csrss.exe
Also sollte es reichen, wenn Du den Schlüssel in der Registry löscht,
neu startest und danach die Datei selbst löscht. Anschließend den PC
komplett von einem aktuellen Virenscanner prüfen lassen.

Damit sich das Prog nach dem Löschen des Eintrags in der Registry
nicht selbst wieder dort eintragen kann, solltest Du csrss.exe vor dem
Löschen des Schlüssels per Taskmanager killen.

LG Bakip

Michael H. Fischer

unread,
Jan 17, 2008, 12:52:43 AM1/17/08
to
bakip schreibselte am 17.Januar 2008

> Hallo Ruediger,
>
> ist folgendes auch möglich:
>
> Der folgende Registrierungseintrag wird erstellt, damit csrss.exe beim
> Start ausgeführt wird:
> HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
> State Service
> <Windows>\csrss.exe
> Also sollte es reichen, wenn Du den Schlüssel in der Registry löscht,
> neu startest und danach die Datei selbst löscht. Anschließend den PC
> komplett von einem aktuellen Virenscanner prüfen lassen.

Möglich ist vieles. Es ist auch möglich, dass morgen die Welt untergeht
und wir alle von Aliens errettet werden. Du musst nur feste daran
glauben.

Du bastelst jetzt schon mindestens vier Tage an diesem verseuchten
System herum. In der Zeit hättest du dreimal neu installieren können.
Und es bleibt dabei: Neuinstallation oder das Einspielen eines sauberen
Backups ist und bleibt der einzig sinnvolle und sichere Weg nach so
einer Infektion.

MfG
Michael H. Fischer
--
Freeware und Antworten rund um NT/W2K/XP: http://www.derfisch.de/
Windows Tuning Mythen: http://www.derfisch.de/Tuning-Mythen.html

Christine Heinrich

unread,
Jan 17, 2008, 5:37:29 AM1/17/08
to
bakip schrieb am 17.01.2008:

> was bedeutet: => Zlob

http://forum.chip.de/viren-trojaner-wuermer/zlob-trojaner-video-codecs-cracks-774610.html

> Ist foglendes auch möglich:
> Der folgende Registrierungseintrag wird erstellt, damit csrss.exe beim
> Start ausgeführt wird:
> HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
> State Service
> <Windows>\csrss.exe
> Also sollte es reichen, wenn Du den Schlüssel in der Registry löscht,
> neu startest und danach die Datei selbst löscht. Anschließend den PC
> komplett von einem aktuellen Virenscanner prüfen lassen.

Da reicht nicht.
Zlob wieder loszuwerden ist extrem schwierig und Glücksache. Du weißt
nie was alles nachgeladen wurde. Ein sauberes System kann dir niemand
garantieren.
Setze den Rechner neu auf. Alles andere Augenwischerei.

--
Gruß Christine

Comgeek

unread,
Feb 10, 2010, 12:10:01 AM2/10/10
to
Trojan Win32 Dadobra removal
http://www.darfuns.com/trojan-removal/win32-dadobra-bru-downloader-trojan/
0 new messages