Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)

- Alles rund um Windows (https://www.trojaner-board.de/alles-rund-um-windows/)

- - rechte (https://www.trojaner-board.de/7628-rechte.html)

hi leute

hab wohl den backdoor.rbot.gen drauf laut stinger .

melde ich mich als admin an hab ich 60 sek dann geht er down

wie krieg ich als user kurzfristig adminrecht um was zu installieren?

hier mein hijack:
Logfile of HijackThis v1.98.2
Scan saved at 22:48:29, on 17.09.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:
C:\WINNT\Explorer.EXE
C:\winnt\system32\winmik32.exe
C:\WINNT\System32\internat.exe
C:\WINNT\System32\wupda32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\user\Desktop\stinger.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\hijacker\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=15&q=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=15&q=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81C3A} - C:\WINNT\EliteBar\EliteBar version 46.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA880F} - C:\WINNT\EliteBar\EliteBar version 46.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [win update] wupda32.exe
O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINNT\system\rundll33.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe /waitservice
O4 - HKLM\..\Run: [nZT] C:\dokumente und einstellungen\administrator\lokale einstellungen\temp\nZT.exe
O4 - HKLM\..\Run: [SysA] C:\winnt\system32\winmik32.exe
O4 - HKLM\..\RunServices: [win update] wupda32.exe
O4 - HKLM\..\RunServices: [MSN Update] dllcon.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [win update] wupda32.exe
O9 - Extra button: Corel Network monitor worker - {147FABDB-AEB6-4936-A690-A905519808C7} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {147FABDB-AEB6-4936-A690-A905519808C7} - (no file)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BFCAC3CC-678F-489A-958D-AAACBD805B17}: NameServer = 217.237.151.33 217.237.149.225

wie geh ich am besten vor ?

mfg falke

normalerweise:
bei gedrückter "Shift"-Taste mit der rechten Maustaste das Programm anklicken, dann dort unter Ausführen Als ... das Programm mit Administratornamen/Passwort starten. Funktioniert aber nicht mit jedem Programm korrekt!

Dein Windows ist total veraltet SP4 und IE 6SP1 wären angebracht.

Normalerweise verhinderst Du dass Herunterfahren mit => Start => Ausführen => Shutdown -a
Unter W2K ist aber der Befehl "shutdown" normalerweise nicht installiert.

Starten im abgesicherten Modus sollte dies verhindern.
Ich weiß jetzt aber nicht ob der Shutdown mit dem Backdoor was zu tun hat, könnte baer natürlich ein Schutz des Bösewichtes sein.

Schau auch mal da => http://www.trojaner-board.de/showthread.php?t=7400

Dein HJT-Logfile bitte mal dort => www.hijackthis.de automatisch auswerten und über die Ergebnisse nachdenken ;-)

service pack install wurde abgebrochen kann irgend eine datei nicht finden

shift rechte klappt

ja der shutdown ist nicht da kann man aber mit dem Resource Kit nachrüsten .

werd den automatik hijack mal klarmachen

e scan wurde bei mir abgebrochen beim stand von 28 dingern ich hab kein bock platt zu machen is nicht so lange her das letzte mal.

Bei dir werden mehr Schädlinge als normale Prozesse gestartet, dein System ist durch Trojanische Pferde kompromittiert:

http://oschad.de/wiki/index.php/Kompromittierung

Du solltest definitiv neu installieren und dann aber auch deine Surfgewohnheiten und die Konfiguration deines Rechners modifizieren: Windows und andere Software IMMER regelmäßig in kurzen Abständen updaten, aktive Inhalte in Browsern und Emailprogrammen so konfigurieren, dass nichts allein ausgeführt wird, Alternativen zu IE und Outlook verwenden, nichts installieren, was ich nicht wirklich brauche und es nur aus vertrauenswürdigen Quellen nach vorherhiger Prüfung downloaden, keine definitiv sicheren mailanhänge ausführen. Weitere Ausführungen dazu gibts hier:

http://www.mathematik.uni-marburg.de...ompromise.html
http://faq.underflow.de/