|
Remote control Hallo, jemand hat eine remote control software auf meinem pc installiert. :snyper: Leider weiß ich nicht wo überall und wie diese ganzen programme heißen?! :confused: Weiß jemand, ob es ein tool gibt um solche verbindungen aufzuspüren? Kaspersky erkennt leider nichts...?! danke schon mal. :aplaus: |
Programme wie VNC (also Remote Admin Tools) werden idR von Virenscanner zumindest angezeigt, aber nicht als Virus eingestuft, bei Kaspersky als not-a-virus: remote admin. Woher weißt Du allerdings, daß überhaupt ein solches Tool bei Dir installiert wurde wenn schon Dein Virenscanner nix angezeigt hat? :rolleyes: Ich würde vorschlagen Du postest zuerst mal ein hijackthis log dann sehen wir weiter. |
hijackthis habe ich schon kontrolliert, da wird nichts angezeigt. Ich weiß es, weil es mir jemand gesagt hat und ich auch ein ordner gefunden habe der sehr merkwürdig aussieht. PassD.txt heißt die datei und sie hat 0KB und da waren auch noch andere seltsame dateien, die ich jedoch gelöscht habe. Passd.txt kann ich nicht löschen weil der zugriff verweigert wurde. Welche Möglichkeiten habe ich sowas zu verhindern bzw. tools solcher art aufzuspüren? |
Zitat:
Zitat:
|
hallo, passwd.txt heißt die datei, aber wenn ich sie löschen will, steht da passwd.log zugriff verweigert. Also das ist ja wohl eindeutig eine datei die nicht auf mein rechner gehört. blacklight hat nichts gefunden und silentrunners weiß net wo die datei hinkopiert wurde. logfile von combofix: ComboFix 08-04-18.3 - Chris 2008-04-20 15:20:15.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.171 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Chris\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt * Resident AV is active WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . ((((((((((((((((((((((( Dateien erstellt von 2008-03-20 bis 2008-04-20 )))))))))))))))))))))))))))))) . 2008-04-17 23:31 . 2004-08-04 00:58 130,048 --a------ C:\WINDOWS\system32\ksproxy.ax 2008-04-17 21:45 . 2008-04-17 21:45 <DIR> d-------- C:\Programme\mresreg 2008-04-17 21:45 . 2008-04-17 21:45 <DIR> d-------- C:\Programme\HomepageFIX 2008-04-14 09:51 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll 2008-04-14 09:51 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll 2008-04-14 09:51 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui 2008-04-13 19:37 . 2008-04-13 19:37 <DIR> d-------- C:\Dokumente und Einstellungen\Chris\Contacts 2008-04-13 19:36 . 2008-04-13 19:36 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE 2008-04-13 19:34 . 2008-04-13 19:36 <DIR> d-------- C:\Programme\Windows Live 2008-04-13 19:34 . 2008-04-13 19:36 <DIR> d--hsc--- C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller 2008-04-13 19:34 . 2008-04-13 19:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller 2008-04-12 18:13 . 2007-04-17 11:32 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat 2008-04-12 18:13 . 2007-03-08 07:09 1,040,384 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui 2008-04-12 18:13 . 2008-03-01 14:53 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll 2008-04-12 18:13 . 2008-03-01 14:53 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll 2008-04-12 18:12 . 2008-03-01 14:53 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll 2008-04-12 18:12 . 2008-03-01 14:53 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll 2008-04-12 18:12 . 2008-03-01 14:53 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll 2008-04-12 18:12 . 2008-03-01 14:53 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll 2008-04-12 18:12 . 2008-02-22 12:00 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe 2008-04-12 18:00 . 2008-04-12 18:00 552 --a------ C:\WINDOWS\system32\d3d8caps.dat 2008-04-12 17:59 . 2008-04-12 17:59 <DIR> d-------- C:\WINDOWS\system32\Adobe 2008-04-12 17:59 . 2008-04-12 17:59 <DIR> d-------- C:\WINDOWS\Profiles 2008-04-12 17:59 . 2008-04-12 17:59 <DIR> d-------- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\InterTrust 2008-04-12 17:59 . 1998-11-17 11:44 328,704 --a------ C:\WINDOWS\IsUn0407.exe 2008-04-12 17:58 . 2002-12-18 11:23 140,488 -ra------ C:\WINDOWS\system32\comdlg32.ocx 2008-04-12 17:58 . 2002-12-18 11:23 115,016 -ra------ C:\WINDOWS\system32\MSINET.OCX 2008-04-12 17:58 . 2002-12-18 11:23 89,360 -ra------ C:\WINDOWS\system32\VB5DB.DLL 2008-04-12 17:58 . 2002-12-18 11:23 69,632 -ra------ C:\WINDOWS\system32\xmltok.dll 2008-04-12 17:58 . 2002-12-18 11:23 36,864 -ra------ C:\WINDOWS\system32\xmlparse.dll 2008-04-12 17:58 . 2002-12-18 11:23 35,840 -ra------ C:\WINDOWS\system32\comdlg32.oca 2008-04-12 17:58 . 2002-12-18 11:23 29,184 -ra------ C:\WINDOWS\system32\MSINET.oca 2008-04-12 17:58 . 2002-12-19 00:20 26,096 -ra------ C:\WINDOWS\system32\xmlinst.exe 2008-04-12 17:58 . 2002-12-18 11:23 24,576 -ra------ C:\WINDOWS\system32\msxml3a.dll 2008-04-12 17:52 . 2008-04-12 18:05 <DIR> d-------- C:\Programme\Ubi Soft 2008-04-11 14:23 . 2008-04-11 14:23 751 --a------ C:\WINDOWS\system32\spupdsvc.inf 2008-04-11 14:21 . 2008-04-12 18:45 <DIR> d-------- C:\WINDOWS\system32\de-de 2008-04-09 20:19 . 2008-04-12 18:05 <DIR> d--h----- C:\Programme\InstallShield Installation Information 2008-04-09 20:19 . 2008-04-09 22:10 <DIR> d-------- C:\Programme\ICQToolbar 2008-04-09 20:18 . 2008-04-09 20:20 <DIR> d-------- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\ICQ 2008-04-09 20:17 . 2008-04-17 12:28 <DIR> d-------- C:\Programme\ICQ6 2008-04-09 20:11 . 2008-04-09 20:11 <DIR> d-------- C:\Dokumente und Einstellungen\Chris\LimeWire Store Purchased 2008-04-09 20:11 . 2008-04-09 20:11 <DIR> d-------- C:\Dokumente und Einstellungen\Chris\LimeWire Shared 2008-04-09 20:11 . 2008-04-09 20:34 <DIR> d-------- C:\Dokumente und Einstellungen\Chris\LimeWire Saved 2008-04-09 20:10 . 2008-04-09 20:34 <DIR> d-------- C:\Dokumente und Einstellungen\Chris\Incomplete 2008-04-09 20:09 . 2008-04-09 20:29 <DIR> d-------- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\LimeWire 2008-04-09 20:09 . 2007-07-12 02:22 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl 2008-04-09 20:07 . 2008-04-09 20:09 <DIR> d-------- C:\Programme\Java 2008-04-09 20:06 . 2008-04-09 20:09 <DIR> d-------- C:\Programme\LimeWire 2008-04-09 20:06 . 2008-04-09 20:06 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java 2008-04-09 20:03 . 2006-08-21 11:14 128,896 -----c--- C:\WINDOWS\system32\dllcache\fltmgr.sys 2008-04-09 20:03 . 2006-08-21 11:14 23,040 -----c--- C:\WINDOWS\system32\dllcache\fltmc.exe 2008-04-09 20:03 . 2006-08-21 14:26 16,896 -----c--- C:\WINDOWS\system32\dllcache\fltlib.dll 2008-04-09 20:00 . 2008-04-09 20:00 <DIR> d-------- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Kazaa Lite 2008-04-09 19:59 . 2008-04-09 19:59 <DIR> d-------- C:\My Shared Folder 2008-04-09 19:54 . 2006-06-09 10:38 6,909 -ra------ C:\WINDOWS\system32\drivers\UIUSYS.SYS 2008-04-09 19:42 . 2008-04-09 19:42 <DIR> d-------- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Talkback 2008-04-09 19:42 . 2008-04-09 19:42 0 --a------ C:\WINDOWS\nsreg.dat 2008-04-09 19:34 . 2008-04-09 19:34 <DIR> d-------- C:\Programme\Trend Micro 2008-04-09 19:27 . 2008-04-12 17:59 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe 2008-04-09 19:21 . 2008-04-09 19:40 <DIR> d-------- C:\Programme\Google 2008-04-09 19:10 . 2007-07-09 15:11 584,192 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll 2008-04-09 18:52 . 2008-04-09 18:52 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Startmenü 2008-04-09 18:46 . 2008-04-09 18:52 316,640 --a------ C:\WINDOWS\WMSysPr9.prx 2008-04-09 18:43 . 2008-04-09 18:43 <DIR> d-------- C:\WINDOWS\ServicePackFiles 2008-04-09 18:39 . 2004-07-17 11:40 19,528 --a------ C:\WINDOWS\002140_.tmp 2008-04-09 18:35 . 2008-04-09 18:35 <DIR> d-------- C:\WINDOWS\EHome 2008-04-09 15:12 . 2008-04-18 14:37 <DIR> d--h----- C:\WINDOWS\$hf_mig$ 2008-04-09 15:12 . 2006-09-06 17:42 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe 2008-04-09 15:11 . 2008-04-09 15:11 <DIR> d-------- C:\WINDOWS\system32\bits 2008-04-09 15:10 . 2004-08-04 00:57 351,232 --a------ C:\WINDOWS\system32\winhttp.dll 2008-04-09 15:10 . 2004-08-04 00:57 18,944 --a------ C:\WINDOWS\system32\qmgrprxy.dll 2008-04-09 15:10 . 2004-08-04 00:57 8,192 --------- C:\WINDOWS\system32\bitsprx2.dll 2008-04-09 15:10 . 2004-08-04 00:57 7,168 --------- C:\WINDOWS\system32\bitsprx3.dll 2008-04-09 15:09 . 2007-07-30 19:19 549,720 --a------ C:\WINDOWS\system32\wuapi.dll 2008-04-09 15:09 . 2007-07-30 19:19 325,976 --a------ C:\WINDOWS\system32\wucltui.dll 2008-04-09 15:09 . 2007-07-30 19:19 216,408 --a------ C:\WINDOWS\system32\wuaucpl.cpl 2008-04-09 15:09 . 2007-07-30 19:19 43,352 --a------ C:\WINDOWS\system32\wups2.dll 2008-04-09 15:09 . 2007-07-30 19:18 34,136 --a------ C:\WINDOWS\system32\wucltui.dll.mui 2008-04-09 15:09 . 2007-07-30 19:18 33,624 --a------ C:\WINDOWS\system32\wups.dll 2008-04-09 15:09 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui 2008-04-09 15:09 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui 2008-04-09 15:09 . 2007-07-30 19:18 20,824 --a------ C:\WINDOWS\system32\wuaueng.dll.mui 2008-04-09 15:06 . 2008-04-09 15:06 <DIR> d-------- C:\Programme\MDC 2008-04-09 15:06 . 2008-04-09 15:06 20,480 --a------ C:\WINDOWS\system32\mdcgina.dll 2008-04-09 15:05 . 2008-04-12 18:04 <DIR> d-------- C:\Programme\Gemeinsame Dateien\InstallShield 2008-04-07 19:37 . 2008-04-07 19:37 <DIR> d---s---- C:\WINDOWS\system32\Microsoft 2008-04-07 19:36 . 2008-04-07 19:36 <DIR> d-------- C:\Programme\Kaspersky Lab 2008-04-07 19:36 . 2008-04-20 15:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2008-04-07 19:36 . 2008-04-20 15:29 2,476,576 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat 2008-04-07 19:36 . 2008-04-20 15:29 227,872 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat 2008-04-07 19:36 . 2008-04-17 17:06 96,645 --a------ C:\WINDOWS\system32\drivers\klin.dat 2008-04-07 19:36 . 2008-04-17 17:06 87,941 --a------ C:\WINDOWS\system32\drivers\klick.dat 2008-04-07 19:36 . 2008-04-20 14:48 33,452 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx 2008-04-07 19:36 . 2008-04-20 14:48 22,124 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx 2008-04-07 19:29 . 2008-04-13 19:37 <DIR> d--hs---- C:\WINDOWS\Installer 2008-04-07 19:29 . 2008-04-07 15:22 <DIR> d--h----- C:\Dokumente und Einstellungen\Chris\Vorlagen 2008-04-07 19:29 . 2008-04-07 16:18 <DIR> dr------- C:\Dokumente und Einstellungen\Chris\Startmenü 2008-04-07 19:29 . 2008-04-07 16:18 <DIR> d--h----- C:\Dokumente und Einstellungen\Chris\Netzwerkumgebung 2008-04-07 19:29 . 2008-04-07 16:18 <DIR> d--h----- C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen 2008-04-07 19:29 . 2008-04-11 15:19 <DIR> dr------- C:\Dokumente und Einstellungen\Chris\Favoriten 2008-04-07 19:29 . 2008-04-13 19:38 <DIR> dr------- C:\Dokumente und Einstellungen\Chris\Eigene Dateien 2008-04-07 19:29 . 2008-04-07 16:18 <DIR> d--h----- C:\Dokumente und Einstellungen\Chris\Druckumgebung 2008-04-07 19:29 . 2008-04-12 17:59 <DIR> d--h----- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten 2008-04-07 19:29 . 2008-04-20 15:14 <DIR> d-------- C:\Dokumente und Einstellungen\Chris 2008-04-07 19:29 . 2008-04-20 15:30 1,024 --ah----- C:\Dokumente und Einstellungen\Chris\ntuser.dat.LOG 2008-04-07 19:26 . 2008-04-20 15:28 <DIR> d--h----- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen 2008-04-07 19:26 . 2008-04-07 19:26 <DIR> d-------- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten 2008-04-07 19:26 . 2008-04-07 19:26 <DIR> d--hs---- C:\Dokumente und Einstellungen\NetworkService 2008-04-07 19:26 . 2008-04-20 15:28 <DIR> d--h----- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen 2008-04-07 19:26 . 2008-04-07 19:26 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten 2008-04-07 19:26 . 2008-04-09 18:52 <DIR> d--hs---- C:\Dokumente und Einstellungen\LocalService 2008-04-07 19:26 . 2008-04-20 15:02 1,024 --ah----- C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG 2008-04-07 19:26 . 2008-04-20 15:02 1,024 --ah----- C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG 2008-04-07 16:20 . 2004-08-04 00:40 57,600 --a------ C:\WINDOWS\system32\drivers\redbook.sys 2008-04-07 16:20 . 2001-08-17 14:59 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys 2008-04-07 16:19 . 2004-08-04 00:57 77,312 --a------ C:\WINDOWS\system32\usbui.dll 2008-04-07 16:19 . 2001-08-17 13:13 27,165 --a------ C:\WINDOWS\system32\drivers\fetnd5.sys 2008-04-07 16:19 . 2001-08-18 05:20 16,256 --a------ C:\WINDOWS\system32\drivers\battc.sys 2008-04-07 16:19 . 2004-08-03 23:07 14,080 --a------ C:\WINDOWS\system32\drivers\cmbatt.sys 2008-04-07 16:19 . 2001-08-17 14:58 9,344 --a------ C:\WINDOWS\system32\drivers\compbatt.sys 2008-04-07 16:19 . 2008-04-18 15:07 1,374 --a------ C:\WINDOWS\imsins.BAK 2008-04-07 16:18 . 2008-04-07 15:22 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Vorlagen 2008-04-07 16:18 . 2008-04-07 16:18 <DIR> dr------- C:\Dokumente und Einstellungen\Default User\Startmenü 2008-04-07 16:18 . 2008-04-07 16:18 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Netzwerkumgebung . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-04-09 13:06 14,037 ----a-w C:\WINDOWS\system32\drivers\mdc8021x.sys 2008-04-07 13:26 558,142 ----a-w C:\WINDOWS\java\Packages\6CEK44CF.ZIP 2008-04-07 13:26 155,995 ----a-w C:\WINDOWS\java\Packages\8INFB9R9.ZIP 2008-04-07 13:26 --------- d-----w C:\Programme\microsoft frontpage 2008-04-07 13:25 --------- d-----w C:\Programme\Online-Dienste 2008-04-07 13:24 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste 2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys 2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll 2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll 2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360] "ICQ"="C:\Programme\ICQ6\ICQ.exe" [2008-04-01 12:40 172280] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AVP"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2007-05-19 22:36 218640] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00 132496] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360] [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "C:\\Programme\\LimeWire\\LimeWire.exe"= "C:\\Programme\\ICQ6\\ICQ.exe"= "C:\\WINDOWS\\system32\\sessmgr.exe"= "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"= R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-04-04 14:58] S3 SVC8021X;AEGIS Client;C:\WINDOWS\System32\svc8021x.exe [2003-07-25 16:28] . ************************************************************************** catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-04-20 15:29:39 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINDOWS\system32\winlogon.exe -> C:\WINDOWS\system32\mdcgina.dll . Zeit der Fertigstellung: 2008-04-20 15:32:26 ComboFix-quarantined-files.txt 2008-04-20 13:31:21 6 Verzeichnis(se), 72,663,699,456 Bytes frei 8 Verzeichnis(se), 72,757,592,064 Bytes frei 189 --- E O F --- 2008-04-18 13:07:42 |
Zitat:
|
ok werde ich machen, aber wenn die auch nichts finden was soll ich dann machen? Irgendwie wird sich sowas doch ausfindig machen lassen können?! |
Also kurzum: Du vertraust Deinem System nicht mehr. Es könnte sein, daß Dein PC befallen ist oder auch nicht - daß man nix mehr findet, heißt aber nicht, daß der PC auch wirklich sauber ist. Allerdings Du hast ja schon Zweifel an der Vertrauenswürdigkeit des Systems im jetzigen Zustand. Wenn Du Ruhe haben willst: Setz neu auf! |
hallo, neu aufsetzen geht net....ich weiß das es ein remote control tool ist aber wie kann ich mich effektiv davor schützen? Es wird wahrscheinlich UD sein aber irgendeine möglichkeit wird es doch wohl geben oder? Ferner besteht das problem weiterhin, da ich outlook express benutze und selbst bei guter einstellung nur jemand eine email adresse eines verwandten benutzen muss und ein trojaner inne word datei packt und sofort bin ich wieder infiziert. So einfach sollte das alles nicht gehen... Was kann man machen? |
Du solltest noch das Hijackthis Logfile posten. :rolleyes: Zitat:
Zitat:
Zitat:
1. Würde ich kein OE benutzen. 2. Was heißt bei guter Einstellung? 3. Word-Datei? Wenn Dir jmd so etas unterjubelt solltest Du nicht blind einfach alle Makros aktivieren, dubiose Worddateien öffnet man eh nicht. Und schon garnicht mit Adminrechten. E-Mail-Anhänge allgemein sind recht gefährlich. Nur weil offensichtlich ein Bekannter Dir ne Mail mit Anhang schickt, heißt das nicht, daß Du gefahrlos diese Datei öffnen/ausführen darfst. Denn die Spammer bzw. Malwareautoren können unter anderen Namen ihre Mails mitsamt Schädling versenden. Und es ist auch immer möglich, daß die Kisten Deiner Bekannten verseucht sind und sie quasi unbemerkt Malware verteilen. Zitat:
Wie lautet der Pfad zu dieser Datei und was steht in ihr drin? |
ok erstmal danke für die Antworten.......Hast mir sehr weitergeholfen. :daumenhoc |
Zitat:
|
habe mir ein bifrost trojaner eingefangen...passwD wurde daher verändert...Hijackthis zeigt das nicht an.... |
Zitat:
Bifrost = Backdoor = Neu aufsetzen! |
Bifrost? Da glaube ich nicht drann. Das Projekt ist eingestellt. Zufällig den Spyware Doctor oder PC-Tool Zeugs benutzt? |
Zitat:
|
Zitat:
Egal, macht was ihr wollt. Ich hab' seit bestimmt 'nem halben Jahr keinen einzigen richtigen Bifrost mehr gesehen. Nur Fehlalarme die von komischen Tools produziert wurden... |
Zitat:
Da unser "Fragezeichet" aber ja geradezu mit Infos um sich schmeißt, kann man nicht viel mehr sagen... :teufel2: |
Hallo, sorry das ich nicht so viele Infos gebe aber das hat schon seinen Sinn. Warum muss ich neu aufsetzen, wenn ich ein bifrost trojaner habe? Habe in der regedit "ctfmon.exe" unter RUN gefunden und es gelöscht und dann im systemordner die exe datei von dem typen gelöscht.....jetzt wird nichts mehr geladen wenn ich den pc starte.... Nur leider kann ich pchealth und debug/passwD.log nicht löschen weil ein anderes programm zugreift?! Hat da jemand nen plan? |
Zitat:
|
Tja, du sagst uns nichts, machst nichts von dem was dir empfohlen wird und löschst dann fröhlich Systemdateien. Egal was wir dir jetzt noch empfehlen: Wir verbrennen uns die Finger, nachher glaubt man noch, wir hätten deinen Rechner zerschossen. Ehrlich: Wenn du keine Informationen rausgeben willst und nicht das tust was man dir empfiehlt, warum bist du dann hier? Warum ziehst du dann nicht die Konsequenz und setzt neu auf. Da musst du keine Infos rausgeben, kannst tun und lassen was du willst und den RemoteControl biste auch los. Bisher hast du jedenfalls nur den Officesupport für exotische Schriftzeichen zerstört Wenn du es dann tatsächlich schaffen solltest pchealth und debug zu löschen, dürfte ein Neuaufsetzen eh unumgänglich werden. Dann funktioniert Windows wahrscheinlich nicht mehr richtig. lg myrtille |
hallo, ich ziehe alle eurer vorschläge in betracht aber hijackthis habe ich schon mal gepostet, das war zu einem andern thema aber mit demselben problem, nur damals wußte ich noch nicht das es sich um ein remote controll tool handelt. Ferner ich lösche nicht fröhlich alle möglichen Systemdateien, sondern nur die die bei registry mechanic als gefährdet eingestuft werden. Habe jetzt nur noch 4 dateien die zu löschen sind....dann müsste der pc wieder clean sein. realsched.exe updater.exe firefox.exe RTHOCPL.exe alle dateien werden in der regedit angezeigt aber ich kann sie net löschen und die exe dateien sind auch net vorhanden? weiß jemand wie man dateien löschen kann auch wenn ständig "zugriff verweigert" kommt? Ich will ramba zamba machen....falls es schief geht dann formatiere ich einfach oder repariere windows MfG |
Mich interessiert erstmal nur, wer oder was Dir von der Existenz des Bifrost erzählt hat. Und wenn ja, welche angebliche Datei angemeckert wurde. Die von Dir zitierten vier Dateien sind es offensichtlich nicht! Ist aber auch schlecht, denn wenn Du Dateien erwähnst solltest Du den kompletten Pfad posten!! realsched.exe - vom Realplayer updater.exe - kann man nicht genau sagen, kompletter Pfad wäre wichtig! Bei Virustotal auswerten firefox.exe - logisch, sollte die firefox-executable sein :D RTHOCPL.exe - unbekannt - bitte komletten Pfad posten und bei Virustotal auswerten Bevor wieder mangelnde Infos kommen: Poste wirklich alle Ergebnisse von Virustotal! |
Moin Zitat:
sonst evtl. mal einen Scan mit Blacklight machen ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe MFG |
root24, mir wurde auch schon mal die saubere iexplore.exe von einem AV gelöscht, als ich mal was getestet habe. das Tool ist wohl davon ausgegangen so wird der laufende Server, der in den IE injekziert hatte, beseitigt. :aplaus: das war natürlich ein Fehlversuch. :D wenn also die firefox.exe bemängelt wird, kann es durchaus ein berechtigter Hinweis sein, dass da was nicht stimmt. Welches AV? kann ich mich echt nicht erinnern, der Server war entweder Bifrost oder Poison Ivy. das aber nur nebenbei, Fragezeichet ist ja an irgendwelchen Tipps zum Umsetzen nicht weiter interessiert, was soll man sich da beteiligen. ;) have fun, Heike :teufel3: |
Eure Einwände sind ja berechtigt. Ein Schädling kann sich auch als iexplore.exe oder firefox.exe tarnen oder eben Schadcode in eine iexplore.exe injizieren - das ist mir bekannt! Aber einfach nur die bemängelten Dateien zu posten reicht nicht, deswegen bat ich ja den TO um den kompletten Pfad. :teufel2: |
Zitat:
ctfmon.exe ist nicht Teil von bifrost, die Ordner PCHealth und debug gehören zu Windows und wie es um die 4 weiteren Dateien steht hat dir root ja auch schon angedeutet. Wobei ich bei der letzten Datei vermute, dass du da ein O mit einem D verwechselt hast? Zitat:
Aber auch hier können wir/kann man nur raten. @Heike Kein Virenprogramm, die Meldungen stammen von einem (mir unbekannten, kann da jemand was zu sagen?) Registrycleaner. :p lg myrtille |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 23:34 Uhr. |
Copyright ©2000-2025, Trojaner-Board