Trojaner-Board - hartnäckige trojaner kommen auch nach neu aufsetzen wieder

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - hartnäckige trojaner kommen auch nach neu aufsetzen wieder (https://www.trojaner-board.de/16207-hartnaeckige-trojaner-kommen-neu-aufsetzen.html)

hartnäckige trojaner kommen auch nach neu aufsetzen wieder

hallo,

ich habe ein problem das mir schon richtig auf den sack geht. ich hab seit 2 wochen trojaner auf der festplatte. hab mit na 2005 sophos antivirus pccillin adwar spybot kaspersky panda antivirus escan mehrmals durchgescannt. manche finden trojaner andere wieder nicht. zur zeit habe ich kaspersky am laufen. der findet auch regelmässig trojaner in komischen exe dateien wie licakapi.exe gekoqap.exe. asujuja.exe. ich kann die exe dateien dann auch löschen aber nach einer zeit kommen die wieder :headbang: . ich habe windows 2000 pro und habe es zweimal neuinstalliert und die selben exe dateien kommen immer wieder. aber auch andere trojaner mit anderen exe dateien kommen immer wieder. ich frage mich von wo der trojaner immer wieder installiert wird hier habe ich mal die log von hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 23:57:46, on 03.04.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\Mixer.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\WINNT\system32\internat.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\SJLabs\SJphone\SJphone.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\prog\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: SJphone.lnk = C:\Programme\SJLabs\SJphone\SJphone.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

und die infizierten dateien von escan:

System found infected with 180Solutions Spyware/Adware ({30d02401-6a81-11d0-8274-00c04fd5ae38})! Action taken: No Action Taken.
Sun Apr 03 21:24:59 2005 => File System Found infected by "180Solutions Spyware/Adware" Virus. Action Taken: No Action Taken.

Sun Apr 03 21:25:00 2005 => System found infected with VX2 Spyware/Adware ({0E5CBF21-D15F-11D0-8301-00AA005B4383})! Action taken: No Action Taken.
Sun Apr 03 21:25:00 2005 => File System Found infected by "VX2 Spyware/Adware" Virus. Action Taken: No Action Taken.

Sun Apr 03 21:25:06 2005 => File C:\WINNT\lpur.exe infected by "Backdoor.Win32.SdBot.wv" Virus. Action Taken: No Action Taken.

Sun Apr 03 21:25:46 2005 => File C:\WINNT\system32\ihodoryku.exe infected by "Trojan-Proxy.Win32.Ranky.gen" Virus. Action Taken: No Action Taken.

Sun Apr 03 21:30:53 2005 => File C:\lpur.exe infected by "Backdoor.Win32.SdBot.wv" Virus. Action Taken: No Action Taken.

Sun Apr 03 21:39:20 2005 => File C:\WINNT\lpur.exe infected by "Backdoor.Win32.SdBot.wv" Virus. Action Taken: No Action Taken.

Sun Apr 03 21:44:46 2005 => File C:\WINNT\system32\ihodoryku.exe infected by "Trojan-Proxy.Win32.Ranky.gen" Virus. Action Taken: No Action Taken.

nach manuelem löschen wieder neue trojaner drauf
hat jemand eine ahnung wie ich die weg bekomme?

ps kann leider erst morgen zurückschreiben da ich jetzt ins bett gehe

vielen dank für eure mühe im voraus

greetings cornii

Allein hieraus :

Sun Apr 03 21:39:20 2005 => File C:\WINNT\lpur.exe infected by "Backdoor.Win32.SdBot.wv" Virus. Action Taken: No Action Taken.

http://www.sophos.de/virusinfo/analy...jsdbotgen.html
http://www.sophos.de/virusinfo/analyses/w32sdbotsw.html

resultiert zwingend ein Neuafsetzen des Systems.
Am besten nach folgender Anleitung:

http://www.trojaner-board.de/showthread.php?t=12154

Es handelt sich hier um einen sogenannten Backdoor, der 3ten Zugriff auf den Rechner ermöglicht.
Warum hier eine Bereinigung nicht mehr hilft:
http://www.mathematik.uni-marburg.de...al.html#sec2.5

Was man mit Botnetzen alles anstellen kann:

http://www.dradio.de/dlf/sendungen/wib/253543/

Überleg dir mal, wo der Trojaner herkommt:

Trojaner
Trojanische Pferde (auch Trojaner genannt) sind kleine Programme, die im Code von scheinbar nützlichen Programmen versteckt sind. Lädt der Computerbenutzer eines dieser nützlichen Programme aus dem Internet und installiert es auf seinen Computer, so tritt der Trojaner unbemerkt in Aktion und setzt sich auf dem PC fest.

Die meisten Trojaner sind darauf programmiert, auf dem infizierten Rechner vertrauliche Daten zu sammeln, wie Passwörter oder Kreditkartennummern, und diese bei der nächsten Datenübertragung an den Angreifer zu verschicken. Dieser "Datendiebstahl" bleibt in der Regel unbemerkt, und es kann oft Monate dauern, bis ein Anwender bemerkt, dass sich ein schädliches Programm in seinem System befindet.

Eine besonders aggressive Form der Trojaner sind so genannte Backdoor-Trojaner. Diese richten auf dem Wirtssystem Ports (Backdoors) ein, durch die ein Hacker angreifen kann. Mit Hilfe von Backdoor-Trojanern kann der Hacker auf fremde Rechner zugreifen und übernimmt die Fernkontrolle über praktisch alle Funktionen. Er kann dann z. B. von diesem Rechner SPAM-Emails verschicken.
...
Die überwiegende Anzahl der Trojaner gelangen per Download aus dem Internet auf den PC, versteckt in scheinbar "nützlichen" Programmen. Hier hilft der Einsatz eines aktuellen Anti-Trojaner-Programms und eines Virenscanners, sowie ein gesundes Mißtrauen gegen unbekannte "nützliche" Programme.

Quelle www.comsafe.de

Anscheinend installierst du bei der Neuaufsetzung deines Systems den Trojaner unwissentlich mit einem Programm jedesmal wieder neu. Eine andere Möglichkeit ist die Infektion via Internet. Dazu solltest du vor der ersten Verbindung mit dem Internet die offenen Ports schliessen (siehe www.dingens.org).

benutze einfach das neue AntiVir update und folge den anweisungen.
Gruß
meo.bald :daumenhoc :daumenhoc :daumenhoc :daumenhoc :daumenhoc

@ meo

Nun in Anbetracht, das der Thread fast 1/4 Jahr alt ist und der Threadsteller bisher nicht geantwortet hat, halte ich es für Unwahrscheinlich, dass er das noch lesen wird. ;)

Und außerdem ist es falsch... ;)

Gruß :daumenhoc
Yopie