Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Autsch, erwischt... Hiiiilfeeeee (https://www.trojaner-board.de/18556-autsch-erwischt-hiiiilfeeeee.html)

Fraggy 03.06.2005 14:35
Autsch, erwischt... Hiiiilfeeeee
 
Ich hab so einen beschissenen Wurm auf meiner Kiste drauf, und weiß nicht, wie ich die Sau in den Griff krieg.
Will nicht unbedingt neu installieren, da geht dann wieder 2 Tage gar nichts, bis wieder alles läuft. (wäre aber wohl die einzige wirklich sichere Methode)

Die Symtome:
- der Rechner stürzt unvermittelt ab (friert ein, nichts geht mehr)
- der Rechner startet beim Klick auf irgendwas einfach neu (wie Reset-Knopf drücken)

Im abgesicherten Modus läuft er halbwegs stabil, im Normalbetrieb muß ich 2-3 mal hochfahren, um mich überhaupt anmelden zu können. Wenn ich Glück habe, sehe ich sogar den Desktop, aber dann friert er meistens gleich ein.

Hab schon einen W32/SDBOT.CC Wurm entfernt. (mit SAV32)
Der Rechner lief dann auch kurz ganz gut, aber fror dann doch wieder ein.

Zuletzt tauchte das Neustart-Symtom sogar im abgesicherten Modus auf.
Ich bin mit meinem Latein am Ende...

Weiß einer zufällig womit ich es zu tun habe?
Und vor allem: ist mein Rechner noch zu retten, oder muß ich formatieren :pukeface: ?

Ein Scan mit HIJACKTHIS hat auch nichts wirklich aufregendes ergeben.
Hier das LOG:
Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 18:41:52, on 02.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
F:\SHARESERVER\Shared-Folders\-= Security Tools=-\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar5.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar5.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Ati Control Panel] atiphexx.exe (bereits gefixt -> W32/SDBOT.CC)
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar5.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar5.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar5.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar5.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Validome-Sidebar - {FBAEFFEA-696A-4584-AB68-902E3C72BDBB} - Shdocvw.dll (file missing)
O9 - Extra 'Tools' menuitem: Validome-Sidebar - {FBAEFFEA-696A-4584-AB68-902E3C72BDBB} - Shdocvw.dll (file missing)
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{71D17090-CA21-4B6D-AC09-A53F0FEDFFB7}: NameServer = 192.168.1.1,192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{71D17090-CA21-4B6D-AC09-A53F0FEDFFB7}: NameServer = 192.168.1.1,192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{71D17090-CA21-4B6D-AC09-A53F0FEDFFB7}: NameServer = 192.168.1.1,192.168.2.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe

cronos 03.06.2005 14:43
Sophos nennt deine SDBot Variante W32/Agobot-NV , es handelt sich aber hier um das gleiche Übel.

Ums kurz zu machen:

Du hast einen aktiven Backdoor auf deinem System. Hier ist ein Bereinigen sinnlos.
Die einzige Möglichkeit ein sicheres System wieder herzustellen besteht darin es neu Aufzusetzen und zwar nach dieser Anleitung um sowas in Zukunft zu vermeiden.

Fraggy 03.06.2005 15:28
Zwar nicht die Antwort die ich mir erhofft hatte, aber ich hatte es befürchtet.

Mir ist zwischenzeitig auch eingefallen, wo ich dieses Miststück freigelassen haben könnte.
Und zwar hab ich mal eine E-Mail bekommen, mit BASE64 Code.
Aus Neugier hab ich den Code durch einen online-Übersetzer geschickt, weil ich mir den Quelltext mal ansehen wollte. Noch wärend die Seite mit dem Quelltext sich öffnete, meckerte mein Antivirus Tool rum. Und ich denke, das zu diesem zeitpunkt schon alles zu spät war.

Ist mir auf jeden Fall eine Lehre!

Danke für die Anleitung, allerdings schotte ich mein System sowieso so weit ab, wie es geht. Und trotzdem hab ich mir diesen Fiesling geangelt.


Ich melde mich in 2 Tagen wieder, wenn mein System wieder läuft... :headbang:

Fraggy 13.06.2005 12:41
Also ich hab die Ursache inzwischen gefunden und behoben.
Es hat sich nach intensiver Suche nach Software-Fehlern, Bugs, Viren und Ähnlichem herausgestellt, das die Einfriererei durch einen schlichten Hardware-Defekt verursacht wurde.

Und zwar war durch Überbeanspruchung das Mainboard so in Mitleidenschaft gezogen worden, das einige Elkos im Spannungsregel-Bereich des Mainboards "dicke Backen" gemacht haben. Das hatte unkontrollierbare Spannungsschwankungen auf dem Mainboard zur Folge, und das wiederum war für die Freazer verantwortlich.

Windows neu installiert hab ich durch den Hardware-Wechsel auch.
Also ist mein System jetzt wieder "sauber".
Zumal ich den Trojaner auch VOR der eigentlichen Aktivität erwischt habe. Denn es war gerade mal 1 EIntrag in der Registry, die dieser Schädling normalerweise macht. Dateien hab ich keine gefunden. (Auch nicht bei Scans auf anderen Systemen)

Danke für die Hilfe und Hinweise!


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:29 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131