Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Hilfe - Trojan.Proxy.702! Wie entfernen? (https://www.trojaner-board.de/27115-hilfe-trojan-proxy-702-entfernen.html)

DocMario 24.02.2006 11:12
Hilfe - Trojan.Proxy.702! Wie entfernen?
 
Hallo,
ich habe mir - trotz aller Vorsicht - wohl einen Trojaner eingefangen. Er erzeugt nach einiger Zeit fehlender Benutzeraktivität im Temp-Verzeichnis eine Datei, die immer auf exmodulah.exe endet, meist sind zwei Zahlen vorangestellt (z.B. 58exmodulah.exe). Einige Dienste werden gestoppt (z.B. Firewall, schnelle Benutzerumschaltung etc), die o.g. Datei wird in der Firewall eingetragen und erhält eine Freigabe als "Windows Update".

Wenn die Datei läuft, ist der Compi zu 99% ausgelastet und es finden massig HD-Aktivitäten statt (Dateiscan?).

Jotti erkennt in der o.g. Datei den Trojan.Proxy.702! :mad:
Anbei mein HijackThis-Log.

... wie werde ich das Ding wieder los?!

Gruss, DocMario

felix1 24.02.2006 12:01
Lasse die Datei
C:\WINDOWS\system32\nvsvcd.exe

mal hier Hier prüfen und teile das Ergebnis mit.
Wie man Dateien richtig findet, entnehme meiner Signatur.

DocMario 24.02.2006 12:25
> Lasse die Datei C:\WINDOWS\system32\nvsvcd.exe mal
> hier Hier prüfen und teile das Ergebnis mit.


Dr.Web ... BackDoor.IRC.Gym gefunden
Kaspersky Anti-Virus ... Backdoor.Win32.IRCBot.nw gefunden
NOD32 ... a variant of Win32/Agent.TV gefunden


So langsam denke ich, es wäre das Beste, das System neu aufzusetzen *grübel*

Gruss, DocMario

felix1 24.02.2006 14:37
Lese mal hier:
http://www.trojaner-board.de/showthread.php?t=26438

Und wenn Du einen escan machen würdest, kommt bestimmt moch mehr zum Vorschein.

DocMario 27.02.2006 09:05
@felix1: danke für Deine Tips! Ich habe inzwischen mein OS neu aufgesetzt. Leider konnte ich nicht ganz so radikal verfahren, wie für kompromittierte Systeme empfohlen... Als Privatanwender hat man nur selten aktuelle Backups im Schrank :( Was ich aber gemacht habe, ist alle Downloads (Treiber, Programme etc) gelöscht und erneut runtergeladen.

Nun empfing mich heute morgen ein Popup von PGP, dass eine SSL-Verbindung von meinem eMail-Client zu kemp-d9bdb339.pool.mediaways.net stattgefunden hat. Ich bin nicht sicher, was ich davon halten soll :pfui:
Wenn es sich dabei um einen Schädling handelt, hat er ansonsten keine verräterischen Spuren hinterlassen.

Alle (Online-)Scans sagen, mein System ist sauber...

Gruss, Mario


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:08 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129