Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner - wie wegbekommen ohne System neu aufsetzen?? (https://www.trojaner-board.de/7670-trojaner-wegbekommen-ohne-system-neu-aufsetzen.html)

Julinki 19.09.2004 13:17
Trojaner - wie wegbekommen ohne System neu aufsetzen??
 
Ich habe einen Trojaner, der mir mein System total verlangsamt und der Norton lahmlegt und von AntiVir nicht erkannt wird! Weiß jemand wie ich den wegbekomme, ohne den PC zu formatieren??

*Christian* 19.09.2004 13:38
Wo wird der Trojaner denn gefunden?

Poste mal ein HijackThis-Log: http://filepony.de/download-hijackthis/

Damit der Trojaner zukünftig von AntiVir erkannt wird sende ihn zipgepackt an virus@free-av.de .

Julinki 19.09.2004 13:48
Also das sieht folgendermaßen aus:
Wo er genau ist, weiß ich nicht, ich hab nur meinem Internetprovider mein Problem geschildert und der hat gemeint, dass ich einen Trojaner hab. Und ich hab bei meiner netstat ungefähr 200 TCP's (und er hat gemeint, dass das ein ZEichen für nen Trojaner ist)
Danke!

Logfile of HijackThis v1.98.2
Scan saved at 14:45:33, on 19.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\System32\DVDRAMSV.exe
F:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\System32\WinMgnt.exe
F:\WINDOWS\SOUNDMAN.EXE
F:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
F:\Programme\Logitech\iTouch\iTouch.exe
F:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
F:\WINDOWS\System32\ctfmon.exe
F:\WINDOWS\System32\RUNDLL32.EXE
F:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
F:\Programme\EPSON\EPSON SMART PANEL for Scanner\espmain.exe
F:\WINDOWS\system32\RAMASST.exe
F:\Programme\Outlook Express\msimn.exe
F:\Programme\Messenger\msmsgs.exe
F:\Programme\MSN Messenger\msnmsgr.exe
F:\Programme\ICQ\Icq.exe
F:\Programme\Winamp\Winamp.exe
F:\Programme\Kazaa Lite\clean.kmd
F:\WINDOWS\explorer.exe
F:\Programme\Internet Explorer\iexplore.exe
F:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] F:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [Win Loader1] XzyVxMSJKR
O4 - HKLM\..\Run: [Ynfdn+[jh`n+Hj{~yn] FXOE%nsn
O4 - HKLM\..\Run: [zBrowser Launcher] F:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [TkBellExe] "F:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] "F:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunServices: [Win Loader1] XzyVxMSJKR
O4 - HKLM\..\RunServices: [Ynfdn+[jh`n+Hj{~yn] FXOE%nsn
O4 - HKLM\..\RunServices: [cvmonitor.exe] cvmonitor.exe
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Microsoft Update] scvhost.exe
O4 - HKCU\..\Run: [LDM] F:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\RunServices: [Microsoft Update] scvhost.exe
O4 - Global Startup: EPSON SMART PANEL for Scanner.lnk = F:\Programme\EPSON\EPSON SMART PANEL for Scanner\espmain.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = F:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RAMASST.lnk = F:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://F:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - F:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\MSMSGS.EXE

MountainKing 19.09.2004 13:59
Du hast in der Tat Trojanische Pferde auf deinem System, u.a. diese:

http://www.trendmicro.com/vinfo/viru...=WORM_SDBOT.BV
http://www.sophos.de/virusinfo/analyses/w32agobots.html

Das liegt unter anderem daran, dass du dein System nicht patchest und somit alle längst geschlossenen Sicherheitslücken fortbestehen.
Dein Rechner gehört nicht mehr dir:

http://oschad.de/wiki/index.php/Kompromittierung

und eine Neuinstallation ist die einzig vernünftige Methode zur Wiederherstellung eines vertrauenswürdigen Systems.

Daher:

1.) Neu formatieren und installieren (Anleitung: http://8ung.at/chemikers-home/SETUP.html)
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren (http://www.microsoft.com/germany/ms/...windowsxp.mspx)
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen (dies wöchentlich wiederholen) und alle Updates installieren oder alternativ vorher noch Service Pack 2 downloaden oder von CD installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera, Firefox oder Mozilla umsteigen
7.) Browser und Emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Java-Script, Active-X, VBS)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können (http://virgolamobile.50megs.com/spyware/spyware.htm http://www.spywareguide.com/spywarelist.html), besondere Vorsicht ist bei allen erotischen und Warez-Seiten geboten
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar www.free-av.de ), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten (siehe 8.)
11) Bei Infektion mit Trojanern/Keyloggern: keine alten Passworte wiederverwenden, sondern alle neu anlegen

Danach solltest du dein Surfverhalten überdenken, die angegeben Hinweise in Zukunft alle beherzigen und dich weiterführend hier informieren:

http://www.mathematik.uni-marburg.de...ompromise.html
http://faq.underflow.de/#SECTION000120000000000000000

Julinki 19.09.2004 14:02
Na da hab ich ja einiges vor:-)
Danke vielmals!


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:10 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55