Hallo!
Ich habe einen Trojaner entdeckt der beim Hochfahren gestartet wird und dann immer nach ein paar Minuten versucht Informationen übers Internet zu verschicken.
Ich habe das nur gemerkt, weil Windows, wenn ich offline bin, von Zeit zu Zeit meldet, daß keine DFÜ Verbindung vorhanden ist.
Ich habe nun in der Registry den Trojaner gefunden und versucht ihn zu löschen. Dies hat zwar funktioniert, aber nach einer gewissen Zeit schreibt er sich wieder zurück.
Was wahrscheinlich von einem aktiven Prozess durchgeführt wird. Allerdings habe ich bis auf die normalen Windows Prozesse keine außergewöhnlichen gefunden die sowas machen könnten.
Nun möchte ich wissen was man machen kann. Und wo finde ich eigentlich die aufgerufene "ysjlaue.dll" (siehe logfile unten) auf meiner Platte, welche den Trojaner lädt?
Ich hoffe jemand kann mir helfen.

Gruß
Adl


Hier mein Hijack Log:

Logfile of HijackThis v1.97.7
Scan saved at 13:05:34, on 18.03.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\WINNT\System32\qttask.exe
C:\WINNT\System32\SysUpd.exe
C:\WINNT\System32\XFire.exe
D:\Sicherungen\Programme\TrojanerDestroy\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [QuickTime Task] C:\WINNT\System32\qttask.exe
O4 - HKLM\..\Run: [RegShave] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINNT\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SysUpd] C:\WINNT\System32\SysUpd.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [XFire] C:\WINNT\System32\XFire.exe /minimize
O4 - HKLM\..\Run: [ysjlaue] rundll32 C:\WINNT\System32:ysjlaue.dll,Init 1
O4 - HKLM\..\RunOnce: [*ysjlaue] rundll32 C:\WINNT\System32:ysjlaue.dll,Init 1
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2002\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2002\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2002\\Parser.html
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Net2Phone (HKLM)
O9 - Extra 'Tools' menuitem: Net2Phone (HKLM)
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

Hi Adl!

Willkommen an Board

Es handelt sich um einen Downloader, wahrscheinlich TrojanDownloader:Win32/Small.AA.

http://pestpatrol.com/PestInfo/t/tro...in32_small.asp

unbedingt von hijack this fixen lassen

O4 - HKLM\..\Run: [SysUpd] C:\WINNT\System32\SysUpd.exe

weiters unbedingt systemwiederherstellung löschen


</font><blockquote>Zitat:</font><hr /> erstellt am: 18. März 2004 13:33

Gruß
Adl


Hier mein Hijack Log:

Logfile of HijackThis v1.97.7
Scan saved at 13:05:34, on 18.03.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
</font>[/QUOTE]Ein Windows-Update wäre sinnvoll --&gt; XP Service Pack 1 + Batches und IE SP1 + Batches

MFG
Blackdog

[ 18. M&auml;rz 2004, 14:03: Beitrag editiert von: BLACKDOG ]

O4 - HKLM\..\Run: [ysjlaue] rundll32 C:\WINNT\System32:ysjlaue.dll,Init 1
O4 - HKLM\..\RunOnce: [*ysjlaue] rundll32 C:\WINNT\System32:ysjlaue.dll,Init 1

Backdoor.Afcore. Du musst dein System neu aufsetzen! Warum? Weil über diesen Zugriff von Extern auf dein System möglich ist und du daher nicht sicher nachvollziehen kannst, was inzwischen alles verändert wurde. Wichtig: ändere dann auch all deine Passwörter!

[ 18. M&auml;rz 2004, 17:03: Beitrag editiert von: mmk ]

http://www.trojaner-board.de/forum/u...653;p=3#000037

Danke für die Hilfe. Der Trojaner hatte sich schon an vielen Stellen eingenisten. Also habe ich neu installiert und jetzt ist er weg. Habe jetzt auch die neusten Sevice Packs drauf.
Was kann ich noch machen damit ich so sicher wie möglich bin?
Gruß und nochmals dank
adl

Hier was zum lesen:

http://www.trojaner-board.de/forum/u...c;f=4;t=002443

Andreas