hallo,

ich habe ein nennen wir es mal "kleines problem"... und schreibe von meinem notebook aus, den befallenen rechner hab ich sicherheitshalber vom netz getrennt.

habe eine website besucht, da wurde plötzlich meine firewall deaktiviert und anscheinend hat sich ein trojaner eingenistet. da der rechner immer weiter rumgewurschtelt hat, habe ich ihn einfach abgeschaltet.

nach dem wieder-hoch-fahren ist der desktop rot gewesen, mit einem schriftzug "danger spyware" usw.

ich habe schon herausgefunden, daß sich einige dateien zum zeitpunkt der feindlichen übernahme im system32 verzeichnis eingenistet haben:

ama.exe
dev32.exe
downf52.exe
drct16.dll
klogini.dll
kod.exe
list.txt
mdn.exe
mocih.exe
mszx23.exe
ntddetect.dat
ntddetect.exe
nvapps.xml
op32mp.log
p2.ini
paydial.exe
paytime.exe
perflibs__
ps.a3d
unic2_32.dll
xtempx.xxx

auf anderen boards habe ich schon ein paar infos zu einer ähnlichen problematik gefunden, speziell zu drct16.dll und mszx23.exe

ich habe den local_machine\software\ ... \notify\drct16 key in der registry gelöscht und dann alle oben genannten dateien über die reparaturkonsole der xp-cd isoliert.

nach dem wieder hochfahren erscheinen aber einige der dateien wieder im system32-verzeichnis:

xtempx.xxx
unic 2_32.dll
op32mp.log
drtc16.dll
p2.ini
klogini.dll
ps.a3d


hat jemand ne ahnung, was sich da eingenistet hat und wie ich den schrott wieder loswerde??

danke schonmal und grüsse

andy

________________

infos zu mein system:
win xp pro service pack 2
win xp firewall aktiv
f-prot f-stopw "virenschutz" aktiv

ich habe jetzt mal die dateien, die ich in windows\system32 gefunden habe, mit http://virusscan.jotti.org/de/ geprüft... hier die bisherigen ergebnisse:


ama.exe win32.spywad.b
dev32.exe win32.agent.ca
downf52.exe win32.bagz.h
drct16.dll win32.haxdoor.cn
klogini.dll (0 bytes)
kod.exe win32.spywad.b
list.txt -
mdn.exe win32.spywad.b
mocih.exe win32.bagz.h
mszx23.exe win32.haxdoor.cn
ntddetect.dat verdächtig
ntddetect.exe trojan.proxy.agent.eh
nvapps.xml verdächtig
p2.ini verdächtig
paydial.exe
paytime.exe win32.startpage.pu
perflibs.___ (0 byte)
unic2_32.dll win32.spy.small.nae


das ist ja krass, was sich da alles auf meiner platte tummelt... nur durch den besuch einer webseite...

und was nun??? weiß jemand rat?

grüße

Vorgehensweise

Keiner der am Markt angebotenen Virenscanner ist perfekt. Es ist deshalb eine gute Idee mit einem zweiten oder dritten Antivirenprogramm zu scannen. Sehr leistungsfähige (kostenlose) Virenscanner sind escan (Kaspersky Engine) und BitdefenderFree.

Da aber alle Virenscanner Probleme mit Trojanern und Spyware haben, grundsätzlich mit Spyware- und Trojanerscanner zusätzlich prüfen: Spybot Search&Destroy und a² (emisoft). Für alle eingesetzten Programme gilt: Vor dem Einsatz aktualisieren (updaten)!

Dannach checken mit HijackThis und MSConfig.

Dann Systemwiederherstellung (nur Windows XP) deaktivieren und im abgesicherten Modus booten. Nochmal Virenscanner, Spybot und a² drüber laufen lassen und mit HijackThis überprüfen/fixen. Wenn keine Fehler mehr, neu booten und die Systemwiederherstellung wieder aktivieren.

Eine Garantie, dass der Schädling weg ist, hast du aber nicht. Hier hilft nur Formatieren und Neuinstallation der Festplatte.

Du solltest dir aber mal grundlegende Gedanken machen, warum du den Schädling bekommen hast und entsprechende Vorsorgemaßnahmen ergreifen (Stichwort 10 goldene Regeln).

Infos und Downloads zum Thema findest du auf meiner Webpage

Hallo glotzi,

schau bitte hier:

http://www.trojaner-board.de/showpos...48&postcount=7
http://www.trojaner-board.de/showpos...7&postcount=11

dartus

OT @ big_surfer, ich hab es mir schon Wochen verkniffen, aber heute muss es raus!
Frage; klemmen irgendwelche Tasten bei dir auf der Tastatur?
Zum Beispiel; Strg C, Strg V?!
LG, Charlie

ich denke, es wird das beste sein, wenn ich das XP putze und neu aufsetze.

wie kann ich es bewerkstelligen, dass meine daten möglichst erhalten bleiben?

grüsse

andy

mit "daten möglichst erhalten" meine ich, dass ich nicht gleich alles formatieren will.

ich habe zwei physikalische platten - die eine ist c:, die andere d:

das system ist auf c:

am besten wärs natürlich, wenn ich d: nicht auch putzen muss

danke nochmal und grüsse

andy

Hallo,

schau mal -> http://www.trojaner-board.de/showpos...8&postcount=11 und http://oschad.de/wiki/index.php/Kompromittierung

Um welche Daten handelt es sich?

EDIT:
Hier wird es dir bildlich beschrieben, wie du nur die Systempartition löscht:
http://www.incosec.de/content/securi...stallation.htm oder auch http://8ung.at/chemikers-home/SETUP.html

es handelt sich bei den daten um meine mp3s, bilder, aber auch diverse .zip-archive oder .exe-setup-dateien...

wo finde ich denn die 10 punkte liste?

grüsse

andy

Zitat:

wo finde ich denn die 10 punkte liste?

Klicke auf den Link in meiner Signatur und dann findest du sie.

btw:
Mittlerweile sind es 12 Punkte.

Zitat:

Zitat von charlie1

OT @ big_surfer, ich hab es mir schon Wochen verkniffen, aber heute muss es raus!
Frage; klemmen irgendwelche Tasten bei dir auf der Tastatur?
Zum Beispiel; Strg C, Strg V?!
LG, Charlie

Auch OT, habe mir das heute erst durchgelesen, aber das ist ein typischer Charlie, dass er es so lange ausgehalten hat, grenzt schon an ein Wunder, na ja, er kommt halt auch in die Jahre.
Ich kann mir richtig vorstellen, wie er wie ein Rumpelstilzchen in der Wohnung rumgetanzt ist und wie ein Rohrspatz geflucht hat, halt ein unmöglicher Mensch.
Mit freundlichen Grüßen, Wusel

Mein liebes Wusel, ornithologischer Blödsinn, was du da verzapfst, es gibt keinen „Rohrspatz“ in Mitteleuropa sondern nur: Rohrammer, Rohrdommel, Rohrmeise, Rohrsänger, Rohrschwirl und Rohrweihe!!!
Wenn du möchtest, kann ich dir das auch noch in Lateinisch posten!
Meine Güte und das ist eine Lehrerin, die auch noch Bio gibt, nun kann ich auch die „Pisastudie“ nachvollziehen!
Ganz liebe Grüße, der unmögliche Charlie

Hätte ich eigentlich wissen müssen, dass so etwas kommt, bei dem Kerl-, gibt es denn keine Frauen hier, die mir helfen, dem eins auf die Birne zu hauen?!
Ja, er, gibt Mathe und Informatik, und wie kommt es, dass er, wenn er einkauft, im Supermarkt, immer noch Geld übrig hat???
Solche Peinlichkeiten sind mir noch nie passiert! Na halt Männer, die kriegen das nie gebacken!
Mit freundlichen Grüßen, Wusel