hi

ich habe mir den trojaner TR/Drop.Delf.KY.2 eingefangen und finde keinerlei infos über ihn im i-net.

könnt ihr mir weiterhelfen.

desweiteren hatte ich den trojaner ItEye.

gruß

Hallo psoido,

wo befindet sich die Datei (genau Pfadangabe).

Zitat:

ich habe mir den trojaner TR/Drop.Delf.KY.2 eingefangen

Poste bitte ein Hijackthis-Logfile.
Editiere bitte alle Links und ev. Persönliche Daten.

dartus

sorry, ich habe vergessen zu erwähnen das die beiden schon gekilllt wurden

der TR/Drop.Delf.KY.2 von antivir, hat sich im ordner windows/system32 befunden

und der ItEye von microsoft antispywarte beta1, wart auch der einzigste in einer liste von antispyware progs der ihn gefunden hat (cwshredder,ad-aware,spybot,antivir,avg)

ausserdem wurden noch gefährliche einträge mit den ad-aware,spybot,antispyware programmen gefunden worde und gefixt.

das habe ich über ItEye erfahren:

Category: Remote Access Trojan
A Trojan that gives an attacker remote access to a computer.

dieser war wohl für die portscans verantwortlich , die mir mein provider mitteilte.

> 2005-06-27 17:02:08 GMT 82.135.11.27 2976 => 170.92.106.163 135
> 2005-06-27 17:06:02 GMT 82.135.11.27 4323 => 170.92.255.35 135
> 2005-06-27 17:07:19 GMT 82.135.11.27 2124 => 170.92.27.197 135
> 2005-06-27 17:09:28 GMT 82.135.11.27 4863 => 170.92.144.138 135
> 2005-06-27 17:12:20 GMT 82.135.11.27 1606 => 170.92.225.77 135
> 2005-06-27 17:14:17 GMT 82.135.11.27 3639 => 170.92.208.136 135
> 2005-06-27 17:59:23 GMT 82.135.11.27 2788 => 134.243.231.176 135
> 2005-06-27 18:02:16 GMT 82.135.11.27 2151 => 134.243.170.190 135
> 2005-06-27 18:03:02 GMT 82.135.11.27 1055 => 141.216.205.86 135
> 2005-06-27 18:06:28 GMT 82.135.11.27 1930 => 130.107.30.125 135
> 2005-06-27 18:03:02 GMT 82.135.11.27 1055 => 141.216.205.86 135

ich werde mal einen HJT machen und hier posten.

Zitat:

Zitat von psoido

Category: Remote Access Trojan
A Trojan that gives an attacker remote access to a computer.

Nimm den Rechner asap vom Netz, und setz ihn neu auf!
Beachte die Anleitung GENAUESTENS!
http://www.trojaner-board.com/showthread.php?t=12154

Nein, eine andere Möglichkeit gibt es nicht! Warum das so ist, steht in der Anleitung.

Zitat:

dieser war wohl für die portscans verantwortlich , die mir mein provider mitteilte.

> 2005-06-27 17:02:08 GMT 82.135.11.27 2976 => 170.92.106.163 135
> 2005-06-27 17:06:02 GMT 82.135.11.27 4323 => 170.92.255.35 135
> 2005-06-27 17:07:19 GMT 82.135.11.27 2124 => 170.92.27.197 135
> 2005-06-27 17:09:28 GMT 82.135.11.27 4863 => 170.92.144.138 135
> 2005-06-27 17:12:20 GMT 82.135.11.27 1606 => 170.92.225.77 135
> 2005-06-27 17:14:17 GMT 82.135.11.27 3639 => 170.92.208.136 135
> 2005-06-27 17:59:23 GMT 82.135.11.27 2788 => 134.243.231.176 135
> 2005-06-27 18:02:16 GMT 82.135.11.27 2151 => 134.243.170.190 135
> 2005-06-27 18:03:02 GMT 82.135.11.27 1055 => 141.216.205.86 135
> 2005-06-27 18:06:28 GMT 82.135.11.27 1930 => 130.107.30.125 135
> 2005-06-27 18:03:02 GMT 82.135.11.27 1055 => 141.216.205.86 135

Portscans an sich sind harmlos und treten auf jedem Internet-Rechner auf. Diese werden auch nicht vom Provider mitgeteilt!
Anders sieht das natürlich aus, wenn über deinen Rechner Spam versandt oder Kinderpornos verteilt wurden.

Gruß
Yopie

Zitat:

Zitat von Yopie

Diese werden auch nicht vom Provider mitgeteilt!

Gruß
Yopie

Doch T-Online macht das zb. bevorzugt bei verseuchten Rechnern , per E-Mail , mit dem Hinweis dies zu unterlassen/den Rechner zu säubern , bei Zuwiderhandlung wird der Account deaktiviert.

Zitat:

Zitat von iso9001

Doch T-Online macht das zb. bevorzugt bei verseuchten Rechnern , per E-Mail , mit dem Hinweis dies zu unterlassen/den Rechner zu säubern , bei Zuwiderhandlung wird der Account deaktiviert.

Sorry, ja, du magst recht haben. Hier geht es wohl um Outgoing Portscans...
T-Online sollte solche Spam-Kisten erst gar nicht mehr ins Netz lassen.

Gruß
Yopie

jaja, wer den schaden hat . . .

. . . brauch für den spot nicht zu sorgen

morgen werde ich mir einen router holen und dann wird alles neu gemacht

sodele

nun hab ich meinen pc komplett neu aufgesetzt und einen router.

ich habe da mal noch eine frage:

kann ich mir zusätzlich eine software firewall auf den rechner installieren ?

Zitat:

Zitat von psoido

kann ich mir zusätzlich eine software firewall auf den rechner installieren ?

Klar kannst du das machen. Aber was soll das bringen?

Gruß
Yopie

Logfile of HijackThis v1.99.1
Scan saved at 13:18:46, on 04.07.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\WinPoET Broadband Connection\winpppoverethernet.exe
C:\Programme\WinPoET Broadband Connection\WrOS.EXE
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\System32\wpabaln.exe
C:\Programme\Trillian\trillian.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Azureus\Azureus.exe
C:\Programme\Java\jre1.5.0_04\bin\javaw.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\hijackthis\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [a-winpoet-service] "C:\Programme\WinPoET Broadband Connection\winpppoverethernet.exe"
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1120259029015
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - C:\Programme\WinPoET Broadband Connection\WrOS.EXE

gut, ich habe sie mal installiert und siehe da sie zeigt mir was an

backdoor trojaner schoolbus

übernimmt die evtl nur die daten vom router ?

Zitat:

Zitat von psoido

gut, ich habe sie mal installiert und siehe da sie zeigt mir was an

backdoor trojaner schoolbus

übernimmt die evtl nur die daten vom router ?

Ich hätte mich klarer ausdücken sollen. Du kannst sie installieren, solltest es aber nicht. Wozu soll sie gut sein?

Und ohne die genaue Meldung kann man auch nix sagen.

Gruß
Yopie

wer kann mir bei dem HJT helfen ?

diese einträge machen mir sorgen:

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [a-winpoet-service] "C:\Programme\WinPoET Broadband Connection\winpppoverethernet.exe"

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1120259029015

O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - C:\Programme\WinPoET Broadband Connection\WrOS.EXE

wie schaut es mit der einwahlsaoftware aus "winpoet" ?
ich gehe über router ins netz, brauch ich die auf meinem rechner ?

danke

danke, Yopie, hab sie wieder deinstalliert.

wie schaut es mit der einwahlsoftware aus "winpoet" brauch ich die jetzt noch auf meinem rechner ?

ich habe mal ein HJT gemacht : psoidos HJT

so wie es ausschaut schaut es gut aus.

die htpatch.exe hat mir kummer bereitet, aber im netz (www.neuber.de)steht das sie ok ist.

naja, ein kumpel hatte eine cd mit einem virus drauf angeschleppt, der wurde erkannt, wahrscheinlich war wohl noch mehr drauf.
oder ich hab ihn mir eben übers netz geholt.
k.a.
auf allen fällen kommen mir jetzt keine cds mehr von dem in meinen pc

danke nochmal für die hilfe