Hallo,

jemand hat eine remote control software auf meinem pc installiert. Leider weiß ich nicht wo überall und wie diese ganzen programme heißen?!

Weiß jemand, ob es ein tool gibt um solche verbindungen aufzuspüren?

Kaspersky erkennt leider nichts...?!
danke schon mal. :aplaus:

Programme wie VNC (also Remote Admin Tools) werden idR von Virenscanner zumindest angezeigt, aber nicht als Virus eingestuft, bei Kaspersky als not-a-virus: remote admin.

Woher weißt Du allerdings, daß überhaupt ein solches Tool bei Dir installiert wurde wenn schon Dein Virenscanner nix angezeigt hat?

Ich würde vorschlagen Du postest zuerst mal ein HijackThis log dann sehen wir weiter.

hijackthis habe ich schon kontrolliert, da wird nichts angezeigt.

Ich weiß es, weil es mir jemand gesagt hat und ich auch ein ordner gefunden habe der sehr merkwürdig aussieht. PassD.txt heißt die datei und sie hat 0KB und da waren auch noch andere seltsame dateien, die ich jedoch gelöscht habe. Passd.txt kann ich nicht löschen weil der zugriff verweigert wurde.

Welche Möglichkeiten habe ich sowas zu verhindern bzw. tools solcher art aufzuspüren?

Zitat:

Zitat von Fragezeichet

hijackthis habe ich schon kontrolliert, da wird nichts angezeigt.

Post es trotzdem mal bitte komplett. Erstell am besten ein neues mit Hilfe dieser umbenannten hijackthis.exe

Zitat:

Welche Möglichkeiten habe ich sowas zu verhindern bzw. tools solcher art aufzuspüren?

Folge meinen Links zu silentrunner, blacklight und combofix - führe diese Tools aus und poste die Logs.

hallo,

passwd.txt heißt die datei, aber wenn ich sie löschen will, steht da passwd.log zugriff verweigert. Also das ist ja wohl eindeutig eine datei die nicht auf mein rechner gehört.

blacklight hat nichts gefunden und silentrunners weiß net wo die datei hinkopiert wurde.

logfile von combofix:

ComboFix 08-04-18.3 - Chris 2008-04-20 15:20:15.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.171 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Chris\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
* Resident AV is active


WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-03-20 bis 2008-04-20 ))))))))))))))))))))))))))))))
.

2008-04-17 23:31 . 2004-08-04 00:58 130,048 --a------ C:\WINDOWS\system32\ksproxy.ax
2008-04-17 21:45 . 2008-04-17 21:45 <DIR> d-------- C:\Programme\mresreg
2008-04-17 21:45 . 2008-04-17 21:45 <DIR> d-------- C:\Programme\HomepageFIX
2008-04-14 09:51 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-04-14 09:51 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll
2008-04-14 09:51 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-04-13 19:37 . 2008-04-13 19:37 <DIR> d-------- C:\Dokumente und Einstellungen\Chris\Contacts
2008-04-13 19:36 . 2008-04-13 19:36 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-04-13 19:34 . 2008-04-13 19:36 <DIR> d-------- C:\Programme\Windows Live
2008-04-13 19:34 . 2008-04-13 19:36 <DIR> d--hsc--- C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-04-13 19:34 . 2008-04-13 19:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-04-12 18:13 . 2007-04-17 11:32 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-04-12 18:13 . 2007-03-08 07:09 1,040,384 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-04-12 18:13 . 2008-03-01 14:53 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-04-12 18:13 . 2008-03-01 14:53 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-04-12 18:12 . 2008-03-01 14:53 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-04-12 18:12 . 2008-03-01 14:53 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-04-12 18:12 . 2008-03-01 14:53 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2008-04-12 18:12 . 2008-03-01 14:53 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-04-12 18:12 . 2008-02-22 12:00 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-04-12 18:00 . 2008-04-12 18:00 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
2008-04-12 17:59 . 2008-04-12 17:59 <DIR> d-------- C:\WINDOWS\system32\Adobe
2008-04-12 17:59 . 2008-04-12 17:59 <DIR> d-------- C:\WINDOWS\Profiles
2008-04-12 17:59 . 2008-04-12 17:59 <DIR> d-------- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\InterTrust
2008-04-12 17:59 . 1998-11-17 11:44 328,704 --a------ C:\WINDOWS\IsUn0407.exe
2008-04-12 17:58 . 2002-12-18 11:23 140,488 -ra------ C:\WINDOWS\system32\comdlg32.ocx
2008-04-12 17:58 . 2002-12-18 11:23 115,016 -ra------ C:\WINDOWS\system32\MSINET.OCX
2008-04-12 17:58 . 2002-12-18 11:23 89,360 -ra------ C:\WINDOWS\system32\VB5DB.DLL
2008-04-12 17:58 . 2002-12-18 11:23 69,632 -ra------ C:\WINDOWS\system32\xmltok.dll
2008-04-12 17:58 . 2002-12-18 11:23 36,864 -ra------ C:\WINDOWS\system32\xmlparse.dll
2008-04-12 17:58 . 2002-12-18 11:23 35,840 -ra------ C:\WINDOWS\system32\comdlg32.oca
2008-04-12 17:58 . 2002-12-18 11:23 29,184 -ra------ C:\WINDOWS\system32\MSINET.oca
2008-04-12 17:58 . 2002-12-19 00:20 26,096 -ra------ C:\WINDOWS\system32\xmlinst.exe
2008-04-12 17:58 . 2002-12-18 11:23 24,576 -ra------ C:\WINDOWS\system32\msxml3a.dll
2008-04-12 17:52 . 2008-04-12 18:05 <DIR> d-------- C:\Programme\Ubi Soft
2008-04-11 14:23 . 2008-04-11 14:23 751 --a------ C:\WINDOWS\system32\spupdsvc.inf
2008-04-11 14:21 . 2008-04-12 18:45 <DIR> d-------- C:\WINDOWS\system32\de-de
2008-04-09 20:19 . 2008-04-12 18:05 <DIR> d--h----- C:\Programme\InstallShield Installation Information
2008-04-09 20:19 . 2008-04-09 22:10 <DIR> d-------- C:\Programme\ICQToolbar
2008-04-09 20:18 . 2008-04-09 20:20 <DIR> d-------- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\ICQ
2008-04-09 20:17 . 2008-04-17 12:28 <DIR> d-------- C:\Programme\ICQ6
2008-04-09 20:11 . 2008-04-09 20:11 <DIR> d-------- C:\Dokumente und Einstellungen\Chris\LimeWire Store Purchased
2008-04-09 20:11 . 2008-04-09 20:11 <DIR> d-------- C:\Dokumente und Einstellungen\Chris\LimeWire Shared
2008-04-09 20:11 . 2008-04-09 20:34 <DIR> d-------- C:\Dokumente und Einstellungen\Chris\LimeWire Saved
2008-04-09 20:10 . 2008-04-09 20:34 <DIR> d-------- C:\Dokumente und Einstellungen\Chris\Incomplete
2008-04-09 20:09 . 2008-04-09 20:29 <DIR> d-------- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\LimeWire
2008-04-09 20:09 . 2007-07-12 02:22 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-04-09 20:07 . 2008-04-09 20:09 <DIR> d-------- C:\Programme\Java
2008-04-09 20:06 . 2008-04-09 20:09 <DIR> d-------- C:\Programme\LimeWire
2008-04-09 20:06 . 2008-04-09 20:06 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-04-09 20:03 . 2006-08-21 11:14 128,896 -----c--- C:\WINDOWS\system32\dllcache\fltmgr.sys
2008-04-09 20:03 . 2006-08-21 11:14 23,040 -----c--- C:\WINDOWS\system32\dllcache\fltmc.exe
2008-04-09 20:03 . 2006-08-21 14:26 16,896 -----c--- C:\WINDOWS\system32\dllcache\fltlib.dll
2008-04-09 20:00 . 2008-04-09 20:00 <DIR> d-------- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Kazaa Lite
2008-04-09 19:59 . 2008-04-09 19:59 <DIR> d-------- C:\My Shared Folder
2008-04-09 19:54 . 2006-06-09 10:38 6,909 -ra------ C:\WINDOWS\system32\drivers\UIUSYS.SYS
2008-04-09 19:42 . 2008-04-09 19:42 <DIR> d-------- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Talkback
2008-04-09 19:42 . 2008-04-09 19:42 0 --a------ C:\WINDOWS\nsreg.dat
2008-04-09 19:34 . 2008-04-09 19:34 <DIR> d-------- C:\Programme\Trend Micro
2008-04-09 19:27 . 2008-04-12 17:59 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-04-09 19:21 . 2008-04-09 19:40 <DIR> d-------- C:\Programme\Google
2008-04-09 19:10 . 2007-07-09 15:11 584,192 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2008-04-09 18:52 . 2008-04-09 18:52 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Startmenü
2008-04-09 18:46 . 2008-04-09 18:52 316,640 --a------ C:\WINDOWS\WMSysPr9.prx
2008-04-09 18:43 . 2008-04-09 18:43 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-04-09 18:39 . 2004-07-17 11:40 19,528 --a------ C:\WINDOWS\002140_.tmp
2008-04-09 18:35 . 2008-04-09 18:35 <DIR> d-------- C:\WINDOWS\EHome
2008-04-09 15:12 . 2008-04-18 14:37 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-04-09 15:12 . 2006-09-06 17:42 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-04-09 15:11 . 2008-04-09 15:11 <DIR> d-------- C:\WINDOWS\system32\bits
2008-04-09 15:10 . 2004-08-04 00:57 351,232 --a------ C:\WINDOWS\system32\winhttp.dll
2008-04-09 15:10 . 2004-08-04 00:57 18,944 --a------ C:\WINDOWS\system32\qmgrprxy.dll
2008-04-09 15:10 . 2004-08-04 00:57 8,192 --------- C:\WINDOWS\system32\bitsprx2.dll
2008-04-09 15:10 . 2004-08-04 00:57 7,168 --------- C:\WINDOWS\system32\bitsprx3.dll
2008-04-09 15:09 . 2007-07-30 19:19 549,720 --a------ C:\WINDOWS\system32\wuapi.dll
2008-04-09 15:09 . 2007-07-30 19:19 325,976 --a------ C:\WINDOWS\system32\wucltui.dll
2008-04-09 15:09 . 2007-07-30 19:19 216,408 --a------ C:\WINDOWS\system32\wuaucpl.cpl
2008-04-09 15:09 . 2007-07-30 19:19 43,352 --a------ C:\WINDOWS\system32\wups2.dll
2008-04-09 15:09 . 2007-07-30 19:18 34,136 --a------ C:\WINDOWS\system32\wucltui.dll.mui
2008-04-09 15:09 . 2007-07-30 19:18 33,624 --a------ C:\WINDOWS\system32\wups.dll
2008-04-09 15:09 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
2008-04-09 15:09 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2008-04-09 15:09 . 2007-07-30 19:18 20,824 --a------ C:\WINDOWS\system32\wuaueng.dll.mui
2008-04-09 15:06 . 2008-04-09 15:06 <DIR> d-------- C:\Programme\MDC
2008-04-09 15:06 . 2008-04-09 15:06 20,480 --a------ C:\WINDOWS\system32\mdcgina.dll
2008-04-09 15:05 . 2008-04-12 18:04 <DIR> d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2008-04-07 19:37 . 2008-04-07 19:37 <DIR> d---s---- C:\WINDOWS\system32\Microsoft
2008-04-07 19:36 . 2008-04-07 19:36 <DIR> d-------- C:\Programme\Kaspersky Lab
2008-04-07 19:36 . 2008-04-20 15:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-04-07 19:36 . 2008-04-20 15:29 2,476,576 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-04-07 19:36 . 2008-04-20 15:29 227,872 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-04-07 19:36 . 2008-04-17 17:06 96,645 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-04-07 19:36 . 2008-04-17 17:06 87,941 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-04-07 19:36 . 2008-04-20 14:48 33,452 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-04-07 19:36 . 2008-04-20 14:48 22,124 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-04-07 19:29 . 2008-04-13 19:37 <DIR> d--hs---- C:\WINDOWS\Installer
2008-04-07 19:29 . 2008-04-07 15:22 <DIR> d--h----- C:\Dokumente und Einstellungen\Chris\Vorlagen
2008-04-07 19:29 . 2008-04-07 16:18 <DIR> dr------- C:\Dokumente und Einstellungen\Chris\Startmenü
2008-04-07 19:29 . 2008-04-07 16:18 <DIR> d--h----- C:\Dokumente und Einstellungen\Chris\Netzwerkumgebung
2008-04-07 19:29 . 2008-04-07 16:18 <DIR> d--h----- C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen
2008-04-07 19:29 . 2008-04-11 15:19 <DIR> dr------- C:\Dokumente und Einstellungen\Chris\Favoriten
2008-04-07 19:29 . 2008-04-13 19:38 <DIR> dr------- C:\Dokumente und Einstellungen\Chris\Eigene Dateien
2008-04-07 19:29 . 2008-04-07 16:18 <DIR> d--h----- C:\Dokumente und Einstellungen\Chris\Druckumgebung
2008-04-07 19:29 . 2008-04-12 17:59 <DIR> d--h----- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten
2008-04-07 19:29 . 2008-04-20 15:14 <DIR> d-------- C:\Dokumente und Einstellungen\Chris
2008-04-07 19:29 . 2008-04-20 15:30 1,024 --ah----- C:\Dokumente und Einstellungen\Chris\ntuser.dat.LOG
2008-04-07 19:26 . 2008-04-20 15:28 <DIR> d--h----- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen
2008-04-07 19:26 . 2008-04-07 19:26 <DIR> d-------- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten
2008-04-07 19:26 . 2008-04-07 19:26 <DIR> d--hs---- C:\Dokumente und Einstellungen\NetworkService
2008-04-07 19:26 . 2008-04-20 15:28 <DIR> d--h----- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen
2008-04-07 19:26 . 2008-04-07 19:26 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten
2008-04-07 19:26 . 2008-04-09 18:52 <DIR> d--hs---- C:\Dokumente und Einstellungen\LocalService
2008-04-07 19:26 . 2008-04-20 15:02 1,024 --ah----- C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
2008-04-07 19:26 . 2008-04-20 15:02 1,024 --ah----- C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
2008-04-07 16:20 . 2004-08-04 00:40 57,600 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2008-04-07 16:20 . 2001-08-17 14:59 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys
2008-04-07 16:19 . 2004-08-04 00:57 77,312 --a------ C:\WINDOWS\system32\usbui.dll
2008-04-07 16:19 . 2001-08-17 13:13 27,165 --a------ C:\WINDOWS\system32\drivers\fetnd5.sys
2008-04-07 16:19 . 2001-08-18 05:20 16,256 --a------ C:\WINDOWS\system32\drivers\battc.sys
2008-04-07 16:19 . 2004-08-03 23:07 14,080 --a------ C:\WINDOWS\system32\drivers\cmbatt.sys
2008-04-07 16:19 . 2001-08-17 14:58 9,344 --a------ C:\WINDOWS\system32\drivers\compbatt.sys
2008-04-07 16:19 . 2008-04-18 15:07 1,374 --a------ C:\WINDOWS\imsins.BAK
2008-04-07 16:18 . 2008-04-07 15:22 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Vorlagen
2008-04-07 16:18 . 2008-04-07 16:18 <DIR> dr------- C:\Dokumente und Einstellungen\Default User\Startmenü
2008-04-07 16:18 . 2008-04-07 16:18 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Netzwerkumgebung

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-09 13:06 14,037 ----a-w C:\WINDOWS\system32\drivers\mdc8021x.sys
2008-04-07 13:26 558,142 ----a-w C:\WINDOWS\java\Packages\6CEK44CF.ZIP
2008-04-07 13:26 155,995 ----a-w C:\WINDOWS\java\Packages\8INFB9R9.ZIP
2008-04-07 13:26 --------- d-----w C:\Programme\microsoft frontpage
2008-04-07 13:25 --------- d-----w C:\Programme\Online-Dienste
2008-04-07 13:24 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2008-04-01 12:40 172280]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2007-05-19 22:36 218640]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00 132496]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\LimeWire\\LimeWire.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-04-04 14:58]
S3 SVC8021X;AEGIS Client;C:\WINDOWS\System32\svc8021x.exe [2003-07-25 16:28]

.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-20 15:29:39
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...


**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\mdcgina.dll
.
Zeit der Fertigstellung: 2008-04-20 15:32:26
ComboFix-quarantined-files.txt 2008-04-20 13:31:21

6 Verzeichnis(se), 72,663,699,456 Bytes frei
8 Verzeichnis(se), 72,757,592,064 Bytes frei

189 --- E O F --- 2008-04-18 13:07:42

Zitat:

blacklight hat nichts gefunden und silentrunners weiß net wo die datei hinkopiert wurde.

Normalerweise öffnet sich der Editor mit dem silentrunners logfile, ansonsten ist das Logfile aber immer noch dort zu finden, von wo du silentrunners ausgeführt hast (wahrscheinlich auf Desktop). Wenn Du das als zip heruntergeladen hast, solltest Du es VORHER entpacken und dann erst ausführen!!

ok werde ich machen, aber wenn die auch nichts finden was soll ich dann machen? Irgendwie wird sich sowas doch ausfindig machen lassen können?!

Also kurzum: Du vertraust Deinem System nicht mehr. Es könnte sein, daß Dein PC befallen ist oder auch nicht - daß man nix mehr findet, heißt aber nicht, daß der PC auch wirklich sauber ist.

Allerdings Du hast ja schon Zweifel an der Vertrauenswürdigkeit des Systems im jetzigen Zustand. Wenn Du Ruhe haben willst: Setz neu auf!

hallo,

neu aufsetzen geht net....ich weiß das es ein remote control tool ist aber wie kann ich mich effektiv davor schützen? Es wird wahrscheinlich UD sein aber irgendeine möglichkeit wird es doch wohl geben oder?

Ferner besteht das problem weiterhin, da ich outlook express benutze und selbst bei guter einstellung nur jemand eine email adresse eines verwandten benutzen muss und ein trojaner inne word datei packt und sofort bin ich wieder infiziert. So einfach sollte das alles nicht gehen...

Was kann man machen?

Du solltest noch das HijackThis Logfile posten.

Zitat:

neu aufsetzen geht net....

Warum?

Zitat:

ich weiß das es ein remote control tool ist aber wie kann ich mich effektiv davor schützen? Es wird wahrscheinlich UD sein aber irgendeine möglichkeit wird es doch wohl geben oder?

Warum bist Du Dir da so sicher, daß es ein RAT ist? Schützen kannst Du Dich da eigentlich nur vor, indem Du so etwas nicht installierst - von alleine wird nichts installiert!

Zitat:

Ferner besteht das problem weiterhin, da ich outlook express benutze und selbst bei guter einstellung nur jemand eine email adresse eines verwandten benutzen muss und ein trojaner inne word datei packt und sofort bin ich wieder infiziert. So einfach sollte das alles nicht gehen...

Also naja...
1. Würde ich kein OE benutzen.
2. Was heißt bei guter Einstellung?
3. Word-Datei? Wenn Dir jmd so etas unterjubelt solltest Du nicht blind einfach alle Makros aktivieren, dubiose Worddateien öffnet man eh nicht. Und schon garnicht mit Adminrechten.

E-Mail-Anhänge allgemein sind recht gefährlich. Nur weil offensichtlich ein Bekannter Dir ne Mail mit Anhang schickt, heißt das nicht, daß Du gefahrlos diese Datei öffnen/ausführen darfst. Denn die Spammer bzw. Malwareautoren können unter anderen Namen ihre Mails mitsamt Schädling versenden. Und es ist auch immer möglich, daß die Kisten Deiner Bekannten verseucht sind und sie quasi unbemerkt Malware verteilen.

Zitat:

passwd.txt heißt die datei, aber wenn ich sie löschen will, steht da passwd.log zugriff verweigert. Also das ist ja wohl eindeutig eine datei die nicht auf mein rechner gehört.

Hm das ist eine etwas komische Schlußfolgerung
Wie lautet der Pfad zu dieser Datei und was steht in ihr drin?

ok erstmal danke für die Antworten.......Hast mir sehr weitergeholfen.

Zitat:

Zitat von Fragezeichet

ok erstmal danke für die Antworten.......Hast mir sehr weitergeholfen.

Und was ist nun mit dieser passwd.txt? Und hijackthis?

habe mir ein bifrost trojaner eingefangen...passwD wurde daher verändert...Hijackthis zeigt das nicht an....

Zitat:

Zitat von Fragezeichet

habe mir ein bifrost trojaner eingefangen...passwD wurde daher verändert...Hijackthis zeigt das nicht an....

Und woher kommt diese Erkenntnis mit dem Bifrost?
Bifrost = Backdoor = Neu aufsetzen!

Bifrost? Da glaube ich nicht drann.
Das Projekt ist eingestellt.

Zufällig den Spyware Doctor oder PC-Tool Zeugs benutzt?