Hallo!

Am Wochenende habe ich bei meinem Windows-XP-Rechner (mit fast allen Patches) eine neue DFÜ-Verbindung eingerichtet, hab aber leider nicht dran gedacht, dass ich ja die Firewall manuell einschalten muss. Bin also ohne ins Internet gegangen. Hat nicht lange gedauert, da hat AntiVir geklingelt. Trojaner gefunden. Internet aus und alles durchsucht. Gefunden wurden SDbot.oy, Korgo.Q, Nuclear Uploader.
Dann bin ich wieder ins Internet, dabei habe ich aber bemerkt, dass ständig gesendet wird. Also wieder durchsucht, u.a. auch mit Stinger und heute mit Sophos. Alles die neusten Versionen.
Das Problem bleibt aber...
Jetzt habe ich mit netstat -o getestet, was genau gemacht wird:
Zuerst wird eine Verbindung aufgebaut mit 220.electricstorm.co.uk; PID 792 (ist iexplorer.exe; den ich dann einfach direkt geschlossen hab); danach wird immer wieder SYN_Gesendet gemeldet. IP.Nr:microsoft.ds; auch Code.dip.t-dialin.net:microsoft-ds immer mit SYN_GESENDET.

Was bedeutet das? Wie finde ich jetzt den Trojaner, oder was auch immer? Ich wollte a2 Free installieren; es wird aber immer gemeldet, dass das Proggi kein Zugriff auf die Registrierung hat, obwohl ich mich extra als Admin angemeldet hab...

Hat einer eine Idee?

Sweeny!

Zum Trojaner:

Poste bitte HijackThis-Log.

Ha! Heureka, ich hab es... Ich hab mit HijackThis gecheckt und diesen Autocheck auf der Homepage gemacht. Wie ich schon im ersten Post vermutet hatte. Ist die Datei iexplorer gewesen, nannte sich [MS Internet Explore]. Hab diese Datei gelöscht und den Regeintrag ebenfalls löschen lassen. Jetzt funkt mein Rechner nicht mehr zu diesem seltsamen Server...

Weiß jemand, was das für ein Wurm war?

Sweeny

Wenn Du die Datei noch im Papierkorb hast, kannst Du sie ja mal wiederherstellen und unter http://www.kaspersky.com/de/scanforvirus checken, vielleicht wird sie dort erkannt.

Zitat:

Windows-XP-Rechner (mit fast allen Patches) ... Korgo.Q

Wenn nicht mittlerweile alle Patches installiert sind, wirst Du bald wieder Probleme bekommen...

Gruß
Yopie