|
Bitte HiJackThis prüfen, möglicher Trojaner! So, hallo zusammen. Ich hab letztens einen Trojaner bei mir auf dem PC entdeckt durch eine Meldung von Kaspersky. Ich konnte ihn nur beschränkt durchlassen und habe am Ende festgestellt, dass ich ihn nicht weglöschen konnte, weil er sich in C:/RECYCLER verbarrikadiert hatte und durch die Kombination Total Commander+Unlocker der Trojaner jeden Löschvorgang abbrach bzw. verweigerte. So entschloß ich mich den PC neu aufzusetzen und jede Partition zu löschen, aber davor noch knapp 20 GB an Musik und Bildern auf einer Externen Festplatte zu sichern. Nach der Windows-Installation war alles wieder ganz normal und beschloß die Festplatte bei mir an den PC anzuschließen, dabei spuckte Kaspersky die gleiche Meldung wieder raus und gab mir an, dass eine verdächtige Aktivität auf der Festplatte sei, die er nicht als Virus oder desgleichen erkannt hatte. Somit fand ich in RECYCLER wieder schl.exe und auf der Festplatte war jetzt unter dem Pfad F:\CLICK\jack.exe\... ein neues Ding aufgetaucht. Hier nun zu der HiJackThis-Logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:24:46, on 10.09.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\SYOS\System32\smss.exe C:\SYOS\system32\winlogon.exe C:\SYOS\system32\services.exe C:\SYOS\system32\lsass.exe C:\SYOS\system32\svchost.exe C:\SYOS\System32\svchost.exe C:\SYOS\system32\spoolsv.exe C:\SYOS\system32\nvsvc32.exe C:\SYOS\system32\RUNDLL32.EXE C:\SYOS\RTHDCPL.EXE C:\SYOS\system32\ctfmon.exe C:\SYOS\explorer.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\SYOS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\SYOS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\SYOS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\SYOS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetupo.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\SYOS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetupo.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\SYOS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetupo.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\SYOS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetupo.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user') O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\ie_banner_deny.htm O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=about:blank O17 - HKLM\System\CCS\Services\Tcpip\..\{9E725C80-0215-4339-8A99-484796C8751F}: NameServer = 62.109.123.197 213.191.74.19 O20 - AppInit_DLLs: C:\PROGRA~1\Kaspersky Lab\Kaspersky Internet Security 2010\mzvkbd.dll,C:\PROGRA~1\Kaspersky Lab\Kaspersky Internet Security 2010\mzvkbd3.dll,C:\PROGRA~1\Kaspersky Lab\Kaspersky Internet Security 2010\kloehk.dll O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\SYOS\system32\nvsvc32.exe -- End of file - 4034 bytes Ich bitte um Hilfe!!! MfG |
Hallo und Herzlich Willkommen! :) Wenn du eine infizierte Datei sicherst auf externe Festplatte und nachher wieder ins Pc steckst...ist eh klar ;) - Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe: 1. ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen:: → Klicke unter Start auf Arbeitsplatz. → Klicke im Menü Extras auf Ordneroptionen. → Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen → Geschützte und Systemdateien ausblenden → Haken entfernen → Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen. → Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. 2. Für XP und Win2000 (ansonsten auslassen) → lade Dir das filelist.zip auf deinen Desktop herunter → entpacke die Zip-Datei auf deinen Desktop → starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen → kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread ** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen! 3. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool ccleaner herunter installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein Zitat:
Coverflow |
So, gesagt getan, hier ist das, was mr die .bat rausgehauen hat, hab natürlich jeden Eintrag rausgelöscht, der nichts mehr mit vor 6 Monatn zu tun hatte. Darunter folgt die install.txt und nochmal das HiJackThis-Logfile. Code: ----- Root ----------------------------- Code: CCleaner (remove only)Code: Logfile of Trend Micro HijackThis v2.0.2 |
was ist "SYOS"? und die Softwareliste v. Ccleaner scheint mir etwas zu kurz zu sein..? Vollständig gepostet? Oder zuerst mal so wenig drauf? - Jedes Speichermedium (wie USB-Sticks/Platten usw ) bitte anschließen und dabei die [SHIFT]-Taste gedrückt halten! - Lade dir FindyKill.exe von hier herunter und speichere die Datei auf dem Desktop.
|
Hier ist der Bericht, aber es kam irgendwie war eigenartiges raus, anscheinend kannst du wohl mehr damit anfangen. Code: ############################## | FindyKill V5.010 | |
na das ist nicht ganz..viel zu kurz? etwas schief gegangen? ode das Log hast Du nicht vollständig gepostet? |
Musst dich leider enttäuschen, das ist alles, was in der Log-File stand, ich hab es auch nochmal gestartet und es kam genau das gleich nochmal heraus. MfG EDIT: Bevor ich das vergesse zu erwähnen. FindyKill brauche ich nicht zu installieren, ich konnte es auch so von Anfang an starten und nach dem neustart stand auch kein "Nettoyage effetuee!" Sorry, falls diese Info wichtig war... |
stelle bitte mal Spyware Doctor ab (wenn nicht Kaufversion empfehle Dir zu deinstallieren) ansonsten: Start --> Ausführen ---> "Services.msc" --> (reinschreiben ohne ""--> OK" auf "Manuell" stellen: Code: sdAuxService |
SO, jetzt hats geklappt und er hat ein paar interessante Sachen gefunden, ich poste das einfach mal: Code: ############################## | FindyKill V5.010 | |
hi 1 - FindyKill deinstallieren: -Doppelklicke das FindyKill-Icon auf dem Desktop.- mit Rechtsklick und als Administrator ausführen! - Es öffnet sich ein DOS-Fenster wähle "F" + Entertaste - im nächsten Screen die "3" + Entertaste, um die Deinstallation zu starten. - lösche den Ordner C:\Programme\FindyKill und die Datei C:\findykill.txt manuell und leere den Papierkorb. 2. Externe Festplatte etc bitte erneut anschließen Lass bitte mal den Kaspersky über das System laufen (vorher updaten)--> alle Funde in Quarantäne verschieben, poste die Report-Datei |
Hey. Ich hab jetzt Kaspersky Internet Security 2010 geupdatet und rüberlaufen lassen und er hat in den verseuchetn Ordnern nichts gefunden. FindyKill wurde davor deinstalliert und die jeweils dazugehörigen Ordner wurden gelöscht. |
Scheint wohl nichts mehr zu bringen... Lohnt es sich doch lieber nochmal aufzusetzen? |
Zitat:
mein Vorschlag wäre: 1. - Downloade Dr. Web CureIt! Anleitung findest du unter folgendem Link: → *klick* Jedes Speichermedium (wie USB-Sticks/Platten usw ) bitte anschließen und dabei die [SHIFT]-Taste gedrückt halten! 2. auch da alle Speichermedien bitte anschließen - eventuell kannst Du noch dein Sytem mit mindestens 3 Onlinescanner prüfen/reinigen: - Vor dem Scan Einstellungen im Internet Explorer: Extras → Internetoptionen → Sicherheit → Stufe anpassen: alles auf Standardstufe stellen - Active X erlauben - Nicht gleichzeitig scannen! Nach jedem Scanvorgang starte dein System neu auf - speichere und poste das Logfile des Scans - die Ergebnisse als*.txt Datei speichern |
Ok, das erledige ich morgen, weil ich heute keine Zeit mehr habe, vor allem will anscheinend der Trojaner mit mir spielen. Jetzt entsteht immer wieder eine IEXPLORER.exe Fehlermeldung, wenn ich ihn ausschalte. Dann passiert es mir auch manchmal, dass die Taskleiste einfach verschwindet bzw. mit einem schwarzen Balken ersetzt wird. |
So, er hat nichts gefunden; alle vier Dienste haben es nicht geschafft irgendetwas zu finden. Code: a-squared Web Malware Scanner v. 4.0EDIT: Ich hab mich jetzt mal so in meinem Ordner umgeschaut und die Datei schl.exe ist jetzt in C:\RECYCLER sichtbar. |
hi lade bitte bei Virustotal hoch: → besuche die Seite von virustotal und die Datei/en aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren: Code: schl.exe→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox) → "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist → das Ergebnis wie Du es bekommst da reinkoperen (inklusive Dateigröße und Name, MD5 und SHA1) |
So, hab es jetzt rüberlaufen lassen, hier ist das, was dabei rauskam: Code: Antivirus Version letzte aktualisierung Ergebnis |
hi:) Ich möchte, dass die Ergebnisse die Dateiname auch beinhaltet! Beispiel - das zu postende logfile von virustotal soll so wie hier aussehen : Code: Datei schl.exe empfangen 2009.xx.xx xx:xx:xx (CET)- genaue Pfad mir bitte auch angeben "C:\... |
Code: Datei schl.exe empfangen 2009.09.15 22:36:38 (UTC)Der Pfad lautet: C:\RECYCLER\S-1-5-21-9565980191-9182257228-485767978-5392\schl.exe |
da die Datei noch "Relativ unbekannt" ist, lass uns sie noch schnell hochladen, damit sie zu den AV-Programm Herstellern weitergeleitet werden kann bzw zur weitere Analyse: Datei Upload
C:\RECYCLER\S-1-5-21-9565980191-9182257228-485767978-5392\schl.exe
|
Hochladen ist gelungen. |
Und wie sieht jetzt der nächste Schritt aus? |
hi Bevor wir witer machen: Da jederzeit etwas passieren kann, wenn du wichtige Daten hast die Du sichern möchtest, empfehle ich Dir es jetzt machen (wie Bilder, Musik usw) Unabhängig von einem Befall (weil ja kann eine Festplatte auch kaputt gehen, oder es gibt andere technische Probleme ), sollte man regelmäßig Sicherung machen und an einem sicheren Ort bewahren, wie CD und DVD, aber besser auf externe Festplatten oder/und USB-Sticks Mache das jetzt bitte! - Speichermedien wie Externe Festplatte/USB-Stick usw bitte anschließen, halte dabei die Shift-Taste gedrückt! - Lade das Combofix von einem der folgenden Download Spiegel herunter: BleepingComputer - ForoSpyware - Wichtig!: Vor dem Speichern auf Desktop, benenne ComboFix.exe um in "cftest.exe" - installiere auf den Desktop - Antiviren, - und andere Schutz/Spyprogramme bitte deaktivieren - Schließe jeder externe Datenträger (USB Stick und USB Festplatte etc) an dein Computer an - dabei die Shift-Taste bitte unbedingt gedrückt halten! - Per Doppelklick die ComboFix.exe starten und den Anweisungen folgen - Falls die Microsoft-Windows-Wiederherstellungskonsole auf dein Rechner nicht installiert ist, und wenn du direkt gefragt wirst, es zu ermöglichen stimme dem Lizenzvertrag zu. Danach erscheint ein Fenster zur Bestätigung, ansonsten wird ComboFix mit der Arbeit fortfahren - bestätige mit "ja", damit den Suchlauf automatisch beginnen kann Zitat:
** Eine bebilderte Anleitung findest Du hier: bleepingcomputer.com/combofix/Anleitung **Danach nicht vergessen die Schutzprogramme wieder aktivieren!! |
So, der hat mir das ganze eklige Zeug weggelöscht, was mir bekannt war. Wenn ich mich nicht irre, dann muss ich dir tausend Dank aussprechen. :) Hier noch zur Log-File: Code: ComboFix 09-09-16.05 - Administrator 17.09.2009 18:06.1.2 - NTFSx86 |
hi 1. - den Quarantäne Ordner überall leeren - Antivirus bzw Anti-Spy-Programm usw - CombiFix entfernen: Start --> Ausführen -->Kopiere rein Combofix /u --> OK Entferne auf C:\ Qoobox (falls noch vorhanden) -->Papierkorb leeren oder einfach nur entfernen, C:\ Qoobox (falls noch vorhanden) auch löschen-->Papierkorb leeren 2. alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren **Lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar.
3. reinige dein System mit Ccleaner:
4.
*** Wie läuft der Rechner denn nun? |
So, ich hab bis jetzt alles befolgt, außer das bei 4. stehen geblieben bin. Da steht jetzt schon seit ca. 3 1/2 Stunden: "Please wait while the installer determines your disk space requirements..." Ist das normal? Angeschlossen ist eine Festplatte mit 200 GB und eine externe mit 500. |
Von 13 bis 19 Uhr stand da ständig Zitat:
|
So, bin alles durchgeganegn, aber gefunden habe ich nichts: Code: SUPERAntiSpyware Scann-ProtokollCode: ComboFix 09-09-18.02 - Administrator 19.09.2009 12:08.2.2 - NTFSx86 |
hi 1. CombiFix entfernen: Start --> Ausführen -->Kopiere rein Combofix /u --> OK Entferne auf C:\ Qoobox (falls noch vorhanden) -->Papierkorb leeren oder einfach nur entfernen, C:\ Qoobox (falls noch vorhanden) auch löschen-->Papierkorb leeren 2. Externe Platte, Usb etc bitte witerhin anschließen 3. Lass bitte mal den Kaspersky über das System laufen (vorher updaten)--> Funde in Quarantäne verschieben, poste die Report-Datei |
So, es wurde nichts gefunden. Hab alles so gemacht, wie es gesagt wurde und scheint alles ok zu sein, laut Scanner. |
hi Läuft dein System stabil? Hast du sonst noch Probleme? |
Nein, Probleme habe ich bis jetzt keine mehr gehabt. Soll ich vielleicht noch einmal eine HiJackThis-Logfile posten, um sicher zu gehen? |
hi 1. Zum Schluss, scanne dein Sytem mit mindestens 3 Onlinescanner (Externe Sachen bitte anschliessen): - Einstellungen Internet Explorer: Extras → Internetoptionen → Sicherheit → Stufe anpassen: alles auf Standardstufe stellen - Active X erlauben - dies ist notwendig, damit auf deine Festplatte zugegriffen werden kann - nach jedem Scanvorgang starte dein system neu auf - speichere und poste das Logfile des Scans - die Ergebnisse als*.txt Datei speichern 2. Trend Micro HijackThis-Logfile - Keine offenen Fenster, solang bis HijackThis läuft!! |
So, hab geprüft, nichts gefunden. Hier die HiJackThis-Logfile: Code: Logfile of Trend Micro HijackThis v2.0.2 |
hi 1. Zum Schluss, führe den folgenden Schritt aus: ** Rechten Maustaste auf den "Arbeitsplatz"→ auf "Eigenschaften"→ Registerkarte "Systemwiederherstellung"→ "Systemwiederherstellung deaktivieren"→ auf "OK"→ alles schließen→ Rechner neu starten→die Standardeinstellung wiederherzustellen(SWH wieder"aktivieren") 2. Du Könntest Dein System ein wenig "flotter" machen (Empfehlungen/Vorschläge): Programme im Autostart sind Programme, die sich (mit oder ohne Zustimmung des Users) im Autostart eingetragen haben und sofort mit Windows hochfahren. Je mehr Programme hier aufgeführt sind, umso langsamer startet Windows! "Start→ ausführen→ "msconfig" (reinschreiben ohne ""→ OK" - it-academy.cc - pqtuning.de Einfach dort den Haken herausnehmen, dann die Programme starten nicht mehr automatisch. (oder mit HijackThis fixen) Du kannst aber jeder zeit manuell starten - (nach deinen Bedürfnissen anpassen, es ist immer Benutzerspezifisch,ein allgemein gültiges Rezept gibt es nicht) Wird noch nach dem nächsten Neustart wieder ein Hinweisfenster erscheinen, da ist ein Haken setzen : `Meldung nicht mehr anzeigen und dieses Programm beim Windows-Star nicht mehr starten` - auf keinen Fall Grafiktreibers, Sound, Firewall und Anti-Viren-Programmen abschalten!! Oder mit HJT fixen: alle Programme, Browser etc schließen→ HijackTis starten→ "Do a system scan only" anklicken→ Eintrag auswählen→ "Fix checked"klicken→ PC neu aufstarten HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen [code] Ausschaltkandidaten sind: Code: O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\SYOS\system32\NvCpl.dll,NvStartupHijackThis starten: Einträge 08,-09,-014,-016 und 018 - kannst alle mit HijackThis fixen, NICHT wo etwas mit `KASPERSKY` steht! 4. - Überflüssige Dienste belasten nur den Prozessor und Arbeitsspeicher, daher solltest Du abschalten: Code: O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exemit der rechten Maustaste auf den Dienstnamen klicken→ wähle `Eigenschaften`→ `Starttyp`→ Manuell, damit wird der Dienst ruhiggestellt. Oder kannst Du mit dem Starttyp `Manuell` den Dienst erst dann zu starten, wenn ein Programm ihn benötigt. - Kannst du die Programme die wir verwendet haben und nicht brauchst entfernen, bis auf: Code: HijackThis/Trend MicroÄndere deine Passworte und Zugangsdaten! - von einem sauberen System aus Zitat:
ich wünsche dir alles Gute:) |
Ich danke dir nochmal und jetzt hoffe, dass mir nichts blödes mehr passiert. Jetzt weiß ich ja, wo ich mich dann zu melden habe. ; ) MfG Damiani |
hallo zusammen.. ich hatte die gleichen dateien auf der platte.. auf meinen usb-laufwerken war ein versteckter ordner namens "click" (papierkorbsymbol) in dem sich die jack.exe und eine desktop.ini befanden.. dazu kam eine autorun.inf die man nicht ohne weiteres öffnen konnte da der explorer die datei blockierte.. nach dem einsatz von file & folder unlocker konnte ich sie jedoch auslesen und den offensichtlichen verdacht bestätigen das sie die jack.exe über die autoplay funktion ausführt... auf meinem systemlaufwerk befanden sich im recylcer\x-x-x-xx-xxxxxxxxxx-xxxxxxxxx-xxxxxxxxxx-xxxx\ eine schl.exe und eine weitere desktop.ini... die schl.exe wird über dir registrierung beim starten von windows ausgeführt: pfad: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon schlüssel: Taskman der wert ist natürlich der pfad der schl.exe.. die jack.exe sorgt dafür das die schl.exe aufs systemlaufwerk kopiert wird und die schl.exe infiziert jedes usb-laufwerk mit dem click ordner und der autorun.inf... nachdem ich diese infos zusammengetragen hatte war es nicht sonderlich schwer die dateien manuell zu löschen und den registry eintrag zu entfernen.. ich hatte in der zeit in der diese programme auf der platte waren keine probleme mit dem system... nun zu meiner eigentlichen frage: kann jemand informationen dazu geben was dieser schädling genau tut? auf dem infiziertem system befinden sich ein haufen passwörter und andere sensible daten und.. nun ja.. meine eltern haben eine heidenangst das diese daten nun in falschen händen sein könnten.. konkret will meine mom wissen ob es möglich ist das ihr amazon account geklaut wird da sie dort ihre bankverbindung angegeben hat und das passwort zum anmelden über firefox gespeichert ist (natürlich längst geändert-> verstehe selbst nicht warum die sone panik haben :) ) ... wäre schön wenn hier jemand etwas genaueres weis damit meine eltern es schriftlich haben denn mir glauben sie eh kein wort :) liebe grüße lunar edit: was mich persönlich noch interessiert ist wie dieses programm im hintergrund laufen konnte ohne von hijackthis oder diversen taskmanager-apps gefunden zu werden.. die jack bzw schl.exe sind nie irgendwo aufgetaucht und doch müssen sie ja aktiv gewesen sein da sie beim anstecken eines usb-laufwerks sofort den ordner und die autorun.inf erstellt haben.. |
@lunar Allgemeine Forenregeln: Neue Thread eröffnen! Also bitte nicht in die Threads anderer User hineinposten,sondern suche dir das richtige Unterforum für deine Frage aus! Dort "Neues Thema" auswählen und dein Problem so kurz und detailliert wie möglich beschreiben:) gruß Coverflow |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 19:48 Uhr. |
Copyright ©2000-2025, Trojaner-Board