Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner im System32 (https://www.trojaner-board.de/10181-trojaner-system32.html)

Herwelzer 28.11.2004 18:23
Trojaner im System32
 
Hallo Leute.
Bekomme seit kurzem vom DOS Nachrichtendienst eine Meldung.
Die verursachende Datei löschen bringt nichts, weil sie sich immer wieder neu erstellt.
Auch mit einem anderen Namen.
Hier wie die nachricht heißt.

Nachricht von pc an pc am Datum, Uhrzeit
´Bat/FTPDownloader.Trojan´wurde in C:/Windows/System32/O entdeckt.
Computer: PC, Benutzer: NT-Autorität/System.
Dateistatus: Infiziert

Nach mehrmaligem OK Button drücken verschwindet die meldung, sie kommt aber nach einer gewissen zeit wieder.
Bitte um hilfe
Danke schonmals

Shadowdance 28.11.2004 19:21
@ Herwelzer,

Zitat:
Zitat von Herwelzer
DOS Nachrichtendienst
.. interessant. Man lernt nie aus.

Erstelle bitte ein Hijack This Logfile und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html.

SD

Cidre 28.11.2004 19:32
Deaktiviere den Nachrichtendienst:
Start -> Ausführen -> services.msc eingeben -> Nachrichtendienst -> Eigenschaften -> Dienststatus Beenden -> Starttyp deaktiviert -> Übernehmen

Wenn du schon dabei bist, dann führe auch folgende Anleitung noch aus:
http://www.ntsvcfg.de/

Herwelzer 29.11.2004 23:36
Hallo und zuerst mal danke an euch zwei. Möchte nur sagen das ich nicht so bewandert bin wie ihr und das mit dem posten und so weiter nur machen kann wenn ihr mir das erklärt. Wenn ich schon dabei bin, mein DSL ist seit kurzem im Seitenaufbau sehr langsam und mein Router steigt desöftern aus. Weiß da jemand was?

Mit dem Trojaner wo den Nachrichtendienst schickt fand ich heraus das er auf die Sekunde jede Stunde kommt. Lösche ich eine aktuelle Nachricht nicht gleich, muß ich soviele Nachrichten löschen wie Stunden vergangen, die erst zum vorschein kommen, wenn ich die letzte Nachricht gelöscht habe.
Vielen Dank

Cidre 29.11.2004 23:38
Wenn du uns mehr Informationen zu deinem System gibst, dann könnte man eventuell helfen, aber so kann man nur spekulieren.

Erstelle mit HiJackThis ein Log-File und poste es hier rein.
Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen.

Herwelzer 29.11.2004 23:41
Danke Cidre, welche info brauchst du vom System her?

Haui45 29.11.2004 23:43
Besuche die von Cidre verlinkte Seite, lade das Program runter, erstelle ein Logfile und poste das ganze ins Forum.
mfg Haui

Herwelzer 29.11.2004 23:48
Bin grad dabei, aber kann mir jemand einen Tipp aufgrund des langsamen DSL
und des dauernd aussteigenden Routers geben?

Herwelzer 29.11.2004 23:55
So, habe jetzt mit dem Programm eine ellenlange liste. Sieht nach regestrie
Einträgen und vielen exe dateien aus. Benutzerdaten die ich unkenntlich machen soll finde ich nicht. Müssen die da vorhanden sein?
Kann ich diese datei einfach kopieren und hier einfügen

Shadowdance 29.11.2004 23:56
Hallo Herwelzer,

dafür kann es viele Gründe geben. Bitte sei so nett, spann uns alle nicht auf die Folter, erstelle ein Hijack This Logfile und poste es .. erst dann wissen wir mehr.

SD

Cidre 29.11.2004 23:59
Damit meinte ich solche Einträge, die durchaus vorkommen könnten:
C:\Dokumente und Einstellungen\*Benutzername*\Lokale Einstellungen\Temporary Internet Files
Möglicherweise könnte ja dein Benutzername dein reeller Name sein, du verstehst?!

Herwelzer 30.11.2004 00:08
Achso, jetzt nur noch die frage was ihr braucht, wenn ich diese Datei ausführe öffnet sich ein Fenster mit lauter Einträgen. Meistens exe Dateien. desweiteren kann ich so eine Zeile markieren und unter config , open process manager weiter Listen öffnen. wie gesagt, bin anfänger.

Herwelzer 30.11.2004 00:34
Meint ihr sowas, habe mal bei anderen geschaut.

StartupList report, 30.11.2004, 00:22:59
StartupList version: 1.52.2
Started from : C:\Dokumente und Einstellungen\Julia\Lokale Einstellungen\Temp\Temporäres Verzeichnis 4 für hijackthis1982.zip\HijackThis.EXE
Detected: Windows XP SP1 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
* Including empty and uninteresting sections
* Showing rarely important sections
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\WAVEline Wireless LAN Utility\wlanutil.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\eMule\emule.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Dokumente und Einstellungen\Julia\Lokale Einstellungen\Temp\Temporäres Verzeichnis 4 für hijackthis1982.zip\HijackThis.exe

Shadowdance 01.12.2004 19:50
Hallo Herwelzer,

so schwer kann's doch nicht sein. Poste bitte das gesamte Hijack this Logfile. Schau Dir die Logfiles der anderen an, dann weißt Du, wie es aussehen soll und was wir hier sehen wollen. Du hast nur die ersten beiden Teile gepostet.

SD

Julia90 07.12.2008 20:54
Hallo Leute,
ich hatte vor ca. einem Monat im Ordner System32 einen Trojaner. Hab diesen auch sofort mit Avira löschen können. Aber seitdem funktioniert mein Explorer nicht mehr. Er is zwar noch im WINDOWS-Ordner aufgeführt, aber wenn ich über den taskmanager explorer.exe öffnen will, kommt eine Fehlermeldung, dass explorer.exe nihct gefunden werden konnte. Ich bin leider kein großer Computerspezialist, also helft mir bitte!!! Kann zwar noch auf alle Programme über den Taskmanager zugreifen, das is aber verdammt nervig!!:heulen:

Schonmal danke!


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:59 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131