|
Hilfe !!! Habe Trojaner und keinen Plan... Hallo Leute! Ich habe zur Zeit ein Problem und hoffe, dass ihr mir weiterhelfen könnt. Bei mir zeigt F-Secure bei jedem Neustart 3 Meldungen an: Bösartiger Code in Datei C:\Winnt\Satmat.exe gefunden Infektion: Trojan-Downloader, Win32, Stubby.d Aktion: fehlgeschlagen Wenn ich nun im Winnt-Ordner rein schaue, seh ich ne Datei satmat.ini ?! Wenn ich F-Secure dann nochmal manuell starte, findet er nix mehr... ?! Das Problem, welches er meiner Meinung nach verursacht, ist das er meinen Rechner nach einigen Stunden "Nichtbenutzung" (im Internet befindend) von selbst runter. Vereinfacht gesagt ich lass meinen Rechner ab und zu über Nacht im Internet laufen. Normaler Weise läuft der dann in der früh noch. Nun aber nicht mehr - er ist aus... :koch: Kenn ihr so einen Trojaner bzw. so ein Problem?!?! Könnt ihr mir helfen?!?! 1000 Dank schon mal in voraus für eure Antworten !!! Ciao, Daniel |
Hi, Ich denke mal, daß du außer dem nochmehr draufhast; denn das was Du beschreibst, ist nicht die Aufgabe von dem. Deshalb bitte mal ein HiJackThis Logfile hier rein posten. |
Hallo cacatoa! Danke für die rasche Antwort. Aber ich denke mal nich, das ich noch mehr Schrott drauf hab... Habe wie gesagt F-Secure (immer aktuell) und Sygate Firewall. Außerdem läuft bei mir regelmäßig Stinger (auch aktuell) drüber...?! Muß mich noch kurz für ev. dumme Fragen und so entschuldigen. Ich habe erst seit ca. 1 Jahr meinen eigenen Laptop zu hause und kenn mich noch nicht so 100% aus. Vor allem was Trojaner, Vieren und so angeht... Und nun geht´s bei mir auch so richtig mim Internet los. DSL und so... Hab mir jetz sogar extra noch ne 250GB-Platte dazu gekauft... Aber jetz genug OT... Was is denn des genau mit dem HiJack...?!?! Möchte hier im Netz nich meine intiemsten Intimitäten posten...?!?! Was kannst Du damit genau sehn...?!?! |
Du sollst hier keine Intimitäten reinposten ;) Deshalb mache persönliche Teile, wie z.B. Benutzernamen unkenntlich. Was man sieht, siehst Du gleich, wenn du hier im Forum stöberst und Dir andere Logs ansiehst. Wenn du dich allerdings den ganzenTag auf irgendwelchen dubiosen Seiten rumtreibst, kann es schon sein, daß davon Relikte auftauchen; kommt hier öfter vor. Außerdem: glaubst Du, ein scanner (F-Secure) erkennt alles?? |
Hm, ja, gut. Is schon klar, dass so was vorkommen kann. Was heißt hier wo rumtreiben...?!?!? :nixda: ;) Ich bedanke mich auf jeden Fall mal für Deine Hilfe und würde sie gerne annehmen!!! Du machst das also alles unkenntlich, ok. Und Du? Du bist wahrscheinlich der Superhacker und wartest wie die Spinne im Netz... :D :D (Nur Spaß, aber ich hoffe dem ist nich so...) Also wenn ich diese Datei geschrieben hab, wie bekommst Du die dann...?!?! Habe leider kein Webspace oder so... Außerdem wird des erst was so zwischen Acht und Neun, wenn ich zu Hause bin. Des Zeug von meinem Firmenrechner wird Dir wohl nich viel bringen... ;) |
Ich will gar nichts haben. Du sollst mit HIJackThis ein Logfile erstellen, das Logfile per copy & paste hier ins Forum stellen. Wenn Du es in das weiße Antwortfeld stellst, kannst Du ja die Dinge, die man nicht sehen soll, unkenntlich machen; ich kann das von hier aus nicht, o.k. |
Ok, kapiert! Mach ich gleich wenn ich daheim bin! Sorry, wegen meiner Begriffstuzigkeit... Aber ich hab´s ja schon erklärt... Ich finde das hier ein wirklich tolles Forum!!! :aplaus: Und wie schon gesagt: Vielen vielen Dank für Deine Hilfe!!! Manchmal braucht man halt einen, der sich mit so was auskennt... ;) |
Oh Gott!! Sorry, jetz hab ich nochmal ne ganz blöde Frage...: Was genau soll ich da jetz raus löschen...?!?! Wo steht da was?!?! Möchte halt das übliche raus nehmen. ID, Benutzer und so... |
Ja, genau das machst Du folgendermaßen: Das Logfile per copy & paste in das Antwortfeld stellen. Dann gehst Du an die Stellen, die Du unkenntlich machen willst und gibst dafür zum Beispiel: XXXXXXX ein; das wars. |
|
OK, wenns kein andere macht setz ich halt noch den Link zu Cidre's Anleitung rein (hab mir das Logfile aber nicht wirklich angeschaut). mfg Haui |
@ haui Haui, alter Lauser! Servus! @ alfisti 145 Ich hab noch ein bischen geschaut, aber jetzt wäre auch von mir cidres Rat gekommen, den haui soeben gepostet hat. Sorry, aber wat mutt, dat mutt. cacatoa |
Oh Mann... Nee, neu aufsetzen möcht ich erstmal nicht! Wie bekomm ich die 3 jetz weg von meinem Rechner?!?! Den Link, den Du reingestellt hast, is ja für n anderes Vierenprogramm, mit dem ich nix anfangen kann. Und F-Secure kennt den "satmat" oder "Stubby.d" nicht. War grad auf der Homepage... |
alfisti145! Der Link bezieht sich nicht auf das Programm, sondern auf die Beschreibung des Backdoortrojaners, den du auf dem System hast! Deshalb kann ich dir nichts anderes raten, leider. |
Bekomme ich des Ding also nich runter?!?! Was macht so ein Backdoortrojaner eigentlich genau?!?! |
Zitat:
Heute aber nur ein kurzes "Gastspiel" von mir, hab noch zu tun :( Naja man läuft sich sicher wiedermal über den Weg im ein oder anderen Thread cya Haui |
Zitat:
z.B. # Schaltet Antiviren-Anwendungen aus # Ermöglicht Dritten den Zugriff auf den Computer # Sendet sich an Adressen in Outlook-Adressbüchern # Stiehlt Daten # Lädt Code aus dem Internet herunter |
Bei diesen Teilen kannst Du nicht mehr nachvollziehen, was sie in deinem System angestellt haben. Der Rechner gehört nicht mehr Dir. Schlimmstenfalls werden darüber Kinderpornos vertickert, ohne daß Du es merkst. Mehr zu Thema findest Du hier und zum Schutz nach dem Neuaufsetzen hier Weiter Infos hier Halte dich an die Tipps, sonst gehts bald wieder los. cacatoa |
Hallo Jungs! Nachdem ich jetz nun eh schon fast soweit bin, mein System neu auf zu stellen, versuch ich noch n bisschen was, des Zeug los zu werden, ohne so viel Aufwand, um das Ganze noch ein bisschen raus zu zögern. Mir is schon klar, dass ihr da um einiges mehr Experten seit und ich glaube euch natürlich! Aber wenn ich eh schon nicht mehr viel kaputt machen kann versuch ich´s halt mal... Was haltet ihr denn von dem: Habe neuste Stinger-Version vom 19.11., SpyBot-Search&Destroy und so n trojanremovel-Tool (wieß nich mehr genau wie des geheißen hat) runter gezogen. Ich lass jetz mal alles drei durchlaufen. Habe schon jetz festgestellt, dass mein F-Secure jetz wieder Vieren erkennt und entfernt. Was haltet ihr von dem was ich da jetz anstelle...??? |
Davon halte ich gar nichts! Der Grund ist ganz einfach: Es geht nicht nur um Dich - Du bist im I-Net eine Gefahr für andere!! Zitat haui 45: Zitat:
cacatoa |
Ich schließe mich der Meinung von cacatoa an. Die von dir beschriebene Vorgehensweise ist nutzlos, da du davon ausgehen musst, dass dein gesamtes System manipuliert wurde. @cacatoa http://www.smiley-channel.de/grafike...trinken025.gif |
Guten Abend zusammen! Zu dem, das ich andere bedrohe: Ich nutze werder Outlook noch Express. Komisch finde ich, das alles was ich laufen hab lassen zwar was gefunden hat, aber nicht das was ihr mir gesagt hab das ich hab... Wo seh ich denn bei meinem Logfile was ich wo für Müll drauf hab...?!? |
Weißt du, wenn du (aus unerfindlichen Gründen) nicht Dein Logfile rausgelöscht hättest, könnten wir dir Antwort geben; oder meinst du wir merken uns die Dinger alle auswendig? :crazy: |
Ok. Überzeugt... Das is jetz nach meiner "Bearbeitung": Logfile of HijackThis v1.98.2 Scan saved at 20:39:01, on 01.12.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\Programme\Sygate\SPF\smc.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE C:\WINNT\System32\svchost.exe C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe C:\Programme\F-Secure\Anti-Virus\FSGK32.EXE C:\Programme\F-Secure\Anti-Virus\fssm32.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\Programme\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe C:\Programme\F-Secure\Common\FSMA32.EXE C:\WINNT\System32\svchost.exe C:\Programme\F-Secure\Common\FSMB32.EXE C:\Programme\F-Secure\Common\FCH32.EXE C:\Programme\F-Secure\Common\FAMEH32.EXE C:\WINNT\Explorer.EXE C:\Programme\F-Secure\Common\FNRB32.EXE C:\Programme\F-Secure\Anti-Virus\fsav32.exe C:\Programme\F-Secure\Common\FIH32.EXE C:\WINNT\LTSMMSG.exe C:\WINNT\system32\Trirot.exe C:\Programme\Acer\Powerkey\Powerkey.exe C:\WINNT\System32\Keymap.exe C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe C:\WINNT\shico.exe C:\Programme\F-Secure\Common\FSM32.EXE C:\PROGRA~1\GEMEIN~1\MAYCOM~1\EDOCPR~1\eDoc.exe C:\Program Files\Windows AdControl\WinAdCtl.exe C:\Program Files\Windows AdControl\WinAdAlt.exe C:\WINNT\system32\internat.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\WINNT\system32\wuauclt.exe C:\Programme\frn_inbc\frn_inbc.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=surfproxy.freenet.de:8080 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Search Relevancy - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~1\SEARCH~1.DLL O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file) O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe O4 - HKLM\..\Run: [Trirot] Trirot.exe O4 - HKLM\..\Run: [AcerPowerkey] "C:\Programme\Acer\Powerkey\Powerkey.exe" O4 - HKLM\..\Run: [VolKey] C:\WINNT\System32\Keymap.exe O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe" O4 - HKLM\..\Run: [KEWelcomeReBoot] D:\welcome_S500.exe O4 - HKLM\..\Run: [shico] C:\WINNT\shico.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [eDoc] C:\PROGRA~1\GEMEIN~1\MAYCOM~1\EDOCPR~1\eDoc.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [Windows AdControl] C:\Program Files\Windows AdControl\WinAdCtl.exe O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...a2edc6fc4885a4 O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{97EA9952-E8E9-484D-BD91-EB2AE8ABFE09}: NameServer = 62.104.191.241 62.104.196.134 |
Also, ersten sehe ich mal in der "Internat.exe" den da . Lies mal bei "erweitert". Der sendet Deine Daten nach Rußland. Dann gibt es den als public.windupdates.com Den da als WinAd Der da war in einem "temp"Ordner, das ist der schlimmste; ob er aktiv ist kann man jetzt nicht beurteilen. msnappau ist Adware... und jetzt hör ich auf. Grüße cacatoa |
Rußky????? Ok. Überzeugt. Sch....! Hab kein Bock alles neu zu machen...! Aber hilft wohl nix... Ich verstehe nich was die von mir wollen. Is jetz vielleicht n bisschen naiv, aber ich hab nix auf meinem Rechner was andere interessieren könnten. Da gibts Telefonrechnungen, MP3´s, jede Menge Scheiß, aber nix womit einer was anstellen könnte... Mach mit dem Rechner noch nich mal Internetbanking (könnte es wenn es so wär da mal ne böse Überraschung geben?) Ich hab jetz auf jeden Fall mal alles was ich brauch. Ich weiß ich soll des Teil platt machen, den Anweisungen, "damit ich nich morgen wieder vor der Tür steh", befolgen und dann werden wir sehn.... Was sagt ihr denn generell zu den Programmen? Sind die gut? |
Die Progs sind o.k., bis auf das: Zitat:
Frag mal Tante google, was die zu Backdoortrojanern und Internetbanking ausspuckt... :pfui: Also, denn... cacatoa |
Vielen Dank für eure Hilfe! -Besonders an cacatoa! Das Ding heiße Trojan Remover, gibt´s bei Chip.de... Ich hoffe, das dann wieder ok is..... Ciao und schönen Abend, Daniel |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 22:30 Uhr. |
Copyright ©2000-2025, Trojaner-Board