Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Welcher Trojaner? (https://www.trojaner-board.de/1116-welcher-trojaner.html)

Aventinus 01.03.2004 19:49

Hallo,

Ich hatte einen Trojaner in meinem System, den ich aber nicht genau identifizieren konnte.

Folgende Gemeinheiten waren festzutsellen:

- Datei services.exe im Verzeichnis C:\Windows

- Nach Interneteinwahl versucht der iexplorer eine Verbindung zu "digitaltoxicity.net" aufzunehmen. (Als Standardbrowser ist Mozilla eingestellt.)

- Mehrere Regisry-Einträge zum Starten des Trojaners.

- Als ich den Trojaner identifiziert hatte, wollte ich die Einträge aus der registry löschen. Das Kerlchen hat aber nach ca. 5 sek. den Prozess beendet.

Übrigens: Antivir und Trendmicro Housecall haben den Trojaner nicht entdeckt.

Über google habe ich dann den Tipp bekommen die regedit.exe zu kopieren und die Kopie in regedit.com umzubenennen.

Die regedit.com wurde nicht beendet, und ich konnte alle Start-Einträge löschen.
Nach einem Neustart habe ich die services.exe im Windows-Verzeichnis gelöscht.

Ist mein System jetzt wieder clean?
Oder empfiehlt sich eine Neuinstallation?


Gruß

Aventinus

Windows XP Pro
Epox 8KHA+
Athlon T-Bird 1,333
512MB RAM
GF4 Ti 4200

Lutz 01.03.2004 20:24

Moin Aventinus und willkommen im Board,

das, was Du da beschreibst, klingt nach einem BrowserHijacker . Bitte lies Dir den verlinkten Thread einmal durch und 'arbeite' die Punkte ab...

</font><blockquote>Zitat:</font><hr />Ist mein System jetzt wieder clean?</font>[/QUOTE]Das ist aus der Ferne schwer zu sagen.

</font><blockquote>Zitat:</font><hr />Oder empfiehlt sich eine Neuinstallation? </font>[/QUOTE]Nicht wenige empfehlen nach einem Virus,Wurm, Trojaner,... immer zu einer Neuinstallation. Sicherer ist es auf jeden Fall.

tschööö, DerBilk

mmk 01.03.2004 20:36

Hallo und willkommen an Board!

</font><blockquote>Zitat:</font><hr />Original erstellt von Aventinus:
Ich hatte einen Trojaner in meinem System, den ich aber nicht genau identifizieren konnte.</font>[/QUOTE]Dazu wäre es günstiger gewesen, wenn du von der besagten Datei eine Sicherungskopie behalten hättest. Dann wäre ein Einsenden an ein AV-Lab möglich gewesen.

</font><blockquote>Zitat:</font><hr />- Datei services.exe im Verzeichnis C:\Windows</font>[/QUOTE]Das könnte, ich wiederhole: könnte evtl. auf diesen hindeuten:
http://www.sophos.de/virusinfo/analy...ojlegmire.html

Da aber Namen Schall und Rauch sind, ist eine genaue Aussage ohne die entsprechende Malwaredatei zu kennen, nicht möglich.

</font><blockquote>Zitat:</font><hr />- Mehrere Regisry-Einträge zum Starten des Trojaners.</font>[/QUOTE]Wie lauteten diese genau?

</font><blockquote>Zitat:</font><hr />Übrigens: Antivir und Trendmicro Housecall haben den Trojaner nicht entdeckt.</font>[/QUOTE]So ist das nun einmal leider mit Virenscannern. Leseempfehlung:

http://oschad.de/wiki/index.php/Virenscanner

</font><blockquote>Zitat:</font><hr />Ist mein System jetzt wieder clean?</font>[/QUOTE]Eher nein als ja.

</font><blockquote>Zitat:</font><hr />Oder empfiehlt sich eine Neuinstallation?</font>[/QUOTE]Ja, auf jeden Fall. Sowie das Ändern von Passwörtern und das Nichtverwenden von ausführbaren Dateien aus dem kompromittierten Systen!

Aventinus 01.03.2004 21:06

Hallo,

und Danke für die Antworten.

Dass ich die Datei services.exe, ohne eine Sicherungskopie zu erstellen, gelöscht habe war sicherlich ungeschickt - aber zu spät!

Die Beschreibung bei sophos.de habe ich auch gefunden, bei mir waren aber nicht alle Symptome vorhanden, z.B. habe ich keine Datei winsocks.dll finden können.

Die dort beschriebenen Registry-Einträge waren aber identisch, auf meinem System fanden sich aber noch weitere Einträge.

Ob ich neu installiere weiss ich noch nicht. Ich finde Pranoia im 2. Link zum Teil etwas übertrieben.
Denn dann kann sich ja Niemand, dessen Rechner mit einem Netzwerk verbunden ist, sicher sein keine Schädlinge an Bord zu haben.

Gruß

Aventinus

mmk 01.03.2004 21:44

</font><blockquote>Zitat:</font><hr />Original erstellt von Aventinus:
Ob ich neu installiere weiss ich noch nicht. Ich finde Pranoia im 2. Link zum Teil etwas übertrieben.
Denn dann kann sich ja Niemand, dessen Rechner mit einem Netzwerk verbunden ist, sicher sein keine Schädlinge an Bord zu haben.</font>[/QUOTE]In deinem Fall ist es aber so, dass mit Sicherheit eine Systemkompromittierung vorliegt, und zwar eine erhebliche, denn die geschilderten Symptome sind trojanertypisch. Daher meine Empfehlung, das System neu aufzusetzen und die Passwörter zu ändern.

Aventinus 02.03.2004 12:09

Ich habe jetzt herausgefunden was es war. Mal seh'n ob ich noch weitere Informationen recherchieren kann.


CIA Backdoor


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:27 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131