HILFE! Trojan Horse Downloader

Dieses Thema im Forum "Sicherheit" wurde erstellt von Peachy, 25. Mai 2006.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Peachy

    Peachy Byte

    Registriert seit:
    25. Mai 2006
    Beiträge:
    10
    Hallo!

    Also als erstes muss ich wohl erst mal sagen, dass ich mich nicht sehr gut mit PCs auskenne. Damit keine Fachwörter kommen ;o)
    Also hab seit gestern nen Virus, den Trojan Horse Downloader!
    Er lädt die ganze Zeit Viren runter, hab das auch schon versucht mit Ad-Aware zu beheben das Problem.
    Zusätzlich kann ich meine Startseite über Internetoptionen ändern, hatte immer Google, seit dem der Virus drauf ist, ist da immer "Topsecuitysite" als Startpage. Wie gesagt, kann ich auch nicht mehr ändern!
    Könnt ihr mir vielleicht weiterhelfen, wie ich das entfernt bekomme!
    M;ag nicht wieder formatieren!!!
    Danke, Elke

    PS: Habe Windows XP
     
  2. Peachy

    Peachy Byte

    Registriert seit:
    25. Mai 2006
    Beiträge:
    10
  3. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    das HijackThis Log hättest du wie hier beschrieben als Link zu der Auswertung posten sollen.

    Kein Wunder das du dir etwas einfängst, dein System ist total verlaltet, warum spielst du keine Updates (z.B. SP2) ein?

    Besorge dir folgendes Programm und führe es wie in der Anleitung beschrieben aus (kannst gleich bei Reinigung anfangen)
    Danach postest du die Datei C:\rapport.txt.


    Grüße Jasager
     
  4. frajoti

    frajoti Viertel Gigabyte

    Registriert seit:
    5. August 2005
    Beiträge:
    3.670
  5. Peachy

    Peachy Byte

    Registriert seit:
    25. Mai 2006
    Beiträge:
    10
    Hallo!

    Ich habe doch oben geschrieben, dass ich mich mit PCs nicht auskenne!
    Was ist denn SP2???
     
  6. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    mach erstmal den Rest, die Predigt über SP2 und die Notwendigkeit von Systemaktualität holst du dir dann nach der Bereinigung ab.

    @frajoti
    Solange kein Backdoor vorliegt und die Bereinigung einigermaßen im Zeit/Nutzenverhältniss steht, mache ich das.


    Grüße Jasager
     
  7. Babu1940

    Babu1940 Viertel Gigabyte

    Registriert seit:
    20. Juli 2005
    Beiträge:
    4.883
    @Jasager: Da ist der Abend ja gerettet;)
     
  8. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
  9. frajoti

    frajoti Viertel Gigabyte

    Registriert seit:
    5. August 2005
    Beiträge:
    3.670
    SP2 ist das Service Pack 2 für Windows XP. Darin sind Fehlerkorrekturen (Patches und Updates) enthalten, die u.a. die Sicherheit erhöhen. Dieses solltest Du schleunigst installieren. Wenn Du Dich nicht auskennst, solltest Du evtl. von einer Säuberung Abstand halten und das System neuaufsetzen. Lies Dir auch die gesamte Seite durch, damit Du mehr über Sicherheitsmaßnahmen und Gefahren kennen lernst.

    @Jasager: Verstanden :jawohl: ;)
     
  10. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    wenn sich Peachy beeilt bin ich 20:15 fertig und kann in Ruhe den Grandprix der Volksmusik sehen :D


    Grüße Jasager
     
  11. Muddi

    Muddi Megabyte

    Registriert seit:
    27. Juni 2005
    Beiträge:
    1.216
    @Jasager

    Man du hast es aber drauf mit der Virenbekämpfung. Ich habe schon einige Threads gelesen, in denen du das total verseuchte System wieder gesäubert hast, obwohl alle gesagt haben, der TO sollte die Festplatte formatieren usw.
    Wenn ich das richtig verstehe, kann man jedes System, solange es sich nicht um einen Backdoor Trojahner handelt, säubern.
    Aber warum benutzt du keine Tools wie Antivir o.ä.? Die bringen's warscheinlich nicht, oder?
     
  12. frajoti

    frajoti Viertel Gigabyte

    Registriert seit:
    5. August 2005
    Beiträge:
    3.670
    Ja, der Jasager hat's drauf. Und daher greift er auch zu Tools, die ich bisher noch nie gehört habe, aber bestimmt ihre Dienste tun - mit dem gewünschten Ergebnis.
     
  13. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    @Muddi
    Es ist mehr oder weniger eine Tatsache das die normalen User erst ins Forum kommen wenn ihr AV (Antivir oder wie hier AVG) versagt hat.
    Außerdem übersehen Antiviren Tools schon mal etwas, da ist es zuverläßiger selbst (bzw. mit hilfe von Spezialtools) zu suchen, wenn man einigermaßen weiß wonach man sucht.


    Grüße Jasager
     
  14. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Wenn du dir die HijackThis-Logs der infizierten Systeme mal ansiehst wirst du feststellen dass da so gut wie immer ein Virenscanner friedlich neben den Schädlingen läuft. ;)


    Klar kann man das, nur irgendwann ist das Neuaufsetzen eben besser / schneller / einfacher. Man kann auch jedes Auto nach einem Unfall wieder reparieren, nur ab einem gewissen Punkt wirds halt immer ein wirtschaftlicher Totalschaden. ;)
     
  15. Peachy

    Peachy Byte

    Registriert seit:
    25. Mai 2006
    Beiträge:
    10
    so hier ist dieser rapport:

    Ich hoffe ich mach cniht wieder was falsch:

    »»»»»»»»»»»»»»»»»»»»»»»» Start Menu


    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Peachy\FAVORI~1


    »»»»»»»»»»»»»»»»»»»»»»»» Desktop


    »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


    »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


    »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Die derzeitige Homepage"


    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, following keys are not inevitably infected!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{336ec37f-54bf-4f13-8237-03f64fa591e7}"="devisors"

    [HKEY_CLASSES_ROOT\CLSID\{336ec37f-54bf-4f13-8237-03f64fa591e7}\InProcServer32]
    @="C:\WINDOWS\System32\oerucu.dll"

    [HKEY_CURRENT_USER\Software\Classes\CLSID\{336ec37f-54bf-4f13-8237-03f64fa591e7}\InProcServer32]
    @="C:\WINDOWS\System32\oerucu.dll"


    »»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


    »»»»»»»»»»»»»»»»»»»»»»»» End
     
  16. Muddi

    Muddi Megabyte

    Registriert seit:
    27. Juni 2005
    Beiträge:
    1.216
    @Doctor und Jasager

    OK, leuchtet mir ein. Aber warum wäre es jetzt nicht sinnvoll die bösen Einträge mit hijackthis zu fixen?
     
  17. frajoti

    frajoti Viertel Gigabyte

    Registriert seit:
    5. August 2005
    Beiträge:
    3.670
    Ich bin draußen. Gucke aber X Men 2. :)
     
  18. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    scheint nicht funktioniert zu haben, hast du das Tool im abgesicherten Modus (F8 beim booten) ausgeführt? Dann muß ich doch per Hand friemeln.
    Lösche mal deine Temp Dateien mit Cleanup! und poste die vier Logfiles der Datfind.bat aber nur die Dateien des letzten Monats abkopieren.


    Verdammt, jetzt verpasse ich doch den start des Grand Prix. :mussweg:

    Grüße Jasager
     
  19. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    @Muddi
    Weil sich bei dieser speziellen Malware (Spyfalcon) hinter den Einträgen im Logfile noch weitere etwa sechs oder sieben infizierte Dateien befinden, die die Dateien, die im HijackThis Log ersichtlich sind einfach wieder herstellen würden.


    Grüße Jasager
     
  20. Peachy

    Peachy Byte

    Registriert seit:
    25. Mai 2006
    Beiträge:
    10
    so hab vergessen zu bereinigen.
    jetzt hab ich im abgesicherten modus auch bereinigt, und nun diese datei!!!



    »»»»»»»»»»»»»»»»»»»»»»»» Start Menu


    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Peachy\FAVORI~1


    »»»»»»»»»»»»»»»»»»»»»»»» Desktop


    »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


    »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


    »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, following keys are not inevitably infected!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{336ec37f-54bf-4f13-8237-03f64fa591e7}"="devisors"

    [HKEY_CLASSES_ROOT\CLSID\{336ec37f-54bf-4f13-8237-03f64fa591e7}\InProcServer32]
    @="C:\WINDOWS\System32\oerucu.dll"

    [HKEY_CURRENT_USER\Software\Classes\CLSID\{336ec37f-54bf-4f13-8237-03f64fa591e7}\InProcServer32]
    @="C:\WINDOWS\System32\oerucu.dll"


    »»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


    »»»»»»»»»»»»»»»»»»»»»»»» End
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen