Problem nachTrojanerfund

Dieses Thema im Forum "Sicherheit" wurde erstellt von Captain_Ross, 7. Dezember 2005.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Captain_Ross

    Captain_Ross Halbes Megabyte

    Registriert seit:
    28. Juli 2005
    Beiträge:
    588
    Hi
    Ich habe vor ca einer Woche einen Virenscan gemacht (mit AntiVir), der hat auch gleich 9 (!!!) Trojaner gefunden.
    Die wurden alle gelöscht, zumindest sagt das mein Virenscaner, denn wenn ich ihn jetzt nochmal drüberlaufen lasse zeigt er nichts mehr an.
    ABER:
    Nach jedem Neustart, wenn ich mich in Win2k anmelde, meldet der AV Guard zwei Trojaner. Ich habe nicht geschaut, ob es immer die gleichen sind, darauf werde ich das nächste mal achten. Ich klicke immer auf "Datei löschen", doch nach wirklich jedem Neustart meldet er wieder 2 Stück.
    Außerdem kommt nach jedem Neustart noch folgende Meldung:
    "16-Bit-MS-Dos-Teilsystem

    C:\WINNT\System32\z14.exe
    Die NTVDM-CPU hat einen ungültigen Befehl entdeckt.
    CS:0f1d IP:fff5 OP:ff f8 ff fa ff Klicken sie auf 'Schließen', um die Anwendung zu beenden"


    Keine Ahnung was das beudeutet oder was diese Datei macht.

    Irgendwelche Vorschläge?


    Captain_Ross
     
  2. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    hört sich übel an, erstelle mal ein HijackThis logfile wie hier beschrieben und poste den Link.
    Überprüfe außerdem mal die C:\WINNT\System32\z14.exe (falls aktiv vorher beenden) hier und poste das Ergebnis.
    Wo werden die beiden Trojaner nach dem Neustart gefunden (genauer Pfad)?


    Grüße Jasager
     
  3. Captain_Ross

    Captain_Ross Halbes Megabyte

    Registriert seit:
    28. Juli 2005
    Beiträge:
    588
    Hier der HijackThis-Log.

    Ich habe die C:\WINNT\System32\z14.exe mit dem Programm aus dem Link überprüft, keine Fehler gefunden.

    Die Trojaner werden hier gefunden:

    C:\DOKUME~1\Benutzername\LOKALE~1\TEMP\HER.PT

    C:\DOKUMENTE UND EINSTELLUNGEN\Benutzername\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\YN8W49A5\GDNOT2201[1].EXE
     
  4. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    kein Wunder, von Updates hat dein System bisher nur von hören-sagen etwas mitbekommen, da fehlen ganze vier Service Packs :rolleyes: .
    Beende mal diesen Prozess:
    C:\WINNT\System32\cmd32.exe
    überprüfe wieder wie oben beschrieben und poste das Ergebnis.


    Grüße Jasager
     
  5. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
  6. Captain_Ross

    Captain_Ross Halbes Megabyte

    Registriert seit:
    28. Juli 2005
    Beiträge:
    588
    Ich tat wie mir geheißen: klick
     
  7. deoroller

    deoroller Wandelndes Forum

    Registriert seit:
    18. Juli 2000
    Beiträge:
    116.584
    Neuaufsetzen von Windows.
    4 Servicepacks müssen da aber nicht installiert werden, sondern nur das SP4. Dann noch das Update Rollup 1 mit Patches bis zum 30.04.2005. Erst danach wieder online gehen, um als erstes die restlichen Patches per Windows-Update zu installieren.

    Wundert mich, dass der PC nicht von alleine runterfährt.
    Sitzt wohl hinter einem Router.
     
  8. Captain_Ross

    Captain_Ross Halbes Megabyte

    Registriert seit:
    28. Juli 2005
    Beiträge:
    588
    Muss das wirklich sein? Windows neu installieren?
    Geht das nicht irgendwie anders?
     
  9. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    also das sauberste und sicherste wäre es auf jeden Fall, gerade weil man nicht weiß was das hier:
    so war.
    Wenn du das partout nicht willst kann man versuchen das System zu bereinigen aber Onlinebanking oder ähnlich sensibles würde ich damit nicht mehr machen.
    Es wäre auch ein schöner Grund mal dein gesammtes Sicherheitskonzept zu überdenken und von Grund auf zu ändern.
    Also falls du dich doch dafür entscheiden solltest das man reinigen soll mußt du immernoch diese Anweisung abarbeiten:


    Grüße Jasager
     
  10. Captain_Ross

    Captain_Ross Halbes Megabyte

    Registriert seit:
    28. Juli 2005
    Beiträge:
    588
    Meinst du den HiJackThis Log? Den hab ich doch verlinkt.
     
  11. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    nein ich meinte was die Überprüfung der Datei bei dem Onlinevirenscanner ergeben hat, überprüfe sie aber mal hier, der andere scheint gerade etwas überlastet und poste das Ergebnis, das in etwa so aussehen sollte:
     
  12. Captain_Ross

    Captain_Ross Halbes Megabyte

    Registriert seit:
    28. Juli 2005
    Beiträge:
    588
    Antivirus Version Update Result
    AntiVir 6.33.0.61 12.07.2005 TR/Dldr.Delf.aco
    Avast 4.6.695.0 12.07.2005 no virus found
    AVG 718 12.05.2005 no virus found
    Avira 6.33.0.61 12.07.2005 TR/Dldr.Delf.aco
    BitDefender 7.2 12.07.2005 BehavesLike:Trojan.Downloader
    CAT-QuickHeal 8.00 12.07.2005 TrojanDownloader.Delf.aco
    ClamAV devel-20051108 12.07.2005 no virus found
    DrWeb 4.33 12.07.2005 Trojan.DownLoader.5757
    eTrust-Iris 7.1.194.0 12.07.2005 no virus found
    eTrust-Vet 11.9.1.0 12.07.2005 no virus found
    Fortinet 2.54.0.0 12.07.2005 Bizves!tr
    F-Prot 3.16c 12.07.2005 no virus found
    Ikarus 0.2.59.0 12.07.2005 no virus found
    Kaspersky 4.0.2.24 12.07.2005 Trojan-Downloader.Win32.Delf.aco
    McAfee 4644 12.06.2005 no virus found
    NOD32v2 1.1314 12.06.2005 no virus found
    Norman 5.70.10 12.07.2005 W32/DLoader.NIM
    Panda 8.02.00 12.07.2005 Adware/CWS.Yexe
    Sophos 4.00.0 12.07.2005 Troj/Bizves-Gen
    Symantec 8.0 12.07.2005 no virus found
    TheHacker 5.9.1.050 12.06.2005 Trojan/Downloader.Delf.aco
    VBA32 3.10.5 12.07.2005 Trojan-Downloader.Win32.Delf.aco
     
  13. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    wie sieht denn jetzt deine Entscheidung aus? Tabula Rasa oder zurechtfrickeln?


    Grüße Jasager
     
  14. Captain_Ross

    Captain_Ross Halbes Megabyte

    Registriert seit:
    28. Juli 2005
    Beiträge:
    588
    Ok, ich werde heute abend formatieren und Windows neu aufsetzen ... überredet ;)
     
  15. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    glaube mir, das ist auf jeden Fall die vernünftigste Entscheidung, lies dir diese Anleitung sorgfältig durch und setzte sie Punkt für Punkt um, dann sollte soetwas zukünftig nicht mehr vorkommen.
    Lege besonders Wert auf die Systemaktualität, also jeden Monat Microsoft besuchen und die neusten Patches einspielen.


    Grüße Jasager
     
  16. linuxboy

    linuxboy Byte

    Registriert seit:
    4. September 2004
    Beiträge:
    14
    Ich würde mit Linux einen überbraten und nicht mehr Windows benutzen
     
  17. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    das will aber auch wohl überlegt sein, denn man will sich ,wenn Plus die nächste TV Karte im Angebot hat, dafür auch nicht zwingend den Treiber selbst zusammenschreiben müsssen. Außerdem ist man mit einem gut konfigurtierten und gepflegten Windows genau so sicher wie mit linux.



    Grüße Jasager
     
  18. deoroller

    deoroller Wandelndes Forum

    Registriert seit:
    18. Juli 2000
    Beiträge:
    116.584
    @linuxboy

    Hör bitte auf rumzuspamen.
    Ich hätte das per PN geschrieben, aber die ist deaktiviert.
    Warum wohl ?
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen