Supportnet / Forum / PC-Sonstiges
Trojaner - nichts geht mehr!!! Hilfe!!!!
Frage
Hallo zusammen,
habe mir einen Virus oder Trojaner eingefangen und bekomme ihn nicht weg.
Aber mal der Reihe nach.
Habe vor 2 Tagen mein System formatiert und Windows 2000 neu aufgespielt.
Danach die Grafikkartentreiber und Chipsatztreiber (beide von Original CD).
Als nächstes die T-Online-Software installiert und ab ins Internet die neusten Signaturen
meiner Antiviren-Software (Antivir) gesaugt und installiert.
Mir fiel auf, dass der Rechner elendig langsam war - und das bei einem neu installiertem System.
Naja, auf jeden Fall hat mein Virenscanner direkt alarm geschlagen, dass ein Virus entdeckt wurde, er ihn
aber erst nach einem Neustart löschen kann, da die betreffende Datei von Windows gelockt ist.
Also Neustart gemacht aber Datei konnte immer noch nicht gelöscht, bzw. geheilt werden.
Also hab ich die Datei (winnt/system32/winole.exe) manuell gelöscht und siehe da: es lief wieder alles - aber
leider nur für 5 Minuten. Plötzlich wurde wieder alles lahm und nichts ging mehr. Ich hab rumgefummelt ohne
Ende, aber ich bekam das Ding nicht weg.
Meine letzte Rettung: System nochmal neu aufspielen. Vorher habe ich natürlich die entsprechenden CDs
auf Viren untersucht - nichts gefunden.
Als das System neu drauf war lief wieder alles einwandfrei - bis ich zum ersten mal ins Internet gegangen bin.
Dann ging der Ärger wieder von vorne los.
Als nächstes habe ich mir ein anderes Anti-Viren Programm gesaugt (AVM oder so!? - weiß ich grad nicht, bin auf der Arbeit).
Auch dieser findet den Trojaner: IRC/BackDoor.SdBot.55.U hauptsächlich in /Winnt/system32/winole.exe. Ab und zu aber
auch in iexplorer.exe oder so.
Auf jeden Fall löscht der Virenscanner (anscheinend) betreffenden Trojaner - aber irgendwie bekomm ich den immer wieder.
Alle meine Festplatten wurden mehrfach durchgescannt, aber sobald ich ins Internet gehe fängt der Mist von vorne an.
Das Schlimme ist, dass ich noch nichtmal vernünftig nach ner Lösung suchen kann, weil der Rechner mittlerweile alle 5
Minuten von selbst (?) neustartet!!!
Ich hoffe von euch kann mir jemand helfen. Habe gestern insgesamt 9 Stunden am Rechner gesessen und dreh langsam
durch!!!
Gruß Ruhrpottler
Antwort 1 von Limbius
Als erstes (Bevor du deinen PC säuberst) die automatsiche Systemwiederherstellung für ALLE laufwerke deaktivieren (dann kommt er auch nicht wieder)
Als zweites die Windwos Firewall aktivieren (BEVOR du ins Internet gehst)
Das macht man in den Eigenschaften der entsprechenden Netzwerk-/DFÜ-Verbindung ...
Oder installiere eine Alternative Firewall wie zB McAffee oder Zonealarm oder Outpost oder oder oder...
Drittens mit einem aktuellen Virenprogramm deinen PC säubern...
Als zweites die Windwos Firewall aktivieren (BEVOR du ins Internet gehst)
Das macht man in den Eigenschaften der entsprechenden Netzwerk-/DFÜ-Verbindung ...
Oder installiere eine Alternative Firewall wie zB McAffee oder Zonealarm oder Outpost oder oder oder...
Drittens mit einem aktuellen Virenprogramm deinen PC säubern...
Antwort 2 von Ruhrpottler
Hi Limbius,
vielen dank für deine Antwort, hoffe es klappt so, aber:
Wie mach ich das denn? Was bedeutet diese Systemwiederherstellung?
Hab ich noch nie von gehört.
vielen dank für deine Antwort, hoffe es klappt so, aber:
Zitat:
Als erstes (Bevor du deinen PC säuberst) die automatsiche Systemwiederherstellung für ALLE laufwerke deaktivieren (dann kommt er auch nicht wieder)
Als erstes (Bevor du deinen PC säuberst) die automatsiche Systemwiederherstellung für ALLE laufwerke deaktivieren (dann kommt er auch nicht wieder)
Wie mach ich das denn? Was bedeutet diese Systemwiederherstellung?
Hab ich noch nie von gehört.
Antwort 3 von Limbius
Klicke auf START dann auf HILFE und im rechten teil des fenster findest du eine Link auf die Einstellungen der Systemwiederherstellung --> Deaktiviere diese für alle Laufwerke sonst wird der Virus/Trojaner halt eben immer wiederhergestellt ;-)
Antwort 4 von Ruhrpottler
So, das Teil ist FAST weg.
Aber leider nur fast:(
Nachdem ich nun endlich eine funktionierende Firewall installiert hatte fiel mir auf, dass sich ein Programm namens "rpc.exe" mit dem Internet verbinden wollte.
Da ich nicht wusste was das für eine Datei ist googelte ich ein bisschen und es stellte sich heraus, dass das der Trojaner ist, bzw. ein Teil davon.
Mein Virenscanner scheint diese Datei aber nicht als solche zu identifizieren, er meckert nämlich nicht.
Naja, also hab ich die Datei von Hand gelöscht und vorsichtshalber vorher noch den Zugriff auf´s Internet geblockt.
Seitdem ist Ruhe. Hab jetzt seit Stunden keine Probleme mehr.
Aber trotzdem scheint noch nicht alles weg zu sein.
Nach JEDEM Neustart ist die Datei komischerweise wieder da!!!!!!
@Limbius: Sicher dass ich diese "Systemwiederherstellung" auch bei Windows 2000 deaktivieren kann??? Hab diese Funktion irgendwie nur bei XP gefunden!!!
Steht das Teil vielleicht irgendwo noch in der Registry oder so? Wo kann ich da suchen???
Gruß Ruhrpottler
Aber leider nur fast:(
Nachdem ich nun endlich eine funktionierende Firewall installiert hatte fiel mir auf, dass sich ein Programm namens "rpc.exe" mit dem Internet verbinden wollte.
Da ich nicht wusste was das für eine Datei ist googelte ich ein bisschen und es stellte sich heraus, dass das der Trojaner ist, bzw. ein Teil davon.
Mein Virenscanner scheint diese Datei aber nicht als solche zu identifizieren, er meckert nämlich nicht.
Naja, also hab ich die Datei von Hand gelöscht und vorsichtshalber vorher noch den Zugriff auf´s Internet geblockt.
Seitdem ist Ruhe. Hab jetzt seit Stunden keine Probleme mehr.
Aber trotzdem scheint noch nicht alles weg zu sein.
Nach JEDEM Neustart ist die Datei komischerweise wieder da!!!!!!
@Limbius: Sicher dass ich diese "Systemwiederherstellung" auch bei Windows 2000 deaktivieren kann??? Hab diese Funktion irgendwie nur bei XP gefunden!!!
Steht das Teil vielleicht irgendwo noch in der Registry oder so? Wo kann ich da suchen???
Gruß Ruhrpottler
Antwort 5 von Ruhrpottler
Kleiner Nachtrag:
Wenn ich über "Ausführen - regedit" auf "Bearbeiten - Suchen" gehe und dort als Suchbefehlt "epc.exe" eingebe markiert regedit mir einen Ordner namens "NUKEPC.EXE3431F0600011515C". Dieser befindet sich unter "HKEY_LOCAL_MACHINE - SYSTEM - ControlSet001 - Control - Media Resources - DirectSound - Application".
Dieser Ordner besitzt 2 Einträge:
1. Name: (Standard), Typ: REG_SZ, Wert: Nuclear Strike
2. Name: DSAPPHACKID_PADCURSORS, Typ: REG_Binary, Wert: 0a 00 00 00
Ist damit vielleicht was faul???
Wenn ich über "Ausführen - regedit" auf "Bearbeiten - Suchen" gehe und dort als Suchbefehlt "epc.exe" eingebe markiert regedit mir einen Ordner namens "NUKEPC.EXE3431F0600011515C". Dieser befindet sich unter "HKEY_LOCAL_MACHINE - SYSTEM - ControlSet001 - Control - Media Resources - DirectSound - Application".
Dieser Ordner besitzt 2 Einträge:
1. Name: (Standard), Typ: REG_SZ, Wert: Nuclear Strike
2. Name: DSAPPHACKID_PADCURSORS, Typ: REG_Binary, Wert: 0a 00 00 00
Ist damit vielleicht was faul???
Antwort 6 von robert...
Antwort 7 von Ruhrpottler
Hmmm .... kannst du damit was anfangen???
------------------------------------------------
Logfile of HijackThis v1.98.2
Scan saved at 23:14:49, on 18.10.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\devldr32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\system32\internat.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis_198\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Windows Compliant] iaghcn.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe
O4 - HKLM\..\Run: [Remote Procedure Call For Windows 32bit.] rpc.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [Windows Compliant] iaghcn.exe
O4 - HKLM\..\RunServices: [Remote Procedure Call For Windows 32bit.] rpc.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{EB92AC70-D4A5-4C31-9775-BE78484A5C3C}: NameServer = 217.237.151.225 217.237.150.225
------------------------------------------------
Logfile of HijackThis v1.98.2
Scan saved at 23:14:49, on 18.10.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\devldr32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\system32\internat.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis_198\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Windows Compliant] iaghcn.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe
O4 - HKLM\..\Run: [Remote Procedure Call For Windows 32bit.] rpc.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [Windows Compliant] iaghcn.exe
O4 - HKLM\..\RunServices: [Remote Procedure Call For Windows 32bit.] rpc.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{EB92AC70-D4A5-4C31-9775-BE78484A5C3C}: NameServer = 217.237.151.225 217.237.150.225
Antwort 8 von robert...
kopiere es hier rein
Kopieren Sie ein Logfile in die Textbox
und klicke auf "Auswerten" dann siehst du schon was gefixt werden muß.
gruß
Kopieren Sie ein Logfile in die Textbox
und klicke auf "Auswerten" dann siehst du schon was gefixt werden muß.
gruß
Antwort 9 von robert...
ich hoffe es hilft dir.
Antwort 10 von Ruhrpottler
@Robert:
Ich glaube das hat´s gebracht!!!
Super Programm!!!!
Vielen vielen Dank für den Tipp!!!!
Jetzt kann ich beruhigt schlafen gehen:)
Gute Nacht!!!
Ich glaube das hat´s gebracht!!!
Super Programm!!!!
Vielen vielen Dank für den Tipp!!!!
Jetzt kann ich beruhigt schlafen gehen:)
Gute Nacht!!!