Supportnet Computer
Planet of Tech

Supportnet / Forum / PC-Sonstiges

Trojaner - nichts geht mehr!!! Hilfe!!!!





Frage

Hallo zusammen, habe mir einen Virus oder Trojaner eingefangen und bekomme ihn nicht weg. Aber mal der Reihe nach. Habe vor 2 Tagen mein System formatiert und Windows 2000 neu aufgespielt. Danach die Grafikkartentreiber und Chipsatztreiber (beide von Original CD). Als nächstes die T-Online-Software installiert und ab ins Internet die neusten Signaturen meiner Antiviren-Software (Antivir) gesaugt und installiert. Mir fiel auf, dass der Rechner elendig langsam war - und das bei einem neu installiertem System. Naja, auf jeden Fall hat mein Virenscanner direkt alarm geschlagen, dass ein Virus entdeckt wurde, er ihn aber erst nach einem Neustart löschen kann, da die betreffende Datei von Windows gelockt ist. Also Neustart gemacht aber Datei konnte immer noch nicht gelöscht, bzw. geheilt werden. Also hab ich die Datei (winnt/system32/winole.exe) manuell gelöscht und siehe da: es lief wieder alles - aber leider nur für 5 Minuten. Plötzlich wurde wieder alles lahm und nichts ging mehr. Ich hab rumgefummelt ohne Ende, aber ich bekam das Ding nicht weg. Meine letzte Rettung: System nochmal neu aufspielen. Vorher habe ich natürlich die entsprechenden CDs auf Viren untersucht - nichts gefunden. Als das System neu drauf war lief wieder alles einwandfrei - bis ich zum ersten mal ins Internet gegangen bin. Dann ging der Ärger wieder von vorne los. Als nächstes habe ich mir ein anderes Anti-Viren Programm gesaugt (AVM oder so!? - weiß ich grad nicht, bin auf der Arbeit). Auch dieser findet den Trojaner: IRC/BackDoor.SdBot.55.U hauptsächlich in /Winnt/system32/winole.exe. Ab und zu aber auch in iexplorer.exe oder so. Auf jeden Fall löscht der Virenscanner (anscheinend) betreffenden Trojaner - aber irgendwie bekomm ich den immer wieder. Alle meine Festplatten wurden mehrfach durchgescannt, aber sobald ich ins Internet gehe fängt der Mist von vorne an. Das Schlimme ist, dass ich noch nichtmal vernünftig nach ner Lösung suchen kann, weil der Rechner mittlerweile alle 5 Minuten von selbst (?) neustartet!!! Ich hoffe von euch kann mir jemand helfen. Habe gestern insgesamt 9 Stunden am Rechner gesessen und dreh langsam durch!!! Gruß Ruhrpottler

Antwort 1 von Limbius

Als erstes (Bevor du deinen PC säuberst) die automatsiche Systemwiederherstellung für ALLE laufwerke deaktivieren (dann kommt er auch nicht wieder)
Als zweites die Windwos Firewall aktivieren (BEVOR du ins Internet gehst)
Das macht man in den Eigenschaften der entsprechenden Netzwerk-/DFÜ-Verbindung ...
Oder installiere eine Alternative Firewall wie zB McAffee oder Zonealarm oder Outpost oder oder oder...

Drittens mit einem aktuellen Virenprogramm deinen PC säubern...

Antwort 2 von Ruhrpottler

Hi Limbius,

vielen dank für deine Antwort, hoffe es klappt so, aber:

Zitat:

Als erstes (Bevor du deinen PC säuberst) die automatsiche Systemwiederherstellung für ALLE laufwerke deaktivieren (dann kommt er auch nicht wieder)


Wie mach ich das denn? Was bedeutet diese Systemwiederherstellung?
Hab ich noch nie von gehört.

Antwort 3 von Limbius

Klicke auf START dann auf HILFE und im rechten teil des fenster findest du eine Link auf die Einstellungen der Systemwiederherstellung --> Deaktiviere diese für alle Laufwerke sonst wird der Virus/Trojaner halt eben immer wiederhergestellt ;-)

Antwort 4 von Ruhrpottler

So, das Teil ist FAST weg.
Aber leider nur fast:(

Nachdem ich nun endlich eine funktionierende Firewall installiert hatte fiel mir auf, dass sich ein Programm namens "rpc.exe" mit dem Internet verbinden wollte.
Da ich nicht wusste was das für eine Datei ist googelte ich ein bisschen und es stellte sich heraus, dass das der Trojaner ist, bzw. ein Teil davon.
Mein Virenscanner scheint diese Datei aber nicht als solche zu identifizieren, er meckert nämlich nicht.
Naja, also hab ich die Datei von Hand gelöscht und vorsichtshalber vorher noch den Zugriff auf´s Internet geblockt.
Seitdem ist Ruhe. Hab jetzt seit Stunden keine Probleme mehr.

Aber trotzdem scheint noch nicht alles weg zu sein.
Nach JEDEM Neustart ist die Datei komischerweise wieder da!!!!!!
@Limbius: Sicher dass ich diese "Systemwiederherstellung" auch bei Windows 2000 deaktivieren kann??? Hab diese Funktion irgendwie nur bei XP gefunden!!!

Steht das Teil vielleicht irgendwo noch in der Registry oder so? Wo kann ich da suchen???


Gruß Ruhrpottler

Antwort 5 von Ruhrpottler

Kleiner Nachtrag:

Wenn ich über "Ausführen - regedit" auf "Bearbeiten - Suchen" gehe und dort als Suchbefehlt "epc.exe" eingebe markiert regedit mir einen Ordner namens "NUKEPC.EXE3431F0600011515C". Dieser befindet sich unter "HKEY_LOCAL_MACHINE - SYSTEM - ControlSet001 - Control - Media Resources - DirectSound - Application".
Dieser Ordner besitzt 2 Einträge:

1. Name: (Standard), Typ: REG_SZ, Wert: Nuclear Strike
2. Name: DSAPPHACKID_PADCURSORS, Typ: REG_Binary, Wert: 0a 00 00 00


Ist damit vielleicht was faul???

Antwort 6 von robert...

lade dir malhijackthisrunter und lasse es automatisch auswerten

Direktdownload
gruß

Antwort 7 von Ruhrpottler

Hmmm .... kannst du damit was anfangen???
------------------------------------------------


Logfile of HijackThis v1.98.2
Scan saved at 23:14:49, on 18.10.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\devldr32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\system32\internat.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis_198\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Windows Compliant] iaghcn.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe
O4 - HKLM\..\Run: [Remote Procedure Call For Windows 32bit.] rpc.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [Windows Compliant] iaghcn.exe
O4 - HKLM\..\RunServices: [Remote Procedure Call For Windows 32bit.] rpc.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{EB92AC70-D4A5-4C31-9775-BE78484A5C3C}: NameServer = 217.237.151.225 217.237.150.225



Antwort 8 von robert...

kopiere es hier rein
Kopieren Sie ein Logfile in die Textbox
und klicke auf "Auswerten" dann siehst du schon was gefixt werden muß.
gruß

Antwort 9 von robert...

ich hoffe es hilft dir.

Antwort 10 von Ruhrpottler

@Robert:

Ich glaube das hat´s gebracht!!!
Super Programm!!!!

Vielen vielen Dank für den Tipp!!!!
Jetzt kann ich beruhigt schlafen gehen:)

Gute Nacht!!!

Antwort 11 von robert...

trojaner-info.de

hier ist noch mal eine Seite zum durchblättern
viel spaß dabei.

Ich möchte kostenlos eine Frage an die Mitglieder stellen:


Ähnliche Themen:


Suche in allen vorhandenen Beiträgen: