Hilfe
Neues Thema
Antworten
Hallo!
Am Wochenende habe ich bei meinem Windows-XP-Rechner (mit fast allen Patches) eine neue DFÜ-Verbindung eingerichtet, hab aber leider nicht dran gedacht, dass ich ja die Firewall manuell einschalten muss. Bin also ohne ins Internet gegangen. Hat nicht lange gedauert, da hat AntiVir geklingelt. Trojaner gefunden. Internet aus und alles durchsucht. Gefunden wurden SDbot.oy, Korgo.Q, Nuclear Uploader.
Dann bin ich wieder ins Internet, dabei habe ich aber bemerkt, dass ständig gesendet wird. Also wieder durchsucht, u.a. auch mit Stinger und heute mit Sophos. Alles die neusten Versionen.
Das Problem bleibt aber...
Jetzt habe ich mit netstat -o getestet, was genau gemacht wird:
Zuerst wird eine Verbindung aufgebaut mit 220.electricstorm.co.uk; PID 792 (ist iexplorer.exe; den ich dann einfach direkt geschlossen hab); danach wird immer wieder SYN_Gesendet gemeldet. IP.Nr:microsoft.ds; auch Code.dip.t-dialin.net:microsoft-ds immer mit SYN_GESENDET.
Was bedeutet das? Wie finde ich jetzt den Trojaner, oder was auch immer? Ich wollte a2 Free installieren; es wird aber immer gemeldet, dass das Proggi kein Zugriff auf die Registrierung hat, obwohl ich mich extra als Admin angemeldet hab...
Hat einer eine Idee?
Sweeny!
Seite 1 von 1
Trojaner? Antivirensoftware Nichts Gefunden
#1
Sweeny 
geschrieben 20. Juli 2004 - 15:40
Nach oben
#2
hans_maulwurf
- Gruppe: aktive Mitglieder
- Beiträge: 1.354
- Beigetreten: 23. Februar 04
- Reputation: 0
- Wohnort:Oberhausen
geschrieben 20. Juli 2004 - 15:43
besuch mal www.hijackthis.de wenn hijackthis nicht startet geh in den abgesicherten Modus und mach den scan da, gegebenenfalls ohne netzwerkkabel.
Und natürlich dieses Tutorial lesen
Und natürlich dieses Tutorial lesen
Dieser Beitrag wurde von hans_maulwurf bearbeitet: 20. Juli 2004 - 16:03
#3
Rika
- Gruppe: aktive Mitglieder
- Beiträge: 11.505
- Beigetreten: 11. Juni 03
- Reputation: 2
- Geschlecht:Männlich
geschrieben 20. Juli 2004 - 16:01
Du du ja den Rechner frisch neuinstalliert hast, sollte dich eine abermalige Neuinstallation unter Beachtung dieses Aspektes ja nicht weiter stören.
Die Alternative zu Internetverbindungsfirewall von WinXP wäre http://www.dingens.org, die hält etwas dauerhafter und ruiniert dir nicht gleich den TCP/IP-Stack.
Die Alternative zu Internetverbindungsfirewall von WinXP wäre http://www.dingens.org, die hält etwas dauerhafter und ruiniert dir nicht gleich den TCP/IP-Stack.
Dieser Beitrag wurde von Rika bearbeitet: 20. Juli 2004 - 16:02
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#4
Sweeny
geschrieben 20. Juli 2004 - 16:18
Hi!
DANKE!
Es war der Eintrag: O4 - HKCU\..\Run: [Microsoft Internet Explore] iexplorer.exe
der mich stutzig gemacht hat. Hab ihn löschen lassen, die entsprechende Datei manuell gelöscht...
Weiß jemand was das genau war? Warum hat AntiVir, Ad-aware und Sophos den Wurm nicht gefunden. Die Datei iexplorer ist am Freitag um 12:43 erstellt worden. Das passt...
Der Autocheck von hijackThis.de sagt RapidBlaster...
Sweeny
DANKE!
Es war der Eintrag: O4 - HKCU\..\Run: [Microsoft Internet Explore] iexplorer.exe
der mich stutzig gemacht hat. Hab ihn löschen lassen, die entsprechende Datei manuell gelöscht...
Weiß jemand was das genau war? Warum hat AntiVir, Ad-aware und Sophos den Wurm nicht gefunden. Die Datei iexplorer ist am Freitag um 12:43 erstellt worden. Das passt...
Der Autocheck von hijackThis.de sagt RapidBlaster...
Sweeny
Dieser Beitrag wurde von Sweeny bearbeitet: 20. Juli 2004 - 16:25
#5
Rika
- Gruppe: aktive Mitglieder
- Beiträge: 11.505
- Beigetreten: 11. Juni 03
- Reputation: 2
- Geschlecht:Männlich
geschrieben 20. Juli 2004 - 16:24
Weil Virenscanner nur bekannte Sachen erkennen und/oder du die Virensiganturen nicht aktualisiert hast. Deshalb darf man sie nur als Hilfsmittel, aber niemals als Schutz ansehen.
Also für mich sieht das Teil aus wie eine der neuen Bagle-Varianten (siehe Heise).
Die Angabe be HijackThis enthält übrigens auch einen Wahrscheinlichkeitswert, mit dem manch unbekannter Eintrag korrekt erkannt wurde - bei < 30% brauchst du dich über eine falsche Erkennung sicherlich nicht zu wundern.
Also für mich sieht das Teil aus wie eine der neuen Bagle-Varianten (siehe Heise).
Die Angabe be HijackThis enthält übrigens auch einen Wahrscheinlichkeitswert, mit dem manch unbekannter Eintrag korrekt erkannt wurde - bei < 30% brauchst du dich über eine falsche Erkennung sicherlich nicht zu wundern.
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
Thema verteilen:
Seite 1 von 1