60734
03.03.2008, aktualisiert am 05.03.2008
8517
14
0
Merkwürdiger Trojaner
Hallo Leute!
Ich kenn mich mit PC's zwar einigermaßen gut aus, doch zur ZEit läuft an einem PC von einem Freund was ziemlich merkwürdiges ab.
Der hat gesagt, dass er über e-Mail von einem anderen Bekannten einen Anhang geöffnet hat.
Daraufhin hat sich der Internet-Explorer geöffnet und da stand, dass ein Fehler aufgetreten ist.
Und seitdem ist sehr viel merkwürdig.
Wenn er bei sich in den Taskmanager schaut, ist da dauernt! cmd.exe, ping.exe, ftp.exe, b2e.exe, und xcopy.exe geöffnet, obwohl er die Eingabeaufforderung gar net nutzt.
Außerdem startet sich manchmal ein Programm, wo man unten rechts ein manchmal helles V und manchmal ein eingedunkeltes V sieht.
Was kann da los sein?
Bitte um schnelle Hilfe.
Norton AntiVirus hat kein Virus gefunden.
Ich kenn mich mit PC's zwar einigermaßen gut aus, doch zur ZEit läuft an einem PC von einem Freund was ziemlich merkwürdiges ab.
Der hat gesagt, dass er über e-Mail von einem anderen Bekannten einen Anhang geöffnet hat.
Daraufhin hat sich der Internet-Explorer geöffnet und da stand, dass ein Fehler aufgetreten ist.
Und seitdem ist sehr viel merkwürdig.
Wenn er bei sich in den Taskmanager schaut, ist da dauernt! cmd.exe, ping.exe, ftp.exe, b2e.exe, und xcopy.exe geöffnet, obwohl er die Eingabeaufforderung gar net nutzt.
Außerdem startet sich manchmal ein Programm, wo man unten rechts ein manchmal helles V und manchmal ein eingedunkeltes V sieht.
Was kann da los sein?
Bitte um schnelle Hilfe.
Norton AntiVirus hat kein Virus gefunden.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 82214
Url: https://administrator.de/contentid/82214
Ausgedruckt am: 24.11.2024 um 08:11 Uhr
14 Kommentare
Neuester Kommentar
Hi,
boote mal mit irgendeiner Live-CD und scann damit nach Viren. Es kann ja sein das der Trojaner o.ä. das Virenprogramm überlistet/deaktiviert/für dumm verkauft, oder einfach das Norton AV (welches ja nicht grade das Beste ist) den Trojaner o.ä. nicht kennt.
(Also nimm keine evtl. vorhandene Norton-Boot-CD!)
MfG
boote mal mit irgendeiner Live-CD und scann damit nach Viren. Es kann ja sein das der Trojaner o.ä. das Virenprogramm überlistet/deaktiviert/für dumm verkauft, oder einfach das Norton AV (welches ja nicht grade das Beste ist) den Trojaner o.ä. nicht kennt.
(Also nimm keine evtl. vorhandene Norton-Boot-CD!)
MfG
lol da hat jemand gespielt.
Das "V" ist VNC, damit kann der "bekannte" den Bildschirm des betroffenem anschauen. cmd.exe wurde sicher von einem anderem Tool gestartet, das wiederum entweder einen Tunnel irgendwohin aufbaut usw usw.
Auf jeden Fall den betroffenen PC nur noch offline betreiben und genau analysieren wo was startet. Irgendwo muss dieses "script" die Programme ja eingetragen haben. Die Sicherste Methode für dich währe Neuinstallation.
Ich würde, wenn auf dem PC keine "kritischen" Daten vorhanden sind, eine Anzeige wegen Datenmanipulation und diesem tollem neuem Paragraph wegen ausspähen von Daten gegen den absender der EMail stellen und den PC als Beweismittel sichern.
Hast du zufällig diesen Anhang? ich würde mir das "ding" mal anschauen, dann kann ich mehr dazu sagen wie aufwendig es wird den zu entfernen.
Das "V" ist VNC, damit kann der "bekannte" den Bildschirm des betroffenem anschauen. cmd.exe wurde sicher von einem anderem Tool gestartet, das wiederum entweder einen Tunnel irgendwohin aufbaut usw usw.
Auf jeden Fall den betroffenen PC nur noch offline betreiben und genau analysieren wo was startet. Irgendwo muss dieses "script" die Programme ja eingetragen haben. Die Sicherste Methode für dich währe Neuinstallation.
Ich würde, wenn auf dem PC keine "kritischen" Daten vorhanden sind, eine Anzeige wegen Datenmanipulation und diesem tollem neuem Paragraph wegen ausspähen von Daten gegen den absender der EMail stellen und den PC als Beweismittel sichern.
Hast du zufällig diesen Anhang? ich würde mir das "ding" mal anschauen, dann kann ich mehr dazu sagen wie aufwendig es wird den zu entfernen.
Mhh ka... Aber der hat die Mail wieder gelöscht.
Aber es ist halt schon komisch, weil manchmal wird unten rechts bei ihm halt auch angezeigt:
"Datenverlust beim schreiben ... Die Datei "\\ajshdla.no-ip.org\xy\Domi\log.txt" konnte nicht geschrieben werden.
Bitte speichern Sie die Datei woanders ab"
Aber es ist halt schon komisch, weil manchmal wird unten rechts bei ihm halt auch angezeigt:
"Datenverlust beim schreiben ... Die Datei "\\ajshdla.no-ip.org\xy\Domi\log.txt" konnte nicht geschrieben werden.
Bitte speichern Sie die Datei woanders ab"
ABer nochmal zu der Live-CD.
Wo kann man die her bekommen, diese Norton-CD?
Wo kann man die her bekommen, diese Norton-CD?
Das schlechte an der Situation ist, das er warscheinlich windows-Bordmittel nutzt um eine FTP oder sonst eine Verbindung zu diesem DynDNS Server aufzubauen. Da das keine Viren sind, wirst du nichts finden. Leider. Dieses ajshdla.no-ip.org wurde bereits gelöscht, also gehe ich davon aus das dieser Mensch das Ziel abgeschaltet und den noip Account gelöscht hat. Vieleicht hat er ja mitbekommen was los ist.
Leider kann ich ohne weitere Informationen wie das Installiert wurde nicht genau sagen wie du das wieder bereinigen kannst.
Leider kann ich ohne weitere Informationen wie das Installiert wurde nicht genau sagen wie du das wieder bereinigen kannst.
Nee, oder?
Aber des ist halt schon ###e, wenn der den PC steuern kann...
Ich sag ihm, dass er das mal weiterhin beobachten soll.
Aber trotzdem thx soweit
Aber des ist halt schon ###e, wenn der den PC steuern kann...
Ich sag ihm, dass er das mal weiterhin beobachten soll.
Aber trotzdem thx soweit
Ich würde noch empfehlen ein paar onlinescanner drüber zu jagen z.b. von Nod32 oder kaspersky
Und...Norton? Weg mit dieser gelben Pest und was ordentliches draufsetzen
Und...Norton? Weg mit dieser gelben Pest und was ordentliches draufsetzen
Meine Empfehlung wäre:
Festplatte ausbauen und in einem anderen Rechner scannen lassen, am Besten wirklich mit Kaspersky. In der C*mputerBild gab es mal vor einiger Zeit eine Gratis-Vollversion davon, vielleicht hast du die ja selber oder irgendwen in der Verwandtschaft, der noch eine Lizenz übrig hat (es gab immer direkt eine für 3 Arbeitsplätze).
Und wenn damit das System auch nicht sauberzukriegen ist, müssen halt die wichtigen Daten gesichert, die Festplatte komplett formatiert und Windows neu aufgesetzt werden.
Btw: Sitzt du hinter einem Router? Würde mich sehr wundern, wenn ohne irgendein Zutun einfach die zur Fernsteuerung geöffneten Ports im Router geforwardet werden.
Zu Norton stimme ich Endzeit zu:
Wer Norton hat braucht keine Viren mehr, ich habe schon viele virenbefallene Systeme gesehen und auf fast allen war die T-Offline-Version von Norton installiert. Will nichts heißen, aber....
Festplatte ausbauen und in einem anderen Rechner scannen lassen, am Besten wirklich mit Kaspersky. In der C*mputerBild gab es mal vor einiger Zeit eine Gratis-Vollversion davon, vielleicht hast du die ja selber oder irgendwen in der Verwandtschaft, der noch eine Lizenz übrig hat (es gab immer direkt eine für 3 Arbeitsplätze).
Und wenn damit das System auch nicht sauberzukriegen ist, müssen halt die wichtigen Daten gesichert, die Festplatte komplett formatiert und Windows neu aufgesetzt werden.
Btw: Sitzt du hinter einem Router? Würde mich sehr wundern, wenn ohne irgendein Zutun einfach die zur Fernsteuerung geöffneten Ports im Router geforwardet werden.
Zu Norton stimme ich Endzeit zu:
Wer Norton hat braucht keine Viren mehr, ich habe schon viele virenbefallene Systeme gesehen und auf fast allen war die T-Offline-Version von Norton installiert. Will nichts heißen, aber....
@Maxi
Öhm, kleiner Denkfehler. Er hat sich das teil durch eine EMail von kumpel xy oder sonstwem eingefangen. Ich gehe davon aus das es ein Script war das vom lokalem PC aus irgend einen installer für VNC und einen Tunnel (zb. plink.exe) eingefangen und installiert hat. Virenscanner finden so etwas definitiv nicht. Die tatsache das das VNC logo in der Systray erscheint, deutet auf einen noob oder ein kiddi in dieser Szene hin der "mal schauen" wolle, was der kumpel so treibt. Die Verbindung wird also von innen nach außen aufgebaut was durch so gut wie jede Firewall geht. Das VNC Tunneling erfolgt also über einen von innen aufgebauten Tunnel ODER der PC hängt tatsächlich direkt am Netz (womit es auch erklären würde warum der Typ versucht auf seinen noip-homeserver die IP des Rechners abzulegen)
Das mit der Formatierung sehe ich auch als einzige Möglichkeit das System wieder in einen definierten Zustand zu bekommen (wenn das erforderliche Hintergrundwissen für eine Reinigung fehlt).
Öhm, kleiner Denkfehler. Er hat sich das teil durch eine EMail von kumpel xy oder sonstwem eingefangen. Ich gehe davon aus das es ein Script war das vom lokalem PC aus irgend einen installer für VNC und einen Tunnel (zb. plink.exe) eingefangen und installiert hat. Virenscanner finden so etwas definitiv nicht. Die tatsache das das VNC logo in der Systray erscheint, deutet auf einen noob oder ein kiddi in dieser Szene hin der "mal schauen" wolle, was der kumpel so treibt. Die Verbindung wird also von innen nach außen aufgebaut was durch so gut wie jede Firewall geht. Das VNC Tunneling erfolgt also über einen von innen aufgebauten Tunnel ODER der PC hängt tatsächlich direkt am Netz (womit es auch erklären würde warum der Typ versucht auf seinen noip-homeserver die IP des Rechners abzulegen)
Das mit der Formatierung sehe ich auch als einzige Möglichkeit das System wieder in einen definierten Zustand zu bekommen (wenn das erforderliche Hintergrundwissen für eine Reinigung fehlt).
Das mit dem kiddi kann ich nur bestaetigen, allein der Umstand das man Im Taskmanager cmd.exe, ping.exe, ftp.exe, b2e.exe, und xcopy.exe sehen kann und nicht, zb in svhost verstecket sind spricht dafuer.
Deswegen halte ich auch eine Strafanzeige fuer ueberdimensioniert.
Wichtig ist das der Rechner komplett geloescht wird und reinstalliert wird. Ausserdem sollten vorher, und zwar von einem anderen System, alle im Internet verwendeten Passwoerter geaendert werden.
Deswegen halte ich auch eine Strafanzeige fuer ueberdimensioniert.
Wichtig ist das der Rechner komplett geloescht wird und reinstalliert wird. Ausserdem sollten vorher, und zwar von einem anderen System, alle im Internet verwendeten Passwoerter geaendert werden.
Ich habe jetzt nochmal Kaspersky Security probiert von der ComputerBild.
Aber auch kein Fund.
Das find ich jetzt total assi, dass wir den neu aufsetzen müssen.
Vielleicht weiss ja jemand anderes, wie man diesen "Trojaner" vlt. aufdecken könnte und doch löschen könnte.
Weil es befinden sich sehr viele sensible Daten auf dem PC und außerdem sehr viel lizenzierte und bezahlte Software.
Aber auch kein Fund.
Das find ich jetzt total assi, dass wir den neu aufsetzen müssen.
Vielleicht weiss ja jemand anderes, wie man diesen "Trojaner" vlt. aufdecken könnte und doch löschen könnte.
Weil es befinden sich sehr viele sensible Daten auf dem PC und außerdem sehr viel lizenzierte und bezahlte Software.
Die Lizenzen hat man doch, und dann wirds halt alles nochmal installiert
und nu?
Die Daten sichert man.
Sobald man son ding drauf hat und besonders wenn er tückisch ist,
ist eine komplette neuinstallation mit kompletter formatierung absolut empfehlenswert.
und wenn die daten wirklich sensibel sind und es sich um einen trojaner handelt...
dann wünsche ich viel spaß, falls du das system nicht neu aufsetzt^^
und nu?
Die Daten sichert man.
Sobald man son ding drauf hat und besonders wenn er tückisch ist,
ist eine komplette neuinstallation mit kompletter formatierung absolut empfehlenswert.
und wenn die daten wirklich sensibel sind und es sich um einen trojaner handelt...
dann wünsche ich viel spaß, falls du das system nicht neu aufsetzt^^
Ok!
Dann werd' ich mich mal dran machen.
Vielen Dank für die vielen Posts!
Dann werd' ich mich mal dran machen.
Vielen Dank für die vielen Posts!
Den Rechner vom Netz nehmen und den VNC-Client entfernen, falls die bind 2 exe Library [b2e.exe] nicht benötigt wird, ebenfalls löschen. RPCalls verbieten.
saludos
gnarff
saludos
gnarff
