Trojaner

  • WinXP

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Hallo.
    Irgendjemand kontrolliert meinen rechner übers internet. auf einem windows kann ich mich schon nicht mehr einloggen, wenn er sich nämlich einloggt loggt er sich gleich wieder aus.
    weiterhin kommt beim windowslogin ein klitzekleines explorerfenster, und dort steht nur ja oder nein. man muss eins anklicken um windows starten zu können.
    gestern kam zum beispiel eine nachricht bei der windowsarbeit:
    deine session ist abgelaufen, wir loggen dich jetzt aus"
    kann mir jemand helfen?
  • Also ich hab ich dich ganz verstanden du behauptest:
    1. Dein PC wird über das Internet ferngesteuert.
    2. Du kannst dich zwar anmelden wirst aber vom HAcker ausgeschossen.

    Wenn das richtig ist dann:

    1.Internet ausstöpseln.
    2.Virenscanner laufen lassen
    3.Passwörter ändern.
  • hallo,
    setze das ganze programm ein.
    ad-aware, spybot, shredder, stinger, hijackthis, onlinescan.
    ferner solltest du deine software auf den neuesten bringen.
    Xp SP2 und wenn du den IE nutzt, SP1 und vergesse deinen
    virenscanner nicht.
    mfg

    nachtrag: beachte auch das von meinem vorredner!
    ich bin, ich weiß nicht wer, ich komme, ich weiß
    nicht woher, ich gehe, ich weiß nicht wohin,
    mich wundert, daß ich so fröhlich bin.
  • Kann den zwei oben nur zustimmen. Empfehle aber auch:
    Arbeitsplatz - rechte Maustaste - Eigenschaften - Remote - hier die Remoteunterstützung deaktivieren, dann kann eigentlich keiner mehr deinen Rechner fernsteuern.
    Ich wär so gern wieder so wie ich war als ich der werden wollte der ich jetzt bin.
    Auch sollte hier mal erwähnt werden,
    das der Beitragszähler keine Rückschlüsse auf irgendwelche Inteligenzquotienten eines Users schließen läßt.
    Und warum soll ich beim abbiegen blinken, wenn es allen einen Scheiß angeht, wo ich hinwill.
  • Hallo,
    hab alles laufen lassen, jegliche programme und kleien tools, aber das geht einfahc nicht weg.
    sogar im abgesicherten modus blitzt das kleine fenster auf.
    ich darf meinen rehcner jeodch nicht formatieren.
    wie kann ich ein protokoll erstellen, welches mir ALLE prozesse beim start auflistet.so daß ich das kleine fenster, was sich einloggt ( wahrscheinlich als programm) ausfindig machen kann.?

    //
    xp sp2 hat sich erledigt, da ich ne seltsame windowsverison benutze.

    MOD-Hinweis: keine Doppel-Posts!
  • ich meinte das HKLM und HKCS - Software - Microsoft - Windows - Current Version - Run.

    Lass mal mehrere Firewalls laufe, damit du mal schauen kannst über welchen Port der Typ dich anzapft. Dann kannst du gezielt diesen Port schließen.
  • Anleitung:
    Du startest den PC neu.
    Beende alle Programme die im Hintergrund laufen (Antivirguard, Personal Firewall....)
    Start->Ausführen->"cmd"
    dort "netstat -an" (alles ohne "!)
    Hier siehst du eine Liste deiner Verbindungen und die benutzen Ports.
    Jetzt (lass das Fenster geöffnet!) str+alt+entf und den Taskmanager wählen. In der Kartei "Prozesse" nach Diensten mit deinem Benutzernamen suchen. Sind welche Dabei (ausser taskmgr.exe explorer.exe und cmd.exe) diese Dienste identifizieren (Google hilft) und wenn du sie als "nicht gefährlich" eingestuft hast, entsprechenden Dienst beenden. Solltest du hier bereits auf das Übel stoßen ist der Rest unerheblich.
    Nachdem jetzt alle Dienste beendet sein sollten (ausser den 3 o.g) wieder ins Eingabefenster und den Befehl "netstat-an" erneut ausführen.
    Welche Ports (tcp, mit deiner IP, nicht 127.0.0.1 oder 0.0.0.0) werden weiterhin benutzt?
  • das hab ich grad benutzt!
    keine datei und keine verbindung aufgelistet.
    ich braUCH EIN tool welches mir das explorerfenster, was sich beim start von windows auftut anzeigt.
    solange ich nicht "ja oder "nein anklicke, komm ich nich zu windows rein! und ich brauch ein tool, welches mir dieses fenster zeigt, sprich den pfad oder die aufforderung!
  • das hab ich grad benutzt!

    Ja sorry, habs nicht gesehen weil ich dauernd die Boardüberfüllungsmeldung bekomme.

    Mehrere PFirewalls bringen nur Ärger (eine allein ist schon schlimm genug).
    Lass den Trojaner sich "einloggen" also mal ja klicken, danach mit TCP view die Verbindungen checken und im Taskmanager die Dienste.
  • also im taskman. unte rprozessen meines benutzernamens kann ich nichts feststellen!
    aber eine ip ist sletsam bei tcp view!
    port:1863!
    als ich grad diesen text schrieb, ist sie verschwunden!hm, in tcpview stand die ip aber unter system process!

    -----------------

    hijackthis:
    Logfile of HijackThis v1.99.0
    Scan saved at 03:34:22, on 19.07.2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    E:\WINDOWS\System32\smss.exe
    E:\WINDOWS\system32\csrss.exe
    E:\WINDOWS\system32\winlogon.exe
    E:\WINDOWS\system32\services.exe
    E:\WINDOWS\system32\lsass.exe
    E:\WINDOWS\system32\svchost.exe
    E:\WINDOWS\System32\svchost.exe
    E:\WINDOWS\System32\svchost.exe
    E:\WINDOWS\System32\svchost.exe
    E:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
    E:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
    E:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    E:\WINDOWS\system32\spoolsv.exe
    E:\WINDOWS\System32\alg.exe
    E:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
    E:\Programme\Norton AntiVirus\navapsvc.exe
    E:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
    E:\Dokumente und Einstellungen\Souluos Records\Desktop\tcpview\Tcpview.exe
    E:\WINDOWS\System32\taskmgr.exe
    E:\WINDOWS\explorer.exe
    E:\Programme\Internet Explorer\iexplore.exe
    E:\Dokumente und Einstellungen\Souluos Records\Desktop\hijackthis\HijackThis.exe

    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Programme\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - E:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Programme\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - E:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Programme\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] E:\PROGRA~1\SYMNET~1\SNDMon.exe
    O4 - HKLM\..\Run: [SSC_UserPrompt] E:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
    O4 - HKLM\..\Run: [DeltTray] DeltTray.exe
    O4 - HKLM\..\Run: [ccApp] "E:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
    O4 - HKCU\..\Run: [MSMSGS] "E:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [a-squared] "E:\Programme\a2perdonal\a2guard.exe"
    O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\MSMSGS.EXE
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - pandasoftware.com/activescan/as5/asinst.cab
    O23 - Service: Symantec Event Manager - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Network Proxy - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
    O23 - Service: Symantec Password Validation - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
    O23 - Service: Norton AntiVirus Auto-Protect Service - Symantec Corporation - E:\Programme\Norton AntiVirus\navapsvc.exe
    O23 - Service: Norton AntiVirus Firewall Monitor Service - Symantec Corporation - E:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
    O23 - Service: SAVScan - Symantec Corporation - E:\Programme\Norton AntiVirus\SAVScan.exe
    O23 - Service: ScriptBlocking Service - Symantec Corporation - E:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Symantec Network Drivers Service - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
    O23 - Service: Symantec Core LC - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

    ist alles ok!

    --------------

    ich würd gern dieses komisches fenster beim login von windows ausfindig machen!das muss doch irgendwie gehen!