[HaBo]

Friedel · 29.08.05, 20:43

Hallo Freunde,

vielleicht könnt Ihr mir helfen..........

Habe ein AMD Athlon mit WinXP prof und Serv.Pack2.
Seit einigen Tagen habe ich einen Trojaner auf der Platte der sich laut Vierenscanner TROJ_KEYLOG.N nennt!

In der Taskmanager habe ich auch schon die Möglichkeit herausgefunden den Virus/Trojaner zumindest bis zum nächsten booten zu stoppen.
Der Eintrag lautet SVCHOST.EXE (groß geschrieben!!)
Außerdem versucht eine Datei unter Windows/System32 namens WORKGROUP.blablabla laufend eine Mail zu versenden die meine Firewall (Trend antiVirus) blockt.
Die WindowsXP Firewall wurde von dem Trojaner kurzerhand ausgetrickst indem er sich selber als Ausnahme freigeschaltet hat (auch hier als SVCHOST.EXE)

Leider bietet Trend antiVirus keine Hilfsmittel den Trojaner zu killen.......
Auch unter Google finde ich keinen Keylog.N
Alle Versuche ihn mit REGEDIT aufzuspühren schlugen fehl.......
Der ist nach jedem booten aktiv

Kann mir jemand bitte helfen?
Würde eine Systemreparatur mit der Windows XP CD helfen?

danke und Gruß
Friedel

ElLute · 29.08.05, 21:06

sagt dir spybot was? einfach mal danach googlen, oder sonst manuell killen im abgesicherten modus...

Anzeige

- Anzeige -

Friedel · 29.08.05, 21:26

manuell killen bringt nichts!
ich finde ja die Quelle nicht die den Trojaner bzw. die Einträge jedesmal neu anlegt....

Unter Windows wird ein TEMP Ordner angelegt in dem die Protokoll-Dateien abgelegt werden........ wer das steuert weiß ich nicht....

Mit regedit finde ich keinen Eintrag der auf den Trojaner hinweisen könnte....

Ich versuche das Spybot mal, danke!

werde berichten....... aber wenn jemand noch eine Lösung parat hat, bitte!!!

**CDW** · 29.08.05, 22:50

http://www.sysinternals.com/Utilitie...sExplorer.html
ProcessExplorer zeigt alle möglichen Infos zu den Anwendungen an - unter anderem auch was den Process gestartet hat (unter properties->Parent)
Was ich von kompromittierten Systemen halte:
http://oschad.de/wiki/index.php/Virenscanner
und was man tun sollte:
http://oschad.de/wiki/index.php/Kompromittierung
lieblingsbeispiel dazu:
http://groups-beta.google.com/group/...?output=gplain

Friedel · 03.09.05, 18:12

lange Rede kurzer Sinn..... ich habe das XP komplett neu aufgesetzt. Jetzt ist Ruhe im Karton.

Danke für die Links CDW!

Anzeige

- Anzeige -

29.08.05, 20:43	#1 (permalink)
Friedel Registriert seit: 05.05.04 Likes: 0	Troj_keylog.n Anzeige Hallo Freunde, vielleicht könnt Ihr mir helfen.......... Habe ein AMD Athlon mit WinXP prof und Serv.Pack2. Seit einigen Tagen habe ich einen Trojaner auf der Platte der sich laut Vierenscanner TROJ_KEYLOG.N nennt! In der Taskmanager habe ich auch schon die Möglichkeit herausgefunden den Virus/Trojaner zumindest bis zum nächsten booten zu stoppen. Der Eintrag lautet SVCHOST.EXE (groß geschrieben!!) Außerdem versucht eine Datei unter Windows/System32 namens WORKGROUP.blablabla laufend eine Mail zu versenden die meine Firewall (Trend antiVirus) blockt. Die WindowsXP Firewall wurde von dem Trojaner kurzerhand ausgetrickst indem er sich selber als Ausnahme freigeschaltet hat (auch hier als SVCHOST.EXE) Leider bietet Trend antiVirus keine Hilfsmittel den Trojaner zu killen....... Auch unter Google finde ich keinen Keylog.N Alle Versuche ihn mit REGEDIT aufzuspühren schlugen fehl....... Der ist nach jedem booten aktiv Kann mir jemand bitte helfen? Würde eine Systemreparatur mit der Windows XP CD helfen? danke und Gruß Friedel

29.08.05, 22:50	#4 (permalink)
CDW Moderator Registriert seit: 20.07.05 Likes: 202	http://www.sysinternals.com/Utilitie...sExplorer.html ProcessExplorer zeigt alle möglichen Infos zu den Anwendungen an - unter anderem auch was den Process gestartet hat (unter properties->Parent) Was ich von kompromittierten Systemen halte: http://oschad.de/wiki/index.php/Virenscanner und was man tun sollte: http://oschad.de/wiki/index.php/Kompromittierung lieblingsbeispiel dazu: http://groups-beta.google.com/group/...?output=gplain __________________ Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf! Selig, wer nichts zu sagen hat und trotzdem schweigt.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

29.08.05, 21:06	#2 (permalink)
ElLute Registriert seit: 24.08.05 Likes: 0	sagt dir spybot was? einfach mal danach googlen, oder sonst manuell killen im abgesicherten modus...

29.08.05, 21:26	#3 (permalink)
Friedel Themenstarter Registriert seit: 05.05.04 Likes: 0	manuell killen bringt nichts! ich finde ja die Quelle nicht die den Trojaner bzw. die Einträge jedesmal neu anlegt.... Unter Windows wird ein TEMP Ordner angelegt in dem die Protokoll-Dateien abgelegt werden........ wer das steuert weiß ich nicht.... Mit regedit finde ich keinen Eintrag der auf den Trojaner hinweisen könnte.... Ich versuche das Spybot mal, danke! werde berichten....... aber wenn jemand noch eine Lösung parat hat, bitte!!!

03.09.05, 18:12	#5 (permalink)
Friedel Themenstarter Registriert seit: 05.05.04 Likes: 0	lange Rede kurzer Sinn..... ich habe das XP komplett neu aufgesetzt. Jetzt ist Ruhe im Karton. Danke für die Links CDW!

[HaBo]

Troj_keylog.n