[HaBo]

Mammut

Anzeige

Hi,
ich hab nen Trojaner auf dem PC gehabt, meine Firewall hat natürlich sofort Alarm geschlagen und hab den Trojaner "System32.exe" sofort gelöscht. Jedoch wird mir jetzt bei jedem Systemstart, also wenn alles schon geladen ist und der Desktop vor mir liegt wird angezeigt das die Datei nicht gefunden wurde. Also habe ich irgendwo im System noch einen Link darauf! Doch unter Autostart und Regedit habe ich ihn nicht gefunden!!! ?( ?(

Help! Was kann ich tun

Mammut

silent

hast du auch in der msconfig
nachgesehen
start->ausführen->msconfig *tipp ein*
ich gehe davon aus das du
start->programme->autostart ...
überprüft hast

soweit

silent

JiRd

Hi. Mach am besten mal mit Ad-Aware einen Scan. Das Programm sucht nach evtl. RegKeys die nicht auf den PC-Gehören. Auch wenn es an was anderem liegt könnte das Prog Dateien finden die was mit der system32.exe zutun haben könnten. Was für ein OS hast du denn?

link

Ansonsten schaue noch einmal in die Registry bei:

HKLMachine\Software\Microsoft\Windows\CurrentVersi on\Run

dort sind Autostarteinträge

semtex

ganz einfach mal mit anti-trojan scannen (ich weiß das ist billig) und kucken welcher trojaner das ist.

und am besten besorgst dir den client für den trojaner und entfernst ihn damit ... das ist am saubersten... kuck mal hier www.ratboard.de

MoaraShira

Das funzt aber nur wenn der Server nicht Passwort geschützt ist, ist er es doch, dann hast du keine Chance mit dem Client.

semtex

naja, keine chance ist vielleicht uebertrieben... aber du hast schon recht... es macht keinen sinn das passwort von dem server zu knacken... das steht in keiner relation zum effekt....

aber manchmal gehts eben auch kompliziert

Prometheus

Ich glaube mal, das du die Datei System32.exe gelöscht hast.
Sicher wurde die Datei nur mit dem Virus infiziert, so das dein Virenscanner sagt:
"Jetzt lösche ich mal" un er tut es auch.
Sowas ist einen Kumbel mal passiert. Er macht einen Virenscan und der Virenscanner löscht wichtige Systemdateien von Windows. Und dann nach dem Neustart gab es die schöne Beschehrung: Fehler, Fehler.
Nur eine Neuinstallation hat da noch geholfen.

Und noch ein Tip ganz speziel zu Trojaner.
Merke dir mal bitte das man Trojaner nicht so einfach löschen darf. Ich hatte mich mal früher viel mit Trojanern beschäftigt und in einer FAQ stand mal drinnen, das man Trojaner nicht per Virenscanner löschen darf. Weil nun diese, die wichtigen Systemdateien mit dem Trojaner löschen. Beim nächsten mal solltest du erstmal einen PortScan durchführen lassen. Für fast jeden Trojaner gibt es einen speziellen Portscanner. Dieser sagt dir ob in deinen System oder im System eines anderen ein Trojaner sitzt. Um es ganz genau zu Beschreiben: Das Infizierungsmodul. Für jeden Trojaner gibt es dazu noch ein Steuerungsmodul. Und in solchen Steuerungsmodule müßte man einen Button finden, auf den steht "Selfelimination"(Selbstelimination)
Schon ist der Trojaner, bzw. das "Infizierungsmodul" im Nirvana. Das System ist dann wieder so als wäre nie ein Trojaner dagewesen. Aber nun ist es bestimmt für dein System zu spät. Versuche velleicht mal ein Systembackup zu machen.

MoaraShira

Gelernt hast du aber nicht viel.

Da genügt EIN Scanner , z.b. Superscan ist ganz gut geeignet einen offenen Trojaner port zufinden.

Infizierungsmodul ?( damit meinst du sicherlich den Server, also den eigerntlichen Trojaner, und mit "Steuerungsmodul" ist dann der Client gemeint in dem man die Funktion "Selfelimination" findet, richtig?

Trojaner sind Client- Server Anwendungen, und in den allermeisten Clienten findet man das Feature " remove Server", das stimmt.

Das wurde weiter oben doch schon besprochen, hast du das nicht gelesen?

silent

eine system32.exe gibt es nicht es
gibt nur den ordner system32 in dem
sehr häufig trojaner zu finden sind
dort befindet sich z.B. netbus.exe
sub7.exe oder uach die datei patch.exe
sie führt bösartige scripte aus ist aber selbst
ungefährlich steht aber im autostart
...

um was für einen trojan handelt es sich denn...


silent

semtex

Also das muss kein bestimmter Trojaner sein... es muss nichtmal ein Trojaner sein, da Virenscanner sich auch "irren" können

Bei Trojanerbefall bevorzuge ich in der Regel "Neuinstallation" ich weiß das macht viel Arbeit... es sei denn man ist vorsichtig und hat ein Backup seiner Partitionen dann dauert das ganze nur max. 15min und alles ist wie neu.

Am besten ist es mann lässt sich gar keinen Trojaner auf die Platte... wie das geht?

1.Nicht jeden Scheiss aufmachen
2.Anständiges OS nutzen. Für Linux gibts sehr viel weniger solche Kiddie-Tools wie Sub7,Optix, etc.
3.Anständiger Virenscanner
4.Anständige Firewall... am besten nen Seperaten alten Rechner als Linuxbox der auch als Internetrouter fungiert.
5.Downloads von Filesharingbörsen und anderen fragwürdigen Quellen nur in einer Sandbox öffnen...


Die haben das Thema auf dem Ratboard auch schon gehabt... aber nicht so die Superlösung gefunden.
http://www.ratboard.de/board/thread....874&boardid=23

Prometheus

[quote]Original von MoaraShira
Du aber auch nicht besonders viel.



Schön, aber wie willst du dann wissen welcher Trojaner drauf ist. Um einen Trojaner auf einen System zu erkennen reicht auch ein Virenscanner aus, der ihn platt macht. Aber um herauszufinden welcher Trojaner drauf ist brauchst du SPEZIELLE PORTSCANNER, die es individuell für jeden Trojaner gibt. Dann kannst du ihn mit dem Steuerungsmodul verabschieden. Du kannst auch nicht mit einen Bo2k Steuerungsmodul einen Blackdoor Trojaner verabschieden.
Bitte beim nächsten mal genauer lesen!




Man, ich wollte es nur Idiotensicher beschreiben. Außerdem kennst du sicher nicht die anderen Trojaner. Es gibt nicht nur Trojaner wo du "Remove Server" hast. Außerdem ist Server völliger Quatsch. Was du auf den Opferrechner hast, heißt Client. Wieso sollte sich da nach deiner Theorie, das "Steuerungsmodul" löschen?



Hab ich schon gelesen, aber dort hatte noch niemand die Theorie aufgeworfen, das etwas die Systemdateien umgeschrieben hat, auf deutsch sich eingenistet hat.


[quote]Original von silent
Es gibt auch noch Dateien, die Windows nicht anzeigt und außerdem gibt es auf der Welt nicht nur Netbus oder Subseven und die haben unterschiedliche Arten sich ins System einzunisten.

Das würde ich auch mal gerne Wissen.

silent

ähm,
wenn du eine datei namens system32.exe hast
solltest du sie löschen denn es handelt sich
um einen trojan
um rauszufinden welchen trojaner du hast
genügt nach wie vor ein scanner und
superscann ist in der tat gut
du lädst dir ne port list
oder suchst dir die stadart ports
12345 = netbus
...


silent

semtex

ich hab das gefühl man kann meine threats nicht lesen?!

Der Server (engl. Diener) wird auf dem Opferrechner installiert... mehr oder weniger unfreiwillig.
Der Client (engl. Kunde) greift auf den Server bzw. Opferrechner zu und ist somit die Fernbedienung wenn ihr so wollt.

Man nimmt die passende Fernbedienung zum passenden Fernseher (Trojaner) weil man damit den Fernseher am besten bedienen kann! D.h. so kann ich den Fernseher auch am sichersten ausschalten.

Einen Virenscanner würde ich zur Trojanerjagt nicht empfehlen, da sich diese auch irren und es bessere Scanner mit integriertem Portscanner gibt z.b. Anti-Trojan.

Ein Trojaner muss nicht auf einem typischen Port laufen... ich kann den Server so konfigurieren dass er auf JEDEM der 65xxx ports läuft. So lässt er sich also nicht eindeutig identifizieren... auch wenn das mit den Standartports nicht falsch ist... aber selbst das dümmste Scriptkiddie kommt auf die Idee den Stanport zu ändern.

Besorg dir AntiTrojan oder probier ne Reihe von Trojanerclients aus...
Die Adresse wie immer --> http://www.ratboard.de

Und ich rate euch besucht die Site damit ihr mal was über Trojaner lernt!

MoaraShira

Man kann einen Trojaner so präparieren (patchen),daß er von Virenscannern NICHT mehr erkannt wird!

Mit einem Portscanner scannt man nach Ports und NICHT primär nach Malware.

Da ein Trojanerserver aber einen Port auf dem von ihm infizierten Rechner öffnen MUSS um zu funktionieren, hat man mit einem Portscanner auch ne gute Chance den Trojaner zufinden. Und dafür reicht nach wie vor EIN Portscanner aus, da man ihn so konfigurieren kann, daß er nach den Standports der bekanntesten Trojaner scannt.
Beispiel:
Sub7= Port 27374
OptixPro= Port 3410
Beast= Port 6666
usw....
Wenn dir also Superscan einen der genannten Ports als offen meldet, dann ist die Wahrscheinlichkeit gross, daß du den entsprechenden Trojaner auf der Platte hast.
Daß es nicht immer diese Ports sein müssen hat eftex ja schon ausreichend gut erklärt.
Hast du das jetzt verstanden?


Junge, Junge du bringst es wirklich knüppeldick!
Auf dem Opferrechner läuft IMMER der Server. IMMER, ohne Ausnahme! Klar?
Der Client läuft auf dem Rechner des Hacker's und steuert den Server. Auch klar?

Ich beschäftige mich seit 2 Jahren sehr intensiv mit Trojanern und habe noch nie einen entdeckt der nicht über die Funktion "remove Server" oder "server deinstallieren" verfügt.