Trojaner auf dem PC

[Mammut]

Hi,
ich hab nen Trojaner auf dem PC gehabt, meine Firewall hat natürlich sofort Alarm geschlagen und hab den Trojaner "System32.exe" sofort gelöscht. Jedoch wird mir jetzt bei jedem Systemstart, also wenn alles schon geladen ist und der Desktop vor mir liegt wird angezeigt das die Datei nicht gefunden wurde. Also habe ich irgendwo im System noch einen Link darauf! Doch unter Autostart und Regedit habe ich ihn nicht gefunden!!! ?( ?(

Help! Was kann ich tun

Mammut

 

[silent]

hast du auch in der msconfig
nachgesehen
start->ausführen->msconfig *tipp ein*
ich gehe davon aus das du
start->programme->autostart ...
überprüft hast

soweit

silent

 

[JiRd]

Hi. Mach am besten mal mit Ad-Aware einen Scan. Das Programm sucht nach evtl. RegKeys die nicht auf den PC-Gehören. Auch wenn es an was anderem liegt könnte das Prog Dateien finden die was mit der system32.exe zutun haben könnten. Was für ein OS hast du denn?

 

[link]

Ansonsten schaue noch einmal in die Registry bei:

HKLMachine\Software\Microsoft\Windows\CurrentVersion\Run

dort sind Autostarteinträge

 

[semtex]

ganz einfach mal mit anti-trojan scannen (ich weiß das ist billig) und kucken welcher trojaner das ist.

und am besten besorgst dir den client für den trojaner und entfernst ihn damit ... das ist am saubersten... kuck mal hier www.ratboard.de

 

[MoaraShira]

Original von eftex
und am besten besorgst dir den client für den trojaner und entfernst ihn damit ... das ist am saubersten... kuck mal hier www.ratboard.de

Das funzt aber nur wenn der Server nicht Passwort geschützt ist, ist er es doch, dann hast du keine Chance mit dem Client.

 

[semtex]

naja, keine chance ist vielleicht uebertrieben... aber du hast schon recht... es macht keinen sinn das passwort von dem server zu knacken... das steht in keiner relation zum effekt....

aber manchmal gehts eben auch kompliziert

 

[Prometheus]

Ich glaube mal, das du die Datei System32.exe gelöscht hast.
Sicher wurde die Datei nur mit dem Virus infiziert, so das dein Virenscanner sagt:
"Jetzt lösche ich mal" un er tut es auch.
Sowas ist einen Kumbel mal passiert. Er macht einen Virenscan und der Virenscanner löscht wichtige Systemdateien von Windows. Und dann nach dem Neustart gab es die schöne Beschehrung: Fehler, Fehler.
Nur eine Neuinstallation hat da noch geholfen.

Und noch ein Tip ganz speziel zu Trojaner.
Merke dir mal bitte das man Trojaner nicht so einfach löschen darf. Ich hatte mich mal früher viel mit Trojanern beschäftigt und in einer FAQ stand mal drinnen, das man Trojaner nicht per Virenscanner löschen darf. Weil nun diese, die wichtigen Systemdateien mit dem Trojaner löschen. Beim nächsten mal solltest du erstmal einen PortScan durchführen lassen. Für fast jeden Trojaner gibt es einen speziellen Portscanner. Dieser sagt dir ob in deinen System oder im System eines anderen ein Trojaner sitzt. Um es ganz genau zu Beschreiben: Das Infizierungsmodul. Für jeden Trojaner gibt es dazu noch ein Steuerungsmodul. Und in solchen Steuerungsmodule müßte man einen Button finden, auf den steht "Selfelimination"(Selbstelimination)
Schon ist der Trojaner, bzw. das "Infizierungsmodul" im Nirvana. Das System ist dann wieder so als wäre nie ein Trojaner dagewesen. Aber nun ist es bestimmt für dein System zu spät. Versuche velleicht mal ein Systembackup zu machen.

 

[MoaraShira]

Original von Prometheus
Ich hatte mich mal früher viel mit Trojanern beschäftigt

Gelernt hast du aber nicht viel.

Beim nächsten mal solltest du erstmal einen PortScan durchführen lassen. Für fast jeden Trojaner gibt es einen speziellen Portscanner. Dieser sagt dir ob in deinen System oder im System eines anderen ein Trojaner sitzt.

Da genügt EIN Scanner , z.b. Superscan ist ganz gut geeignet einen offenen Trojaner port zufinden.

Um es ganz genau zu Beschreiben: Das Infizierungsmodul. Für jeden Trojaner gibt es dazu noch ein Steuerungsmodul. Und in solchen Steuerungsmodule müßte man einen Button finden, auf den steht "Selfelimination"(Selbstelimination)
Schon ist der Trojaner, bzw. das "Infizierungsmodul" im Nirvana. Das System ist dann wieder so als wäre nie ein Trojaner dagewesen. Aber nun ist es bestimmt für dein System zu spät. Versuche velleicht mal ein Systembackup zu machen.

Infizierungsmodul ?( damit meinst du sicherlich den Server, also den eigerntlichen Trojaner, und mit "Steuerungsmodul" ist dann der Client gemeint in dem man die Funktion "Selfelimination" findet, richtig?

Trojaner sind Client- Server Anwendungen, und in den allermeisten Clienten findet man das Feature " remove Server", das stimmt.

Das wurde weiter oben doch schon besprochen, hast du das nicht gelesen?

 

[silent]

eine system32.exe gibt es nicht es
gibt nur den ordner system32 in dem
sehr häufig trojaner zu finden sind
dort befindet sich z.B. netbus.exe
sub7.exe oder uach die datei patch.exe
sie führt bösartige scripte aus ist aber selbst
ungefährlich steht aber im autostart
...

um was für einen trojan handelt es sich denn...


silent

 

[semtex]

Also das muss kein bestimmter Trojaner sein... es muss nichtmal ein Trojaner sein, da Virenscanner sich auch "irren" können

Bei Trojanerbefall bevorzuge ich in der Regel "Neuinstallation" ich weiß das macht viel Arbeit... es sei denn man ist vorsichtig und hat ein Backup seiner Partitionen dann dauert das ganze nur max. 15min und alles ist wie neu.

Am besten ist es mann lässt sich gar keinen Trojaner auf die Platte... wie das geht?

1.Nicht jeden Scheiss aufmachen
2.Anständiges OS nutzen. Für Linux gibts sehr viel weniger solche Kiddie-Tools wie Sub7,Optix, etc.
3.Anständiger Virenscanner
4.Anständige Firewall... am besten nen Seperaten alten Rechner als Linuxbox der auch als Internetrouter fungiert.
5.Downloads von Filesharingbörsen und anderen fragwürdigen Quellen nur in einer Sandbox öffnen...


Die haben das Thema auf dem Ratboard auch schon gehabt... aber nicht so die Superlösung gefunden.
http://www.ratboard.de/board/thread.php?threadid=3874&boardid=23

 

[Prometheus]

Original von MoaraShira

Gelernt hast du aber nicht viel.

Du aber auch nicht besonders viel.

Da genügt EIN Scanner , z.b. Superscan ist ganz gut geeignet einen offenen Trojaner port zufinden.

Schön, aber wie willst du dann wissen welcher Trojaner drauf ist. Um einen Trojaner auf einen System zu erkennen reicht auch ein Virenscanner aus, der ihn platt macht. Aber um herauszufinden welcher Trojaner drauf ist brauchst du SPEZIELLE PORTSCANNER, die es individuell für jeden Trojaner gibt. Dann kannst du ihn mit dem Steuerungsmodul verabschieden. Du kannst auch nicht mit einen Bo2k Steuerungsmodul einen Blackdoor Trojaner verabschieden.
Bitte beim nächsten mal genauer lesen!

Infizierungsmodul ?( damit meinst du sicherlich den Server, also den eigerntlichen Trojaner, und mit "Steuerungsmodul" ist dann der Client gemeint in dem man die Funktion "Selfelimination" findet, richtig?
Trojaner sind Client- Server Anwendungen, und in den allermeisten Clienten findet man das Feature " remove Server", das stimmt.

Man, ich wollte es nur Idiotensicher beschreiben. Außerdem kennst du sicher nicht die anderen Trojaner. Es gibt nicht nur Trojaner wo du "Remove Server" hast. Außerdem ist Server völliger Quatsch. Was du auf den Opferrechner hast, heißt Client. Wieso sollte sich da nach deiner Theorie, das "Steuerungsmodul" löschen?

Das wurde weiter oben doch schon besprochen, hast du das nicht gelesen?

Hab ich schon gelesen, aber dort hatte noch niemand die Theorie aufgeworfen, das etwas die Systemdateien umgeschrieben hat, auf deutsch sich eingenistet hat.

Original von silent

eine system32.exe gibt es nicht es
gibt nur den ordner system32 in dem
sehr häufig trojaner zu finden sind
dort befindet sich z.B. netbus.exe
sub7.exe oder uach die datei patch.exe
sie führt bösartige scripte aus ist aber selbst
ungefährlich steht aber im autostart

Es gibt auch noch Dateien, die Windows nicht anzeigt und außerdem gibt es auf der Welt nicht nur Netbus oder Subseven und die haben unterschiedliche Arten sich ins System einzunisten.

um was für einen trojan handelt es sich denn...

Das würde ich auch mal gerne Wissen.

 

[silent]

ähm,
wenn du eine datei namens system32.exe hast
solltest du sie löschen denn es handelt sich
um einen trojan
um rauszufinden welchen trojaner du hast
genügt nach wie vor ein scanner und
superscann ist in der tat gut
du lädst dir ne port list
oder suchst dir die stadart ports
12345 = netbus
...


silent

 

[semtex]

Vorsicht Unsinn

ich hab das gefühl man kann meine threats nicht lesen?!

Was du auf den Opferrechner hast, heißt Client. Wieso sollte sich da nach deiner Theorie, das "Steuerungsmodul" löschen?

Der Server (engl. Diener) wird auf dem Opferrechner installiert... mehr oder weniger unfreiwillig.
Der Client (engl. Kunde) greift auf den Server bzw. Opferrechner zu und ist somit die Fernbedienung wenn ihr so wollt.

Man nimmt die passende Fernbedienung zum passenden Fernseher (Trojaner) weil man damit den Fernseher am besten bedienen kann! D.h. so kann ich den Fernseher auch am sichersten ausschalten.

Einen Virenscanner würde ich zur Trojanerjagt nicht empfehlen, da sich diese auch irren und es bessere Scanner mit integriertem Portscanner gibt z.b. Anti-Trojan.

Ein Trojaner muss nicht auf einem typischen Port laufen... ich kann den Server so konfigurieren dass er auf JEDEM der 65xxx ports läuft. So lässt er sich also nicht eindeutig identifizieren... auch wenn das mit den Standartports nicht falsch ist... aber selbst das dümmste Scriptkiddie kommt auf die Idee den Stanport zu ändern.

Besorg dir AntiTrojan oder probier ne Reihe von Trojanerclients aus...
Die Adresse wie immer --> http://www.ratboard.de

Und ich rate euch besucht die Site damit ihr mal was über Trojaner lernt!

 

[MoaraShira]

Original von Prometheus
Schön, aber wie willst du dann wissen welcher Trojaner drauf ist. Um einen Trojaner auf einen System zu erkennen reicht auch ein Virenscanner aus, der ihn platt macht. Aber um herauszufinden welcher Trojaner drauf ist brauchst du SPEZIELLE PORTSCANNER, die es individuell für jeden Trojaner gibt.

Man kann einen Trojaner so präparieren (patchen),daß er von Virenscannern NICHT mehr erkannt wird!

Mit einem Portscanner scannt man nach Ports und NICHT primär nach Malware.

Da ein Trojanerserver aber einen Port auf dem von ihm infizierten Rechner öffnen MUSS um zu funktionieren, hat man mit einem Portscanner auch ne gute Chance den Trojaner zufinden. Und dafür reicht nach wie vor EIN Portscanner aus, da man ihn so konfigurieren kann, daß er nach den Standports der bekanntesten Trojaner scannt.
Beispiel:
Sub7= Port 27374
OptixPro= Port 3410
Beast= Port 6666
usw....
Wenn dir also Superscan einen der genannten Ports als offen meldet, dann ist die Wahrscheinlichkeit gross, daß du den entsprechenden Trojaner auf der Platte hast.
Daß es nicht immer diese Ports sein müssen hat eftex ja schon ausreichend gut erklärt.
Hast du das jetzt verstanden?

Man, ich wollte es nur Idiotensicher beschreiben. Außerdem kennst du sicher nicht die anderen Trojaner. Es gibt nicht nur Trojaner wo du "Remove Server" hast. Außerdem ist Server völliger Quatsch. Was du auf den Opferrechner hast, heißt Client. Wieso sollte sich da nach deiner Theorie, das "Steuerungsmodul" löschen?

Junge, Junge du bringst es wirklich knüppeldick!
Auf dem Opferrechner läuft IMMER der Server. IMMER, ohne Ausnahme! Klar?
Der Client läuft auf dem Rechner des Hacker's und steuert den Server. Auch klar?

Ich beschäftige mich seit 2 Jahren sehr intensiv mit Trojanern und habe noch nie einen entdeckt der nicht über die Funktion "remove Server" oder "server deinstallieren" verfügt.

 

[silent]

das ist mir auch klar es ging aber eigentlich darum
das Prometheus die ansicht verstritt das man einen
bestimmten protscanner benötigt um zu erfassen
welchen trojan nun auf dem rechner ist und es gibt
eben noch genug leute die bei den standart ports
bleiben oft auch script kiddies weil sie naja zu
blöd sind es zu ändern...

auf jeden fall sooltest du auf eftex hören und
das ratboard besuchen naja und dann auch noch
anti-trojan...

silent

 

[MoaraShira]

@silent,

Mein letztes Posting ging an Prometheus und nicht in deine Richtung. Viel Glück beim cleanen deines Rechners )