Trojaner lässt sich nicht löschen.

D

D31~$0u1

0
Hallo.

Ich hab jetzt schon seit über einer Woche einen Trojaner auf meinem Pc (seitdem zeigt antivir das jedenfalls an).

Mein antivir sagt es sei das trojanische Pferd "TR/Vundo.FUL.9.A" Hab auch schon auf der Avira Seite geguckt aber da gibts keine Beschreibung.
Das Programm sagt mir er sei in "G:\WINDOWS\system32\...\f442cc43a44001ed.core.dll"
(Ja meine Partition heißt G und nciht C).

Ich bin jetzt jedesmal auf löschen gegangen aber es kommt immer wieder (nicht nur nach nem neustart sondern auch einfach so selbst nachdem er ja eigentlioch gelöscht wurde.)

Ich weiß jetzt nicht ob das damit zusammenhängt aber etwa zur selben Zeit ist och folgendes passiert:
1. Ich komm in gmx nur noch über Outlook rein, wenn ich meine Mail addy und mein PW auf der Seite selbst eingebe und dann auf einloggen gehe, dann hängt sich sowohl Firefox als auch Der InternetExplorer auf. Und es passiert bei unterschiedlichen Mail addys, also auch die von meiner Mutter.
2. Etwa zeitgleich mit dem ersten Fund des Trojaners kam jedesmal nachdem ich den PC gestartet hatte die Meldung, dass der Internetexplorer nicht als Standartbrowser eingestellt ist (was jetzt aber shon seit fast nem jahr so ist) und ob ich das ändern wollte. Das kommt jetzt nicht mehr weil ich das Häckchen bei "immer nachfragen" weggemacht habe.

3. Einige Wochen bevor ich das mit dem Trojaner angezeigt bekommen habe haben irgendwelche Leute versucht meinen PC zu hacken... bzw beide...
Zur Erklärung: Ich habe zwei PCs die beide mit demselben Modem verbudnen sind (über ein LanPort).
Als Firewall ahbe ich ZoneAlarm. Die hat dann angefangen (auf beiden PCs aber öfter auf dem alten) anzuzeigen, dass sie einen Zugriff von einer bestimmten IP adresse geblockt hat. Die IP adressen waren immer unterschiedlich und auch die NAtionalitäten waren fast immer andere. Das seltsame: Meine PCs haben ja dieselbe IP aber wenn beide liefen dann wurde immer nur der eien angegriffen.
Die Firewall zeigt auch an, dass es bisher jedesmal ein Telnet Versuch war.
Ich hab das so jeden zweiten Tag etwa ein bis zwei mal..

Kann mir da jemand helfen?
Also wie bekomm ich den Trojaner weg und wie die Angriffe? (passiert ja nix, nervt nur)


Gruß, D31 ~$0u1
 
Klingt ganz nach PC neu aufsetzen....(was man eigentlich sowieso tun sollte, wenn der PC verseucht ist). Ansonsten wäre ein HijackThis-Log auch ganz nützlich, um zu sehen, ob da auch ein "böser" Prozess läuft.

Du könntest natürlich versuchen, den Trojaner aus dem System zu "operieren", aber nachdem er sich bei jedem Neustart wiederherstellt, halte ich das für sinnlos bzw. für mühsamer als einfach mal eben (hab ich des öfteren schon gemacht aus solchen und ähnlichen Gründen) neu aufzusetzen.

MfG,
TBP
 
OK... Danke...
Werd ich dann al in Angriff nehmen.
Kennt jemand den Trojaner und weiß was genau er tut?
Und was ist mit den Angirffen?


Gruß, D31~$0u1
 
Wenn die Angriffe immer gegen Telnet laufen, würde ich den Dienst beenden. Mich wundert sowieso, dass dieser bei dir aktiviert ist, da es standardmäßig nicht der Fall sein sollte. Kann natürlich sein, dass der Trojaner irgendwie per Telnet gesteuert werden kann und es dadurch gestartet hat.

Ansonsten kann ich mich dem nur anschließen, installiere komplett neu und ändere auch gleich mal noch deine Mailpasswörter und so.
 
Also das mit Telnet kann nicht am Trojaner liegen, da:
1. Die Angriffe auf beiden PCs stattfinden der Trojaner aber nur auf dem NEUEN sitzt... Der alte ist sauber.

2. Die Angriffe waren schon VOR dem Trjaner da... Außerdem sind es imemr toptal unterschiedliche IPs..
Aus Russland waren schon welche dabei und aus Deutschland... Es sei denn derjenige hat nen anymisierungsdienst.
 
Nur weil der Trojaner jetzt erkannt wurde heißt es nicht, dass dieser nicht vorher schon da war ;)
Und was spricht dagegen, Telnet zu beenden? Wenn der Dienst nicht mehr läuft, kann darüber auch kein Angriff mehr kommen. Und die wenigsten werden zuhause auf dem Rechner Telnet benötigen.
 
Also ich hab Telnet irgendwie nicht gefunden.
Unter Dienste waren zwar ien paar Sachen mit T aber Telnet war nicht drunter (hab extra in dem Windows Hilfe nachgeguckt wo genau es stehen soll).
Ich hab jetzt den Dienst "Telefonie" beendet aber hatte danach trotzdem noch mal nen Angriff und ich selbst kann auch noch telnet benutzen.

Das ist auf beiden Rechnern so.

Gruß, D31~$0u1
 
Kann es dann nicht möglich sein, dass da irgendwas anderes auf Port 23 lauscht und ZoneAlarm es als Telnet meldet, weil es Port 23 ist?
 
Hast du den Dienst BEENDET oder DEAKTIVIERT? Wenn du ihn nur beendest ist er beim nächsten Reboot wieder da, wenn du ihn auf "Deaktiviert" stellst schweigt er für immer.

MfG,
TBP
 
Ich habe ihn deaktiviert.
Außerdem hatte ich vor dem Angriff noch nicht neu gestartet.
Weiß nicht... wie kann ich das rausfinden? nur mit Netstat?


Gruß, D31~$0u1
 
wenn du nicht weist was fürn service es ist dann kannst ja mal schauen ob du an nen Header kommst

telnet 127.0.0.1 23
HEAD / HTTP/1.0
enter
enter


oder nimmst einen Portscanner und wenndest den gegen dich selber an.
wenn bei dir ein Telnetserver läuft sollte dann nicht der Router für port 23 Port-forwarding aktiv haben?

1. Ich komm in gmx nur noch über Outlook rein, wenn ich meine Mail addy und mein PW auf der Seite selbst eingebe und dann auf einloggen gehe, dann hängt sich sowohl Firefox als auch Der InternetExplorer auf. Und es passiert bei unterschiedlichen Mail addys, also auch die von meiner Mutter.
Zum Vergrößern anklicken....
Wenn du nen Rat/Trojaner auf deinem PC hast, von dennen einige Keylogger enthalten würd ich nicht alle mail-accounts meiner Familie ausprobieren ...

Wenn die diejenigen sind , die telneten oder netcaten oder was auch immer, heist das ja nicht , dass das was mit port 23 zu tun hat : > mit Telnet kann man schließlich auf jeden Port connecten .
Weis nicht aber das Programm Telnet hat im Grunde genommen nichts mit Port 23 zutun ,
da läuft nur der telnetd, telnet-server : > und du würdest ja bei netstat -an
auf zb 192.168.0.1:23 stoßen.


Ich denke mal du hast keine statische IP also überleg dir mal wie sie an deine IP rankommen.
Denke mal das der Trojaner sich über dynDNS oder sowas wie no-IP zu ihnen verbindet und sie deswegen an deine IP kommen.
 
Öhm, leider habe ich eine statische IP. Denn ich habe eine Standleitung zum Internet (über Modem).
Also egal wie ich in der dommando line das von dir eingeb, es scheitert schon an der ersten Zeile: "Verbindungsaufbau zu 127.0.0.1...Es konnte keine Verbindung mit dem Host hergestellt werden, auf Port 23: Verbinden fehlgeschlagen"

Also soweit ich weiß kann man telnet auf jeden Prot anwenden, aber ma besten eben auf 23 weil da der Standartprot für nen Netzwerkdrucker ist... Und wenn man den offen hat (was glaub ich sogar standartmäßig nach der installation so ist) dann gheht das...

Gruß, D31~$0u1
 
nein

mit telnet kam man früher zb an ne remote shell.
also sprich wenn auf port 23 ein telnetd läuft kann man befehle eingeben.
heute gibts sowas noch für router(cisco etc) oder ähnliches.
sonst wird meistens ssh verwendet.
Auf windows läuft zu 100% kein telnetserver bei ner frischen installation.

wenn verbindung auf Port 23 fehlgeschlagen hat, dann wirds wohl daran liegen das port 23 closed ist.

der netzwerkdrucker auf port 23 naja ..
woher willst du wissen das sie auf Port 23 verbinden?
Der Port ist nur offen wenn du nen Server auf dem Port lauschen hast.
Mach einfach mal netstat -an und poste das hier .
 
Also hier ist das telnet Protokoll: (Vom alten PC)



Proto Lokale Adresse Remoteadresse Status
TCP 0.0.0.0:135 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:445 0.0.0.0:0 ABHÖREN
TCP 8*.1**.121.203:139 0.0.0.0:0 ABHÖREN
TCP 8*.1**.121.203:1044 216.252.106.49:80 SCHLIESSEN_WARTEN
TCP 8*.1**.121.203:1045 216.252.106.49:80 SCHLIESSEN_WARTEN
TCP 8*.1**.121.203:1052 213.165.65.50:5222 HERGESTELLT
TCP 8*.1**.121.203:1095 205.188.8.224:5238 HERGESTELLT
TCP 8*.1**.121.203:1108 72.14.221.118:80 SCHLIESSEN_WARTEN
TCP 8*.1**.121.203:1135 64.12.165.90:5238 HERGESTELLT
TCP 8*.1**.121.203:1188 63.245.209.121:80 WARTEND
TCP 8*.1**.121.203:1189 84.53.182.8:80 HERGESTELLT
TCP 127.0.0.1:1027 0.0.0.0:0 ABHÖREN
TCP 127.0.0.1:1182 127.0.0.1:1183 HERGESTELLT
TCP 127.0.0.1:1183 127.0.0.1:1182 HERGESTELLT
TCP 127.0.0.1:1184 127.0.0.1:1185 HERGESTELLT
TCP 127.0.0.1:1185 127.0.0.1:1184 HERGESTELLT
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:500 *:*
UDP 0.0.0.0:1007 *:*
UDP 0.0.0.0:1008 *:*
UDP 0.0.0.0:1009 *:*
UDP 0.0.0.0:1028 *:*
UDP 0.0.0.0:4500 *:*
UDP 8*.1**.121.203:123 *:*
UDP 8*.1**.121.203:137 *:*
UDP 8*.1**.121.203:138 *:*
UDP 8*.1**.121.203:1900 *:*
UDP 8*.1**.121.203:5070 *:*
UDP 8*.1**.121.203:30000 *:*
UDP 8*.1**.121.203:30002 *:*
UDP 127.0.0.1:123 *:*
UDP 127.0.0.1:1067 *:*
UDP 127.0.0.1:1900 *:*




Nicht wudnern wegen den * in den IP Adressen... hab meine kaschiert...
 
dar es ja nich um udp geht lass ich die mal weg.

Proto Lokale Adresse Remoteadresse Status
TCP 0.0.0.0:135 0.0.0.0:0 ABHÖREN //microsoft ehm rpc oder so
TCP 0.0.0.0:445 0.0.0.0:0 ABHÖREN //microsoft-ds
TCP 8*.1**.121.203:139 0.0.0.0:0 ABHÖREN //netbios
TCP 8*.1**.121.203:1044 216.252.106.49:80 SCHLIESSEN_WARTEN //nehm mal an firefox
TCP 8*.1**.121.203:1045 216.252.106.49:80 SCHLIESSEN_WARTEN //firefox
TCP 8*.1**.121.203:1052 213.165.65.50:5222 HERGESTELLT //jabber?
TCP 8*.1**.121.203:1095 205.188.8.224:5238 HERGESTELLT //
TCP 8*.1**.121.203:1108 72.14.221.118:80 SCHLIESSEN_WARTEN //firefox
TCP 8*.1**.121.203:1135 64.12.165.90:5238 HERGESTELLT //
TCP 8*.1**.121.203:1188 63.245.209.121:80 WARTEND // firefox
TCP 8*.1**.121.203:1189 84.53.182.8:80 HERGESTELLT //firefox

bei 5238 weis ichs nich. aber da du ja auf 5238 connectest ist das wahrscheinlich nich so wichtig.

telnetserver wäre
8*.1**.121.203:23 *:* ABHÖREN
obwohl das nicht zwingend ist , also man kann ihn auch 65535 lauschen lassen.
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben