# Trojaner?



## Anonymous (4 Februar 2005)

Hallo!
Immer wenn ich über mein Modem das erste Mal ins Internet gehe öffnet sich mein IE 6.0 und ruft die Seite http://.......uk und manchmal gleich danach http://......at auf !! Was soll ich machen?

Habe schon mit Virenscanner kompletten PC gescannt, mit Adaware die Spyware rausgelöscht und jetzt HiJackThis drüberlaufen lassen:


Seht ihr da irgendetwas? Ach ja, während ich das hier schreibe hat er sich schon zwei Mal neu eingewählt. Das permanente Einwählen macht er aber nur, nachdem ich die erste Internetverbindung hergestellt habe.

Wäre toll, wenn ihr mir helfen könntet 

Danke,
Markus

_es wäre toll , wenn du dich anmelden würdest , 
keine keine potentiell gefährlichen URLs posten würdest 
die NUB beachten würdest und  die Logdatei als Attachment
 posten würdest, das haben  wir jetzt für dich gemacht 
modaction _


----------



## Kalle59 (4 Februar 2005)

Hm .. figgaz.exe scheint mir aber nicht ganz koscher zu sein.
Der Weg zur Glückseligkeit liegt im abgesicherten Modus F8!!


----------



## wolfgang30 (4 Februar 2005)

Hallo Markus !

Nicht nur die figgaz.exe ist komisch, da stimme ich dir voll zu.

Noch "komischer" ist die sghost.exe.  Ich habe den schweren Verdacht daß es sich um einen upx-gepackten Backdoor.RBot handelt. 

Sollte sich dies bewahrheiten, wäre dein PC sehr stark Kompromittiert mit der Perspektive es neu aufzusetzen. Will  dich da im Moment nicht erschrecken, sondern nur vorwarnen aufgrund des HJT-Logs.

Mit welchem AV-Scanner hast du gescannt ? Egal, welcher es nun war (Norton, AntiVir ?), mache hier einen 2. , evlt. 3. Gegencheck mit einem kostenlosen Online-Scanner:

http://malware.bul-online.de/av_onlinescan.php 

Nimm z.b. Bitdefender, F-Secure, Panda oder TrendMicro. Diese sind alle in der Spitzengruppe.

Du kannst auch eine schnelle Prüfung folgender Einträge
- sghost.exe
- figgaz.exe

   mit http://virusscan.jotti.org/  machen . Hier prüfen gleichzeitig
   10 AV-Scanner (max. 10 MB/Scan).

Besser ist aber ein kompletter Scan der ganzen Festplatte.

Dann nochmals posten, was diese melden. Hoffentlich nicht Backdoor.RBot ! Du hast mindestens 3 stark verdächtige Einträge.  Aber dazu muß ein guter AV-Scanner noch seine Meinung  sagen.


----------



## Anonymous (4 Februar 2005)

*Gast von oben*

Puhh....Hab mich jetzt angemeldet.
Danke, dass ihr euch meine Logdaten so schnell angesehen habt. Der Rechner war schon längere Zeit sehr langsam. Mal sehen, was dieser ´jotti-Scanner´ ans Tageslicht bringt. Ich werde morgen damit gleich mal den Rechner scannen. Dann sehe ich ja, ob ich das Ganze neu aufsetzen muss.
Beim Neuaufsetzten muss ich alle Daten am Rechner vergessen oder kann ich mir vorher noch meine persönlichen Sachen absichern?
Hmmm....eigentlich eine blöde Frage. Wahrscheinlich muss ich alles löschen, weil man ja nie weiss, wo der Wurm sitzt.

mlg,
Markus


@ mods: Tut leid, dass ich da einfach so reingeplatzt bin. Habe da ja kein Fettnäpfchen ausgelassen...


----------



## Devilfrank (5 Februar 2005)

Tja Markus, Du hast Dir hier ein paar unangenehme Gesellen eingetreten, die zum Teil noch nicht endgültig analysiert sind.

Also lad Dir mal dieses Antiviren-Set runter und lass das mal drüberrauschen: http://www.mwti.net/antivirus/free_utilities.asp
Die erkannten Schädlinge löschen, soweit das geht bzw. notieren, wo sie stecken.

Anschließend die Systemwiederherstellung von XP ausschalten und den Rechner im abgesicherten Modus starten. Dann die vom Scanner identifizierten Dateien löschen.

Folgende Einträge im HJT sind im abgesicherten Modus per HJT zu fixen:
C:\WINDOWS\System32\sghost.exe
C:\figgaz.exe

O4 - HKLM\..\Run: [Microsoft Update] sghost.exe
O4 - HKLM\..\Run: [Windows Service Pack Auto Update] C:\figgaz.exe
O4 - HKLM\..\Run: [AdStatus Service] C:\Program Files\AdStatus Service\AdStatServ.exe
O4 - HKLM\..\RunServices: [Microsoft Update] sghost.exe
O4 - HKCU\..\Run: [Microsoft Update] sghost.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe

Die nachfolgenden Einträge nur fixen, wenn Du keinen Smartcard-Reader installiert/ aktiviert hast. Es ist jedoch möglich, dass es sich hier um den W32.Femot.Worm handelt. Dafür spricht, dass bei Dir der Windows-Nachrichtendienst aktiviert ist, obwohl dieser durch das SP2 in der Standardeinstellung deaktiviert wird. Das wird sich jedoch durch den Scan mit dem oben verlinkten Scanner rausstellen.

O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe

Immer noch im abgesicherten Modus sind alle Dateien im TEMP-Verzeichnis und im Verzeichnis "TemporaryInternetFiles" zu löschen.

Anschließend Rechner neu starten und die Systemwiederherstellung wieder einschalten.

Nochmal den Virenscan durchrauschen lassen und dann schauen wir mal.

Wenn dann alles clean ist: unbedingt Windows updaten, Dein IE ist nicht auf dem aktuellen Stand.

Anschließend den IE sichern: http://computerbetrug.de/sichern/ie_einl.php?p=0|58|59|

LiveUpdate von Norton durchführen.

Viel Erfolg.


----------

