Trojaner?

[Anonymous]

Hallo!
Immer wenn ich über mein Modem das erste Mal ins Internet gehe öffnet sich mein IE 6.0 und ruft die Seite http://.......uk und manchmal gleich danach http://......at auf !! Was soll ich machen?

Habe schon mit Virenscanner kompletten PC gescannt, mit Adaware die Spyware rausgelöscht und jetzt HiJackThis drüberlaufen lassen:


Seht ihr da irgendetwas? Ach ja, während ich das hier schreibe hat er sich schon zwei Mal neu eingewählt. Das permanente Einwählen macht er aber nur, nachdem ich die erste Internetverbindung hergestellt habe.

Wäre toll, wenn ihr mir helfen könntet

Danke,
Markus

es wäre toll , wenn du dich anmelden würdest ,
keine keine potentiell gefährlichen URLs posten würdest
die NUB beachten würdest und die Logdatei als Attachment
posten würdest, das haben wir jetzt für dich gemacht
modaction

 

[Kalle59]

Hm .. figgaz.exe scheint mir aber nicht ganz koscher zu sein.
Der Weg zur Glückseligkeit liegt im abgesicherten Modus F8!!

 

[wolfgang30]

Hallo Markus !

Nicht nur die figgaz.exe ist komisch, da stimme ich dir voll zu.

Noch "komischer" ist die sghost.exe. Ich habe den schweren Verdacht daß es sich um einen upx-gepackten Backdoor.RBot handelt.

Sollte sich dies bewahrheiten, wäre dein PC sehr stark Kompromittiert mit der Perspektive es neu aufzusetzen. Will dich da im Moment nicht erschrecken, sondern nur vorwarnen aufgrund des HJT-Logs.

Mit welchem AV-Scanner hast du gescannt ? Egal, welcher es nun war (Norton, AntiVir ?), mache hier einen 2. , evlt. 3. Gegencheck mit einem kostenlosen Online-Scanner:

http://malware.bul-online.de/av_onlinescan.php

Nimm z.b. Bitdefender, F-Secure, Panda oder TrendMicro. Diese sind alle in der Spitzengruppe.

Du kannst auch eine schnelle Prüfung folgender Einträge
- sghost.exe
- figgaz.exe

mit http://virusscan.jotti.org/ machen . Hier prüfen gleichzeitig
10 AV-Scanner (max. 10 MB/Scan).

Besser ist aber ein kompletter Scan der ganzen Festplatte.

Dann nochmals posten, was diese melden. Hoffentlich nicht Backdoor.RBot ! Du hast mindestens 3 stark verdächtige Einträge. Aber dazu muß ein guter AV-Scanner noch seine Meinung sagen.

 

[Anonymous]

Gast von oben

Puhh....Hab mich jetzt angemeldet.
Danke, dass ihr euch meine Logdaten so schnell angesehen habt. Der Rechner war schon längere Zeit sehr langsam. Mal sehen, was dieser ´jotti-Scanner´ ans Tageslicht bringt. Ich werde morgen damit gleich mal den Rechner scannen. Dann sehe ich ja, ob ich das Ganze neu aufsetzen muss.
Beim Neuaufsetzten muss ich alle Daten am Rechner vergessen oder kann ich mir vorher noch meine persönlichen Sachen absichern?
Hmmm....eigentlich eine blöde Frage. Wahrscheinlich muss ich alles löschen, weil man ja nie weiss, wo der Wurm sitzt.

mlg,
Markus


@ mods: Tut leid, dass ich da einfach so reingeplatzt bin. Habe da ja kein Fettnäpfchen ausgelassen...

 

[Devilfrank]

Tja Markus, Du hast Dir hier ein paar unangenehme Gesellen eingetreten, die zum Teil noch nicht endgültig analysiert sind.

Also lad Dir mal dieses Antiviren-Set runter und lass das mal drüberrauschen: http://www.mwti.net/antivirus/free_utilities.asp
Die erkannten Schädlinge löschen, soweit das geht bzw. notieren, wo sie stecken.

Anschließend die Systemwiederherstellung von XP ausschalten und den Rechner im abgesicherten Modus starten. Dann die vom Scanner identifizierten Dateien löschen.

Folgende Einträge im HJT sind im abgesicherten Modus per HJT zu fixen:
C:\WINDOWS\System32\sghost.exe
C:\figgaz.exe

O4 - HKLM\..\Run: [Microsoft Update] sghost.exe
O4 - HKLM\..\Run: [Windows Service Pack Auto Update] C:\figgaz.exe
O4 - HKLM\..\Run: [AdStatus Service] C:\Program Files\AdStatus Service\AdStatServ.exe
O4 - HKLM\..\RunServices: [Microsoft Update] sghost.exe
O4 - HKCU\..\Run: [Microsoft Update] sghost.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe

Die nachfolgenden Einträge nur fixen, wenn Du keinen Smartcard-Reader installiert/ aktiviert hast. Es ist jedoch möglich, dass es sich hier um den W32.Femot.Worm handelt. Dafür spricht, dass bei Dir der Windows-Nachrichtendienst aktiviert ist, obwohl dieser durch das SP2 in der Standardeinstellung deaktiviert wird. Das wird sich jedoch durch den Scan mit dem oben verlinkten Scanner rausstellen.

O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe

Immer noch im abgesicherten Modus sind alle Dateien im TEMP-Verzeichnis und im Verzeichnis "TemporaryInternetFiles" zu löschen.

Anschließend Rechner neu starten und die Systemwiederherstellung wieder einschalten.

Nochmal den Virenscan durchrauschen lassen und dann schauen wir mal.

Wenn dann alles clean ist: unbedingt Windows updaten, Dein IE ist nicht auf dem aktuellen Stand.

Anschließend den IE sichern: http://computerbetrug.de/sichern/ie_einl.php?p=0|58|59|

LiveUpdate von Norton durchführen.

Viel Erfolg.