Einige Trojaner gefunden, aber waren nicht aktiv,

#0
26.12.2002, 13:27
0815
zu Gast
#1 oder vielleicht doch? Dabei waren:

- Tr.noclose.1
- irgendetwas wie exitfuel
- hotkeyshook (h@tkeysh@@k ??)
Außerdem folgende Viren:

W32/hantaner
Worm/klez.e
Worm/surnova.e

Wie stelle ich fest, ob die Trojaner irgendwie aktiv waren?

Die Viren habe ich bzw. hat Antivir in von Kaaza runtergeladenen Dateien gefunden. Diese Dateien habe ich daraufhin nicht angerührt. Somit können
diese keinen Schaden anrichten, oder?

Ich kenne mich mit diesem Viren- und Trojanerzeugs nicht sonderlich aus, bin aber ständig am scannen und habe ewig nix gefunden, nur zu Weihnachten hat sich jetzt was getan.

Mein ME läuft schon seit 1,5 Jahren ohne Neuinstallation und sonstige Probleme, naja, ohne nennenswerte sonstige Probleme. Speziell die Geschichte mit den Tro´s macht mir ein wenig Angst.

Meine Firewall scheint zu funktionieren (ZA)

Seit einiger Zeit kommt es öfter vor, das sich scheinbar völlig unmotiviert ein IE-Fenster in der Taskleiste öffnet. Dieses kann ich nicht maximieren, schließen klappt auch nicht immer. Netstat meldet mir zu dieser Zeit keine ungewöhnlichen offenen Ports. Ich nutze IE eigentlich gar nicht, deinstallieren ist mir leider nicht gelungen. Deshalb habe ich einfach per ZA dem IE den Zugriff aufs Netz pauschal verboten. Ich vermute, das dieses sich öffnende
IE-Fenster mit einem der Tro´s zu tun haben könnte, wie seht Ihr das?

(trotzallem) fröhliche 0815-Grüße
Seitenanfang Seitenende
26.12.2002, 20:41
Moderator
Avatar joschi

Beiträge: 6466
#2 Surnova : http://www.viruslist.com/eng/viruslist.html?id=51080
Klez.e : http://www.viruslist.com/eng/viruslist.html?id=4292

Lese Dir durch, was die Würmer für Symptme hervorrufen, und vgl. dein System damit. Läßt sich nicht so leicht sagen, ob diese "Tierchen" aktiv waren.

TR/noclose : http://www.uwm.edu/IMT/purchase/itpsfaqs/jsnoclose.html
Das klärt gleichzeitig auch das Stichwort "exitfuel" auf !

Hotkeyshook: ist ein Keylogger.....Den und das andere Zeugs soltest Du Dir gründlichst vom Hals schaffen ;)
Ein Programm, das Hotkeyshook und andere Spyware erkennt http://www.bulletproofsoft.com/spyware-remover.html, (shareware und ersetzt keinen Virenscanner !) möglicherweise aber auch Freewareprogramme wie Spybot oder Ad-Aware.

Den IE vom Netz zu trennen ist auf jeden Fall kein Fehler !

Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen
Dieser Beitrag wurde am 26.12.2002 um 20:41 Uhr von joschi editiert.
Seitenanfang Seitenende
26.12.2002, 21:27
0815
zu Gast

Themenstarter
#3 Um die Viren mach ich mir überhaupt keine Sorgen: Ich habe sie bei Kaaza runtergeladen und das erste, was ich mit solchen dateien mache, is scannen mit einem aktuellen Virenscanner, und ohne geöffnet zu werden, können sie mir nix, oder sehe ich das falsch?

Das einzige, was mir Sorgen bereitet, is der Keylogger. Ich kann leider nich zuverlässig feststellen, ob er den ZA unterlaufen hat.

Möglich, das ZA gefragt hat, ob der Keylogger ins Netz darf, aber diese Fragen lese ich gar nicht erst, antworte pauschal mit no. Wenn das mal irgendwann falsch war, merk ichs ja und kann dann immer noch lesen .....

Schönen Dank für die Links

Wie is das mit dem IE? Kann man den komplett entfernen, ohne Windows gleich mit zu löschen ?

0815, der wo jetzt etwas beruhigt ist
Seitenanfang Seitenende
26.12.2002, 22:22
Member
Avatar Ajax

Beiträge: 890
#4 @0815
Den IE kannst Du mit dem IE-Radicator entfernen.
DL:
http://www.98lite.net/download/IEradicator2001.zip

Gruß
Ajax
Seitenanfang Seitenende
27.12.2002, 10:05
Moderator
Avatar joschi

Beiträge: 6466
#5 Infos zum Hotkeyhook, Aliases: HOTKEYHOOK, TROJ_HOTKEYS, HOTKEYS, TROJ_HOTKEYS.DLL, HOTKEYS.DLL, Dropper-HOTKEYSHOOK Virus

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ_HOTKEYHOOK&VSect=T

Kannst ja mal die ganzen Aliases bei ner Suchmaschine eingeben, es finden sich sicher noch mehr Infos.... ich bezweifle mal, daß der Trojaner Onlineaktivität entwickeln kann.
josch
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
17.01.2003, 16:42
...neu hier

Beiträge: 5
#6 Klez

Klez macht Unfug, plötzlich war das System auf einen Konfigurationsstand von vor Monaten, er verlangsamte das Sysstem und infizierte Anwendungen, es lief aber noch alles.

er liegt im Windows Stammverzeichnis oder im Systemordner, heisst win*.exe, wobei * drei beliebige Zeichen sind, gern auch in mehrfacher Ausführung. Sie alle sind versteckt und schreibgeschützt. Diese Attribute sind sowieso ein Hinweis Zeichen für ungebetene Gäste. Man entfernt die Registryeinträge im Run* Ordner, beendet mit prozessview die Routine win*.exe, nun kann man sie auch löschen, entfern evl. autostarteinträge und schaut nach einem neustart, ob es was gebracht hat. So tötet man den Würm. Sie Frassstellen lassen sich leicht mit kleinen kostenlosen Toolz aufspüren und entfernen. Dabei kann es passieren, dass eine angefressene Anwendung so stark beschädigt wird, dass eine Neuinstallation nötig wird. Jedenfalls läuft die alte Kiste wieder tadelos, auch ohne Format C:. Hat Spass gemacht.

Allerdings ist es mir schleierhaft, wo der Wurm herkam, denn selber runterladen und an Freunde verschicken geht nicht, wie mit SubSeven oder so. Schon komisch.

Asbertl
Seitenanfang Seitenende
17.01.2003, 17:11
Member
Avatar Evil

Beiträge: 209
#7 http://board.protecus.de/t2542.htm
__________
/* whitehouse.css */
#GeorgeWBush { position:absolute; bottom: -6ft; }
Seitenanfang Seitenende