Trojaner + Viren = Sys spackt ab

hallo @all !

ich hab da so nen kleines prob mit meinem pc und ein paar viren und trojanern...

mir ist aufgefallen, dass mein anti-vir-prog (avira antivir personal) sich nicht mehr updaten kann. macht es sonst selbstständig. will es dann manuell machen, funkt aber auch nicht.

als nächstes, meine firewall (windows xp home) öfters für ca. ne sekunde angeblich nicht aktiv ist und dann wieder doch, also ich muss sie nicht wieder aktivieren.

also, meine inet-verbindung ist immer gut, daran kann es nicht liegen.

als das ganze anfing, habe ich pc gescannt und dann folgendes gefunden:
C:\WINDOWS\system32\giljabiunis.exe
[FUND] Ist das Trojanische Pferd TR/Agent.32768.224

habe das miststück entfernt und dann war auch erstmal alles wieder ok.
jetzt wieder probs. das mit der firewall ist neu (ist meinerseits immer aktiv) und seit heute kann ich wieder anti-vir-prog nicht updaten.
hab auch erstmal wieder gescannt und hab da noch son paar dinger gefunden:
C:\Dokumente und Einstellungen\...\Neuer Ordner.rar
[0] Archivtyp: RAR
--> Neuer Ordner\FILE2319.CHK
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/180Solution.Q
--> Neuer Ordner\FILE2960.CHK
[1] Archivtyp: CAB (Microsoft)
--> msvbvm60.dll
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
--> Neuer Ordner\FILE6693.CHK
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
(wurde bisher noch nie beanstandet)

desweiteren hätte ich gerne nen paar infos (nutzen & wirkung) zu folgenden objekten:
---
lovelettersource.txt
[FUND] Enthält Erkennungsmuster des VBS-Scriptvirus VBS/Loveletter.D
---
ryltst14.zip
--> trium.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
---
be2cur.zip
--> SETUP.EXE
[FUND] Enthält Erkennungsmuster des Droppers DR/Spy.BewLoader
---
Evidence Eliminator v 5.0 + KeyGen + Upgrade.exe
[0] Archivtyp: RAR SFX (self extracting)
--> Evidence Eliminator5054 KeyGen.exe
[FUND] Ist das Trojanische Pferd TR/Peed.Gen.3
---
ServeU Setup.exe
[0] Archivtyp: ZIP SFX (self extracting)
--> CHECKUPDATE.DLL
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Serv-U.6105.A
--> SERVUDAEMON.EXE
[FUND] Enthält Erkennungsmuster des SPR/Serv-U.Gen-Programmes
--> SERVUTRAY.EXE
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Serv-U.5201.BH
--> SERVUPERFCOUNT.DLL
[FUND] Enthält Erkennungsmuster des SPR/Server-Programmes
--> CNVRTINI.DLL
[FUND] Enthält Erkennungsmuster des SPR/Structure-Programmes
--> SERVUADMIN.EXE
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Serv-U.6105
---
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!

ich bin allen dankbar, die mir antworten, auch für weitere tipps !

lg
dr.hallimasch

PS::: hab nicht viel ahnung von dem ganzen, deswegen wollt ich nochmal erwähnen, dass ich die menschen hier, die hacken und co verstehen und nicht missbrauchen/sich ihrer verantwortung bewusst sind, sehr bewundere. ich denke, dass es nicht jeder lernen kann, auch wenn er will, und das sehr viel arbeit dahinter steckt. und das thema ist mega interessant. ich bin jedenfalls froh, dass es euch gibt und ihr helfen könnt. DANKE!:victory:

Möglicherweise hast du dir ein Rootkit eingefangen. Tools zur Entdeckung/Entfernung:
Sophos Anti-Rootkit
Avira Anti-Rootkit
und eventuell auch McAfee STINGER

Es gibt auch eine (Linux-)Boot-CD mit Virenscannern, die dein System auf Befall testen kann: Knoppicillin. Die CD bootet ein Linux (Knoppix), von dort kannst du verschiedene Virenscanner starten, die sich automatisch updaten und deine Windows-Installation scannen können.
Download unter ftp://ftp.heise.de/pub/ct/projekte/knoppicillin/ , k6d_6.0.2.iso herunterladen und auf einem sauberen Rechner als bootfähige CD brennen.

Wenn du ganz sicher gehen willst, installier' dein Windows neu.

Antivir kann sich bei mir auch schon eine Woche nicht updaten, immer nur ganz langsam so ca. 2 KB/s, das breche ich dann immer ab. Scheint so, als wären die Server überlastet.

Egal88 schrieb:

Möglicherweise hast du dir ein Rootkit eingefangen. Tools zur Entdeckung/Entfernung:
Sophos Anti-Rootkit
Avira Anti-Rootkit
und eventuell auch McAfee STINGER

Es gibt auch eine (Linux-)Boot-CD mit Virenscannern, die dein System auf Befall testen kann: Knoppicillin. Die CD bootet ein Linux (Knoppix), von dort kannst du verschiedene Virenscanner starten, die sich automatisch updaten und deine Windows-Installation scannen können.
Download unter ftp://ftp.heise.de/pub/ct/projekte/knoppicillin/ , k6d_6.0.2.iso herunterladen und auf einem sauberen Rechner als bootfähige CD brennen.

Wenn du ganz sicher gehen willst, installier' dein Windows neu.

Zum Vergrößern anklicken....

ja, von sowas hab ich mal gehört @rootkit. ein freund hat mir mal davon erzählt. hab letztens sein inet lahm gelegt, für genau 2 tage. in der zeit hat meine firewall auch keine anstalten gemacht. hab das inet nach den 2 tagen wieder freigegeben und jetzt is es wie vorher (erst heute wieder)... angeblich keine firewall aktiv. jedenfalls meinte er, man könne linux auf ein windows-sys einschleusen und den pc steuern ohne aufzufallen... was mir da noch einfällt, dass meine inet-conecction keine störungen in diesen 2 tagen hatte...

nja, ich werd es mal alles durchlaufen lassen... Danke Egal88 !!!

Man man, jetzt geht aber eine ganze Menge durcheinander.

Dr.Hallimasch schrieb:

jedenfalls meinte er, man könne linux auf ein windows-sys einschleusen

Zum Vergrößern anklicken....

Nein, so ohne Weiteres geht das nicht. Man kann zwei Betriebssysteme auf einer Festplatte haben und die wahlweise alternativ booten, man kann auch ein Windows auf einem virtuellen PC unter Linux laufen lassen, aber das alles erfordert viel Installations- und Konfigurationsarbeit. Sowas kann KEIN Virus.

Dr.Hallimasch schrieb:

und den pc steuern ohne aufzufallen

Zum Vergrößern anklicken....

Das geht schon eher. Viele Trojaner versenden selbständig Spam, oder schicken Tastatureingaben an den Server der Angreifer, somit sind sämtliche Passwörter den bösen Jungs bekannt.

Ich würde die Knoppicillin-CD auf einem sauberen (!) System brennen und damit den PC scannen lassen. Wenn mehr als ein Virus/Trojaner gefunden wird, oder der sich nicht entfernen lässt, würde ich das System neu aufsetzen.

HUCKJ schrieb:

Antivir kann sich bei mir auch schon eine Woche nicht updaten, immer nur ganz langsam so ca. 2 KB/s, das breche ich dann immer ab. Scheint so, als wären die Server überlastet.

Zum Vergrößern anklicken....

Das ist der Grund, warum ich nicht AntiVir/Avira einsetze, sondern AVG. Die haben übrigens gerade die neue, schnellere Version 9 draußen.

anstelle irgendwelche Ratschläge von "freunden" die mal ein Linux gesehen haben zu befolgen und weiterhin tölpelhaft rumzupfuschen hättest du dein System locker 10mal neu aufsetzen können.

http://de.wikipedia.org/wiki/Technische_Kompromittierung

Aber du kannst gerne deinem virenverseuchtem Virenscanner glauben das alles in Ordnung ist

sebhoff schrieb:

anstelle irgendwelche Ratschläge von "freunden" die mal ein Linux gesehen haben zu befolgen und weiterhin tölpelhaft rumzupfuschen hättest du dein System locker 10mal neu aufsetzen können.

http://de.wikipedia.org/wiki/Technische_Kompromittierung

Aber du kannst gerne deinem virenverseuchtem Virenscanner glauben das alles in Ordnung ist

Zum Vergrößern anklicken....

ja, danke für die kritik! ich befolge keine ratschläge von jemanden, der linux nur mal gesehen hat. dafür bin ich zu skeptisch... ich schnappe nur gewisse infos auf, aber muss ich ja nicht glauben.

mir ist klar, dass ich das sys schon längst hätte erneuern können, aber da f***t mich doch glatt meine neugier.
ich will vorher wissen
1. was hier wirklich passiert
2. wie das passiert
3. wer es passieren lässt

ich kann das sys neu machen, aber wenn es jemand auf mich abgesehen hat, will ich mich schützen können... sonst is es in ner woche wie jetzt.
dazu fällt mir nur ein: kenne deinen feind wie dein eigenen freund. sogar besser.

also wie kann ich die fragen (1-3) beantworten? und wie is es denn eigentlich mit der standart xp-firewall? die is doch nicht wirklich sicher, oder? worauf sollte man sonst noch achten, wenn der pc sicher sein soll? und dann würde ich gerne wissen, wie man vnc einsetzen kann (bei missbrauch)? hab schon was darüber gelesen, aber dadurch ist mir nichts klar geworden...
vielleicht bin ich ja auch nur paranoid, aber die firewall ist angeblich noch immer, hin & wieder, nicht aktiv.

ach ja, weitere viren/trojaner hab ich nicht gefunden auch keine spy/malware, aber da es sowieso alles vierenverseucht is, kann ich es mir auch schenken...
die meisten trojaner waren wohl bestimmte progs, also meine ... ähm *hust
ich verweigere die aussage : D

hab hier noch was gefunden und wollt mal wissen, was ihr davon haltet:

Getting Admin rights

I have recently found a really easy way to get Admin rights on an NT
box....
so easy I'm surprised it wasn't discovered earlier.

Here we go:

A plain old user has write access to the winnt\system32 directory.
He renames logon.scr to logon.old.
He then renames usrmgr.exe (or musrmgr.exe on Workstations) to logon.scr.
He then shuts down the computer using the "close all programs and log on as

different user" option.
He then waits.....
The system will start logon.scr if left long enough.

User Manager will load......
The user then selects his domain. (You have to type the domain name in)
He then adds himself to the Administrators group.
He then exits and logs back on.

Some of you may be thinking that as soon as you move the mouse the "screen
saver" should disappear but because you can only get rid of logon.scr with
a ctrl+alt+del you can then use the mouse 'til your heart's content.

To solve this :

Ensure that a plain old user only has "read" rights to the winnt\system32
directory.

Also make sure that the registry has the correct permissions assigned so
the user can specify a different location etc for logon.scr.

Zum Vergrößern anklicken....

Dr.Hallimasch schrieb:

die meisten trojaner waren wohl bestimmte progs, also meine ... ähm *hust
ich verweigere die aussage : D

Zum Vergrößern anklicken....

wer mit Feuer spielt sollte sich nicht wundern wenn er sich die Finger verbrennt.

um "halbwegs" sicher zu sein und um weiterhin mit deinen Spielsachen spielen zu können würd ich auf Linux umsatteln mit Windows in ner VM.

Und brain.exe kann auch nie schaden.