Problem nachTrojanerfund

Hi
Ich habe vor ca einer Woche einen Virenscan gemacht (mit AntiVir), der hat auch gleich 9 (!!!) Trojaner gefunden.
Die wurden alle gelöscht, zumindest sagt das mein Virenscaner, denn wenn ich ihn jetzt nochmal drüberlaufen lasse zeigt er nichts mehr an.
ABER:
Nach jedem Neustart, wenn ich mich in Win2k anmelde, meldet der AV Guard zwei Trojaner. Ich habe nicht geschaut, ob es immer die gleichen sind, darauf werde ich das nächste mal achten. Ich klicke immer auf "Datei löschen", doch nach wirklich jedem Neustart meldet er wieder 2 Stück.
Außerdem kommt nach jedem Neustart noch folgende Meldung:
"16-Bit-MS-Dos-Teilsystem

C:\WINNT\System32\z14.exe
Die NTVDM-CPU hat einen ungültigen Befehl entdeckt.
CS:0f1d IP:fff5 OP:ff f8 ff fa ff Klicken sie auf 'Schließen', um die Anwendung zu beenden"


Keine Ahnung was das beudeutet oder was diese Datei macht.

Irgendwelche Vorschläge?


Captain_Ross

 

Hallo,
hört sich übel an, erstelle mal ein HijackThis logfile wie hier beschrieben und poste den Link.
Überprüfe außerdem mal die C:\WINNT\System32\z14.exe (falls aktiv vorher beenden) hier und poste das Ergebnis.
Wo werden die beiden Trojaner nach dem Neustart gefunden (genauer Pfad)?


Grüße Jasager

 

Hier der HijackThis-Log.

Ich habe die C:\WINNT\System32\z14.exe mit dem Programm aus dem Link überprüft, keine Fehler gefunden.

Die Trojaner werden hier gefunden:

C:\DOKUME~1\Benutzername\LOKALE~1\TEMP\HER.PT

C:\DOKUMENTE UND EINSTELLUNGEN\Benutzername\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\YN8W49A5\GDNOT2201[1].EXE

 

Hallo,
kein Wunder, von Updates hat dein System bisher nur von hören-sagen etwas mitbekommen, da fehlen ganze vier Service Packs .
Beende mal diesen Prozess:
C:\WINNT\System32\cmd32.exe
überprüfe wieder wie oben beschrieben und poste das Ergebnis.


Grüße Jasager

 

Troj/Dloader-JW ist ein Downloader-Trojaner..

http://www.sophos.de/virusinfo/analyses/trojdloaderjw.html

O4 - HKLM\..\Run: [ControlPanel] C:\WINNT\System32\cmd32.exe internat.dll,LoadKeyboardProfile

C:\WINNT\System32\cmd32.exe

 

Ich tat wie mir geheißen: klick

 

Neuaufsetzen von Windows.
4 Servicepacks müssen da aber nicht installiert werden, sondern nur das SP4. Dann noch das Update Rollup 1 mit Patches bis zum 30.04.2005. Erst danach wieder online gehen, um als erstes die restlichen Patches per Windows-Update zu installieren.

Wundert mich, dass der PC nicht von alleine runterfährt.
Sitzt wohl hinter einem Router.

 

Muss das wirklich sein? Windows neu installieren?
Geht das nicht irgendwie anders?

 

Hallo,
also das sauberste und sicherste wäre es auf jeden Fall, gerade weil man nicht weiß was das hier:

so war.
Wenn du das partout nicht willst kann man versuchen das System zu bereinigen aber Onlinebanking oder ähnlich sensibles würde ich damit nicht mehr machen.
Es wäre auch ein schöner Grund mal dein gesammtes Sicherheitskonzept zu überdenken und von Grund auf zu ändern.
Also falls du dich doch dafür entscheiden solltest das man reinigen soll mußt du immernoch diese Anweisung abarbeiten:

Grüße Jasager

 

Meinst du den HiJackThis Log? Den hab ich doch verlinkt.

 

Hallo,
nein ich meinte was die Überprüfung der Datei bei dem Onlinevirenscanner ergeben hat, überprüfe sie aber mal hier, der andere scheint gerade etwas überlastet und poste das Ergebnis, das in etwa so aussehen sollte:

 

Antivirus Version Update Result
AntiVir 6.33.0.61 12.07.2005 TR/Dldr.Delf.aco
Avast 4.6.695.0 12.07.2005 no virus found
AVG 718 12.05.2005 no virus found
Avira 6.33.0.61 12.07.2005 TR/Dldr.Delf.aco
BitDefender 7.2 12.07.2005 BehavesLike:Trojan.Downloader
CAT-QuickHeal 8.00 12.07.2005 TrojanDownloader.Delf.aco
ClamAV devel-20051108 12.07.2005 no virus found
DrWeb 4.33 12.07.2005 Trojan.DownLoader.5757
eTrust-Iris 7.1.194.0 12.07.2005 no virus found
eTrust-Vet 11.9.1.0 12.07.2005 no virus found
Fortinet 2.54.0.0 12.07.2005 Bizves!tr
F-Prot 3.16c 12.07.2005 no virus found
Ikarus 0.2.59.0 12.07.2005 no virus found
Kaspersky 4.0.2.24 12.07.2005 Trojan-Downloader.Win32.Delf.aco
McAfee 4644 12.06.2005 no virus found
NOD32v2 1.1314 12.06.2005 no virus found
Norman 5.70.10 12.07.2005 W32/DLoader.NIM
Panda 8.02.00 12.07.2005 Adware/CWS.Yexe
Sophos 4.00.0 12.07.2005 Troj/Bizves-Gen
Symantec 8.0 12.07.2005 no virus found
TheHacker 5.9.1.050 12.06.2005 Trojan/Downloader.Delf.aco
VBA32 3.10.5 12.07.2005 Trojan-Downloader.Win32.Delf.aco

 

Hallo,
wie sieht denn jetzt deine Entscheidung aus? Tabula Rasa oder zurechtfrickeln?


Grüße Jasager

 

Ok, ich werde heute abend formatieren und Windows neu aufsetzen ... überredet

 

Hallo,
glaube mir, das ist auf jeden Fall die vernünftigste Entscheidung, lies dir diese Anleitung sorgfältig durch und setzte sie Punkt für Punkt um, dann sollte soetwas zukünftig nicht mehr vorkommen.
Lege besonders Wert auf die Systemaktualität, also jeden Monat Microsoft besuchen und die neusten Patches einspielen.


Grüße Jasager

 

Ich würde mit Linux einen überbraten und nicht mehr Windows benutzen

 

Hallo,
das will aber auch wohl überlegt sein, denn man will sich ,wenn Plus die nächste TV Karte im Angebot hat, dafür auch nicht zwingend den Treiber selbst zusammenschreiben müsssen. Außerdem ist man mit einem gut konfigurtierten und gepflegten Windows genau so sicher wie mit linux.



Grüße Jasager

 

@linuxboy

Hör bitte auf rumzuspamen.
Ich hätte das per PN geschrieben, aber die ist deaktiviert.
Warum wohl ?