TR/PSW.lineage.ach

Hi,

kennt jemand diesen Trojaner und kann mir sagen wo ich mehr Infos darüber bekomme?

Der Trojaner wurde durch AntiVir gefunden. Betriebssystem ist Windows 2000 mit SP 4.

Die Infektion trat nach einer Neuinstallation des Systems auf. Vor dem Internetanschluß wurde Win2000 inkl. SP, ZoneAlarm und AntiVir installiert. Wie konnte es zu dieser Infektion kommen?

Danke für Eure Hilfe


Maglor

 

Hallo,
klingt für mich nach einem Fehlalarm, poste mal die genaue Meldung (mit Pfad und Dateiname).


Grüße Jasager

 

PSW ist "password steal ware", d.h. ein Programmcode, der Passwörter auslesen kann.

 

Kann ich leider erst nächste Woche machen, da das Problem bei einem Kollegen aufgetreten ist.
Er bringt mir die Meldung am Montag mit, dann bekommst Du sie.


Ein schönes Wochenende

Maglor

 

Du kannst ihn aber mal anrufen, dass seine Passwörter eventuell ausspioniert und weitergeleitet worden sind (falls du ihm das Wochenende versauen willst).

 

Meldung von AntiVir:
Dateiname: C:\WINNT\sytem32\xtbdguba.exe
Virendefinitionsdatei: 6.36.00.21
Meldung: TR/PSW.lineage.ach

Die Datei wurde von AntiVir in Quarantäne verschoben!

 

War anscheinend aktiv oder ist es noch.
xtbdguba.exe ist eine willkürlich erzeugte Datei.
Guck mal im Taskmanager und mit der Windows Suche, ob es noch folgende Dateien gibt:
-svhost32.exe
-msdll.dll
-ztdll.dll
Quelle

Die Datei, die in Quarantäne verschoben wurde, könnte nur ein Teil sein.

Am besten auch mal ein Hijackthis-Log machen und den Link zur abgespeicherten Auswertung posten.

Es könnte auch zu spät sein, und die ausgespähten Daten sind bereits beim Autor.

 

Akuell ist 6.36.00.37. Das AntiVir deines Kollegen wird wohl nicht oft aktualisiert...

 

Ein Check ist nicht mehr möglich, da mein Kollege seinen PC gestern Abend geplättet und neu installiert hat.

:nixwissen



Nach der Neuinstallation trat aber nun folgendes auf:

- Win2000 inkl. SP 4 + ZoneAlarm + AntiVir wurden installiert!
- Beim suchen bzw. download der Updates auf Microsoft-Update-Site kam mehrfach folgendes Fenster:

"Nachrichtendienst:
Nachricht von FROM an TO am 19.09.2006 22:30:22

STOP WINDOWS REQUIRES IMMEDIATE ATTENTION

Windows has found 55 critical system errors.

To fix the errors do the following:
1. Download registry update from: www.helpfixpc.com
2. Install registry update
3. Run registry update
4. Reboot your computer.

FAILURE TO ACT NOW MAY LEAD TO SYSTEM FAILURE

OK"​

Könnt ihr etwas mit dieser Meldung anfangen bzw. was hat er sich kurz nach der Neuinstallation wieder eingefangen.
Ist es möglich, dass trotz Festplatten-Formatierung irgendetwas von vorher hängen geblieben ist?


Danke für Eure Hilfe

Maglor

 

Ist der Nachrichtendienst mit dem SP4 nicht deaktiviert worden?

Die Meldung kommt vom Nachrichtendienst. Das dürfte eigentlich nicht allzu gravierend sein. Um das zu unterbinden, diesen Dienst auf Deaktiviert stellen. Ein W2K mit SP4 ist nicht auf dem aktuellsten Stand. Lade Dir ein Update Pack runter und installiere alle Patches nach SP4. Dies sollte eigentlich vor einem ersten Online-Gang gemacht werden.

 

Verhindert ZA nicht den Zugriff auf den Nachrichtendienst

 

Nein.

Ja.

Nix.

Möglich ja, aber in diesem Fall wohl nicht geschehen.

 

Danke für Eure Hilfe. Eine weitere Klärung ist nicht mehr erforderlich, da ich mich beruflich verändert habe und nun auch keinen Kontakt mehr zu o.g. Kollegen habe.

P.S.: Sorry für die späte Reaktion auf Eure Kommentare, aber ich bin privat und beruflich umgezogen. Privat habe ich mich dann 1 1/2 Monate mit der Telekom rumgeschlagen bis ich endlich meinen DSL-Anschluss hatte (Tipp: Wenn die Telekom Euch einen DSL-Anschluss andrehen möchte, ihr diesen aber bereits woanders in Auftrag gegeben habt: DURCHHALTEN, dann wird alles gut!!!)