Virus, Trojaner Problem XP Proffessional

    ACHTUNG dies ist das ALTE Forum!!

    Das neue gibt es unter https://discourse.bohramt.de!

      Virus, Trojaner Problem XP Proffessional

      Der Computer meines Nachbarn zeigt seltsames Verhalten.
      Erstes Problem:
      - es ist Freenet & Smartsurfer installiert, je nachdem welches Einwahlprogramm man als Standartverbindung definiert versucht der Computer ständig alle paar Sekunden eine Verbindung zum Internet aufzubauen, bzw der Anmeldeschirm der genannten Programme erscheint ständig neu oder lassen sich garnicht wegklicken.

      - es sind die Norton System Untillis installiert, darunter Norton Antivirus.
      Hier wird folgende Meldung ausgegeben:
      Virruswarnung
      Norton Antivirus hat einen Virus auf ihren Computer gefunden
      Objektname: C:\Windows\System32\rdriv.sys
      Virenname: Trojan Horse
      Aktion: Der Zugriff auf die Datei wurde verwehrt

      Ich habe zuallererst Antivir Personal installiert und suchen lassen. Das brachte aber nix. Kein Virus, kein Trojaner nur ein paar verdächtige 0190 Dialer Signaturen wurden gemeldet.
      Wie würdet ihr nun weiter verfahren?
      Norton meldet, kann aber nix machen und AVP findet nix. Bin ein wenig ratlos. ?(

      ich würd zunächst mal die windows suche beanspruchen und alle dateien die so heißen wie die von dir genannte löschen(falls möglich).

      Falls nicht mal in den prozessen gucken ob diese vlt da auftaucht, wenn ja -> Beenden.

      Falls sich die dateien danach nicht löschen lassen.

      Irgendwo ne Windows Live cd mit installiertem Norton besorgen. Vorteil die systemdateien auf der Festplatte werden gar nicht beansprucht und der ZUgriff auch net verwehrt werden kann.


      Ich hoffe ich konnte helfen.


      In Game killer-instinct0508 / Razer2

      Alternativ könntest Du den Rechner auch erstmal im abgesicherten Modus starten und von dort aus versuchen, den Trojaner zu entfernen, funktioniert auch des öfteren.(ich mein solang Du keine Boot-CD mit z.b. Norton hast)
      Ansonsten mal alle nicht benötigten Prozesse stoppen und den Antivirus drüberlaufen lassen.

      Der Internet-Explorer zeigt aber noch die ganz normale Startseite,oder?

      Oder du Probierst es mal mit nem programm wie dem hier:
      Tu einfach mal klicken tun

      Dann hab ich mal einfach den dateinamen den "rdriv.sys" gegoogled und bein fündig geworden was die evtl. Herkunft des ungeliebten Nachbarbesucher angeht:

      W32/Sdbot-AYF ist ein Netzwerkwurm mit Backdoortrojaner-Funktionalität für die Windows-Plattform.

      Wenn er erstmals ausgeführt wird, kopiert sich W32/Sdbot-AYF als WinAwk.exe in den Windows-Systemordnder, legt eine Treiberdatei namens rdriv.sys ab und erstellt die folgenden Registrierungseinträge:

      HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
      WinAwk
      "WinAwk.exe"

      HKLMSYSTEMCurrentControlSetEnumRootLEGACY_RDRIV
      [mehrere Einträge]

      HKLMSYSTEMCurrentControlSetServices driv
      [mehrere Einträge]

      HKLMSYSTEMCurrentControlSetControl
      WaitToKillServiceTimeout
      "7000"

      Die von W32/Sdbot-AYF abgelegte Datei rdriv.sys wird von Sophos Anti-Virus als Troj/Rootkit-X erkannt.

      Der Wurm verbreitet sich über Netzwerkfreigaben, die durch einfache Kennwörter geschützt sind, über MS-SQL-Server und über verschiedene Betriebssystemschwachstellen.

      W32/Sdbot-AYF verbindet sich mit einem vordefinierten IRC-Kanal und wartet auf weitere Befehle von remoten Anwendern. Die Backdoorkomponente von W32/Sdbot-AYF kann angewiesen werden, folgende Funktionen zu starten:

      Durchsuchen von Netzwerken nach Schwachstellen
      Herunterladen/Ausführen beliebiger Dateien
      Starten eines FTP-Servers.

      Weitere Infos hier


      MFG


      In Game killer-instinct0508 / Razer2

      Jo danke, danke.
      Mein Nachbar stand eben schon wieder auf der Matte, ich würd ja gerne helfen, er hilft mir ja auch gerade bei dabei die Ausfahrt zu plastern und neuen Zaun setzten, nur mit diesen ganzen Zusatzprogrammen Ad-Aware, Spybot oder tune up kenn ich mich nicht aus.

      Ich hab ihn mal gefragt ob er AOL drauf hatte.
      Betretendes Schweigen, dann "Jo meine Frau hat paar Gratiststunden bei AOL getestet. Später kam ne saftige Rechnung, nie wieder AOL."

      Es hat also irgendwie mit dem AOL Programm zu tun, das sich in das System gefressen hat.
      AIM.exe als unaufhöhrlich startender Prozess, aber ohne Eintrag im Autostart. Laut Systemkonfigurationsprogramm wird beim hochfahren auch nix von AOL geladen. Die AOL Software is auch damals wieder deinstalliert worden.
      Ich fürchte das wird heute ein langer Abend.

      So nun hab ich endlich Zeit , der Patient hängt am Netzt.
      Ich bin Plugstar Rat gefolgt und habe mit hijackthis gescannt. Einige böse Sachen wurden gefunden. 8o 8o 8o

      :\WINDOWS\lsass.exe - Böse
      C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe - Unbekannt
      C:\Programme\Gigabyte\Gigabyte Windows Utility Manager\gwum.exe - Unbekannt
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm - Böse
      O4 - HKLM\..\Run: [LXBRKsk] C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe - Unbekannt
      O4 - HKLM\..\Run: [Lexmark 3100 Series] "C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe" - Unbekannt
      O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - install.global-netcom.de/ieloader.cab - Böse
      O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - install.serviceurl.de/StarInstall.ocx - Böse
      O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - install.premiumzone.de/InstallationsAssistent.ocx - Böse

      Bei der AIM.exe sagt er
      :\WINDOWS\aim.exe
      Eventuell Böse! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\aim\! Überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch.

      Panik, was is zu tun?
      Alles fixen mit hijackthis und schaun was passiert?