Trojaner?!

Moin!

[Win2000 SP4]

Neulich ist mir mal durch Zufall ein neuer Prozess im
Taskmanager aufgefallen, der da z.B. heisst ZSF601.exe.

„Prozess beenden“ ging nicht (mit pskill von sysinternals
kann ich ihn killen). Nach dem Start im sicheren Modus
habe ich die Datei dann mal umbenannt. Neustart.
Nachdem der Rechner wieder neu gestartet war, gab es
wieder einen Prozess im Taskmanager. Diesmal hiess er
zwar anders (z.B. YK2E.exe), war aber im selben Verzeichnis
ansaessig. Gleiche Groesse, gleiches Icon (ein kleiner Hund).

Irgendjemand kopiert die .exe-Datei immer wieder nach
c:\winnt\temp und startet sie.

Unter „Run“ in der Registry habe ich nichts gefunden. Auch
Adaware, Spybot und Trendmicro hatten keinen Erfolg.

Kennt jemand dieses Phaenomen? Ist es ein Trojaner? Wie
kann ich den Ursprung finden? Also welches kleine
Programm wird beim Hochfahren unsichtbar ausgefuehrt?

Danke und Gruss, Patrick

Naja die Prozesse, die du da aufgezählt hast, sind wahrscheinlich unbrauchbar, da die Namen mit ziemlicher Sicherheit per Zufall erstellt werden.
Bist du dir denn sicher, dass in Run und RunOnce nichts merkwürdiges drin war? Auch in der Win.ini und in Autostart nachgeschaut.

Wie ich schon in meinem vorherigen Post geschrieben habe, ist es nützlich msconfig anzuschauen. (START -> Ausführen -> msconfig) Dort unter Systemstart nachschauen, was denn alles gestartet wird.

Hast du denn mal eine AntiViren Software wie Norton Anti Virus oder BitDefender etc. drüberlaufen lassen?

Grüße…

Peter

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Naja die Prozesse, die du da aufgezählt hast, sind
wahrscheinlich unbrauchbar, da die Namen mit ziemlicher
Sicherheit per Zufall erstellt werden.

Offensichtlich, ja.

Bist du dir denn sicher, dass in Run und RunOnce nichts
merkwürdiges drin war? Auch in der Win.ini und in Autostart

Aus meiner Sicht nichts auffaelliges. Ich habe die Ladeliste
mit http://www.reger24.de/prozesse.html verglichen und es
sind alles bekannte Prozesse, plus Virenscanner.

es nützlich msconfig anzuschauen. (START -> Ausführen ->
msconfig) Dort unter Systemstart nachschauen, was denn alles
gestartet wird.

s.o.

Hast du denn mal eine AntiViren Software wie Norton Anti Virus
oder BitDefender etc. drüberlaufen lassen?

Ja, Trendmicro Virenscanner.

Ich mal die Schreibrechte fuer das temp-Verzeichnis auf
„Read Only“ gesetzt und siehe da, der Prozess wird nicht mehr
gestartet.

Danke und Gruss, Patrick

Naja schön und gut aber hilft dir das wirklich weiter??

Grüße…

Peter

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Naja schön und gut aber hilft dir das wirklich weiter??

Ja, in gewisser Weise. Was immer der Prozess auch macht,
ungestartet kann er das eben nicht mehr machen.

Ausserdem soll das nur dokumentieren, was ich alles schon
versucht habe, falls jemand noch andere Ideen und Tipps hat.

Gruss, Patrick

Bitte gehe folgendermaßen vor:
Lade Dir auf www.hijackthis.de das gezippte Hijackthis runter, entpacke und starte es, lass einen Log erstellen (Button „Scan“), dann „Save Log“.
Das Scanergebnis wird dadurch in einem Textfile ausgegeben.
Bitte kopiere den kompletten Log und poste ihn bspw. unter www.trojaner-board.de im entsprechenden Forenbereich, dort wird Dir in der Regel schnell geantwortet.
Je nach Schwere und Art des Befalls könnte auch eine komplette Neuinstallation notwendig sein.

Was Du inzwischen zumindest schon mal machen kannst:

• aktiviere die windowsinterne Firewall, damit ist die Kommunikation nach aussen unterbunden.

• Nach Erzeugen des Logs solltest Du escan herunterladen und entsprechend der folgenden Anleitung benutzen: http://www.trojaner-board.de/showthread.php?t=6083