Virus/Trojan?

Eric · 10.07.2000, 04:03

Mein Virusprogramm hat folgende Datei
in windows/temp ordner gefunden:
TMTAD8EA.EXE (im explorer mit Endung ".vir")
Es sagt, daß es ein Trojaner ist.
Sind die immer im windows-temp-ordner?
Wie (außer mir natürlich) kann diese .exe-Datei ausgelöst bzw. zum laufen gebracht werden?
Kann ich herausfinden wie der trojaner funktioniert und den hacker ausfindig machen, weil der trojaner schickt ja sicher Daten an den hacker...?

Danke,
Erich

schurl · 10.07.2000, 09:02

Hallo! Zunächst einmal: schau, daß du ihn wegbekommst! Leider erkennen die Anti-Viren Programme solche Trojans, aber entfernen lassen sie sich eher schlecht (und meist nicht vollständig). Du solltest du vorerst keine Verbindung (zu inet) herstellen, und über eine Neuinstallation von Win98 nachdenken (da es kein hartnäckiger Virus ist, verschwindet das Teil bei format c:\ sicherlich)!

Im Tempordner sind sie nicht immer - das wird nur die Datei sein, welches (vermutlich) das Trojaner Setup (oder ein anderes) eben temporär gespeichert (und nicht mehr gelöscht) hat. Die eigentlichen Datein befinden vorzugsweise in C:\Windows oder C:\Windows\System(32) usw. und sind häufig *.dll Dateien (Programbiblio's)

Leider kenne ich diese Datei nicht - dein Virusprogramm (welches hast du?) hätte aber noch mindestens eine weitere Datei finden sollen. Ansonsten wurde der Trojaner vielleicht gar nicht gestartet!?

Schau in der Regestry z.B. unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run ob dort irgendwelche seltsamen Einträge stehen. Suche auch in anderen "RUN" einträgen in der Regestry!

Du kannst den "Hacker" (ich möchte eher "Lamer" sagen) nicht leicht ausfindig machen. Beim Sub7 z.B., von den Versionen 1.7 bis 1.9 wurde allerdings eine kleine *.ini Datei angelegt, in der die IP des Lamers geloggt wurde (und passwort des Trojaner-Servers).

Soweit ich weiß mußt du schon die verseuchte *.exe (oder eigentlich ist es nur ein install, ein Trojaner ist eine server-software die installiert werden muß) schon selber starten - von außen kann man auf deinem System (sofern es nicht schon offnene Türen gibt) keine Dateien exekutieren.

------------------
~*seid NETZ zu einander*~

vadi · 10.07.2000, 17:06

Servus Eric. Ich benutze hauptsächlich den "The Cleaner 3.x". Dieser ist nur auf Trojaner Viren fixiert. Er findet und beseitigt diese zu 90%. Wenn Du diesen haben willst, gib mir bescheid und ich schicke dir dann per Email.

------------------
Grüazi wau
vadi

10.07.2000, 04:03	#1
Eric Jr. Member Registriert seit: 27.06.2000 Beiträge: 57	Mein Virusprogramm hat folgende Datei in windows/temp ordner gefunden: TMTAD8EA.EXE (im explorer mit Endung ".vir") Es sagt, daß es ein Trojaner ist. Sind die immer im windows-temp-ordner? Wie (außer mir natürlich) kann diese .exe-Datei ausgelöst bzw. zum laufen gebracht werden? Kann ich herausfinden wie der trojaner funktioniert und den hacker ausfindig machen, weil der trojaner schickt ja sicher Daten an den hacker...? Danke, Erich

10.07.2000, 09:02	#2
schurl Jr. Member Registriert seit: 05.07.2000 Beiträge: 59	Hallo! Zunächst einmal: schau, daß du ihn wegbekommst! Leider erkennen die Anti-Viren Programme solche Trojans, aber entfernen lassen sie sich eher schlecht (und meist nicht vollständig). Du solltest du vorerst keine Verbindung (zu inet) herstellen, und über eine Neuinstallation von Win98 nachdenken (da es kein hartnäckiger Virus ist, verschwindet das Teil bei format c:\ sicherlich)! Im Tempordner sind sie nicht immer - das wird nur die Datei sein, welches (vermutlich) das Trojaner Setup (oder ein anderes) eben temporär gespeichert (und nicht mehr gelöscht) hat. Die eigentlichen Datein befinden vorzugsweise in C:\Windows oder C:\Windows\System(32) usw. und sind häufig .dll Dateien (Programbiblio's) Leider kenne ich diese Datei nicht - dein Virusprogramm (welches hast du?) hätte aber noch mindestens eine weitere Datei finden sollen. Ansonsten wurde der Trojaner vielleicht gar nicht gestartet!? Schau in der Regestry z.B. unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run ob dort irgendwelche seltsamen Einträge stehen. Suche auch in anderen "RUN" einträgen in der Regestry! Du kannst den "Hacker" (ich möchte eher "Lamer" sagen) nicht leicht ausfindig machen. Beim Sub7 z.B., von den Versionen 1.7 bis 1.9 wurde allerdings eine kleine .ini Datei angelegt, in der die IP des Lamers geloggt wurde (und passwort des Trojaner-Servers). Soweit ich weiß mußt du schon die verseuchte .exe (oder eigentlich ist es nur ein install, ein Trojaner ist eine server-software die installiert werden muß) schon selber starten - von außen kann man auf deinem System (sofern es nicht schon offnene Türen gibt) keine Dateien exekutieren. ------------------ ~seid NETZ zu einander*~

10.07.2000, 17:06	#3
vadi Jr. Member Registriert seit: 10.07.2000 Beiträge: 20	Servus Eric. Ich benutze hauptsächlich den "The Cleaner 3.x". Dieser ist nur auf Trojaner Viren fixiert. Er findet und beseitigt diese zu 90%. Wenn Du diesen haben willst, gib mir bescheid und ich schicke dir dann per Email. ------------------ Grüazi wau vadi

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)