Mich hat es seit langem mal wieder erwischt: Trojanisches Pferd TR/Agent.dfn.1
Ich kam heute nach Hause, mache den Rechner an und stelle fest, dass ich nicht ins Internet komme. Also Fehleranalyse:
- ipcop (Quasi mein DSL Router) neustarten. -> kein Internet
- DSL Modem und Splitter resetten. -> kein Internet
- Server neustarten (ipcop läuft auf einer virtuellen Maschine) -> kein Internet
- Kumpel angerufen und gebeten nach Internetstörungen zu schauen -> kein Internet
- Switch neu gestartet -> kein Internet
- PC neu gestartet -> kein Internet
- Laptop angemacht um eigentlich über UMTS zu surfen -> INTERNET via WLAN
Etwas entrüstet stelle ich also fest, dass das Internet nur auf meinem PC nicht funktioniert, alle anderen Rechner aber ganz normal ins Netz kommen.
Also habe ich als nächstes mal die TCP/IP Eigenschaften untersucht. Siehe da:
Da ich IP und DNS via DHCP beziehe, wundert mich dieser Eintrag und ich mache ein WHOIS der IP-Adressen 203.223.145.179 & 203.223.153.21:
inetnum: 203.223.128.0 - 203.223.159.255 netname: AIMS-MY-DIA-NET descr: AIMS Data Centre, Malaysia, Networks - 203.223.128.0/19
Malaysia??? *Sämtliche Alarmglocken schrillen*
Also Antivir gestartet und durchlaufen lassen:
C:\Programme\games\games.exe
[FUND] Ist das Trojanische Pferd TR/Agent.dfn.1
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{B6B28CD2-E34D-4FE4-A8B6-6CD90C459D34}\RP109\A0031456.exe
[FUND] Ist das Trojanische Pferd TR/Agent.dfn.1
[INFO] Die Datei wurde gelöscht.
Leider konnte ich keine konkreten Infos zu diesem Virus finden. Das Einzige was in etwa passen könnte war dieser Eintrag.
Da das Ding ein Keylogger zu sein scheint, werde ich gleich mit einem bootfähigen, sauberen Knoppix alle Passwörter für E-Mail, Online Banking, Foren etc ändern.
Schöner Mist!
Er is also wieder weg?
Trotzdem nachträglich mein Beileid.
Und den Rechner anschließend platt machen nicht vergessen *mahnenddenfingerheb*