|
Plagegeister aller Art und deren Bekämpfung: Trojaner o. Virus?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
25.06.2003, 18:00 | #1 |
| Trojaner o. Virus? Hallo! Folgendes Problem. Server mit Backoffice Small Business Server 4.0 mit SP6 + 6 PCs mit Win98 im Netz. In dem Rechner steckt eine aktive ISDN-Karte. Als Proxyserver verwende ich den Janaserver. Ist aber noch eine ziemlich alte Version, lief aber bisher super. Damit gehen alle PCs ins Internet. Seit letztem Freitag funktionierte Internet nicht mehr richtig. Die Dfü-Verbindung wurde zwar korrekt aufgebaut, an den Arbeitsstationen tat sich aber nichts bzw. manchmal wurde noch eine Seite angezeigt u. dann war auch schon wieder Schluß. Bei dem Janaserver lag noch ein Programm namens Remotewatch bei. Damit kann man die Dfü-Verbindung überwachen. Das Teil habe ich mal gestartet. Dort erschien dann im Sekundentakt irgendwelche IP-Adressen (keine aus meinem Netz, sondern öffentliche). Die Meldungen lauteten ungefähr 201.66.102.13 socks4 request 183.56.123.34 Port 25 So geht das in einer Tour. Der DFÜ-Monitor von NT hatte quasi ein Dauerleuchten. Bei Anzeige der Details konnte ich feststellen, dass ziemlich viele Bytes nach draussen gesendet wurden. Ich hatte den Server erst mal von den PCs getrennt. Von alleine wurde die Dfü-Verbindung am Server nicht hergestellt. Tat ich das manuell, erschienen sofort oben beschriebene Meldungen im Remotewatch. Das Programm zeigte weiterhin an, das im Schnitt dabei um die 120 Verbindungen aufgebaut wurden. Es wurde also soviel Bandbreite belegt, das für die PCs nichts mehr übrig war. Habe dann erst einmal das ISDN-Kabel gezogen u. ein paar Virenscanner mit aktuellen Signaturfiles rüberlaufen lassen (NAV, F-Prot). Kein Ergebnis. Habe mich dann ein wenig hier schlau gemacht u. Tauscan u. The Cleaner 3.5 rüberlaufen lassen. Auch kein Ergebnis. Sobald ich aber manuell die Dfü-Verbindung ins Internet herstelle, geht das gesende wieder los. Ich bin ratlos. [img]graemlins/balla.gif[/img] Für Eure Antworten schon mal im voraus Danke! Gruß Ulf |
25.06.2003, 18:36 | #2 |
| Trojaner o. Virus? Hallo,
__________________allso wie ich das sehe, ist das eher ein Technisches Problem , oder ein Dialer. Auf keinenfall baut ein virus oder ein Trojaner soviele Verbindungen auf. ein virus baut eigentlich garkeine verbinung auf er will eigentlich nur zerstören und verschickt sich per e-mail selbstständig. genauso läuft das mit einen Trojaner, der eigentlich zu vielen sachen mißbraucht werden kann, vom ausspionieren bis hin zum zerstören des PC kann ein anwender dieses Trojaner alles machen. Mit NAV würde ich mich nicht auf die suche begeben weil.Nav erstmal meistens den unterschied zwischen Virus und Trojaner nicht kenn, und es ist auserdem ziemlich unsicher , findet zwar ein paar , macht aber nichts das kann manchmal soweit gehen das sich der rechner aufhängt wenn NAV sucht oder was gefunden hat. Ein gutes Antivirus ist von Panda, oder Kaspersky,die freeware ist oft wirklich besser wie die teueren antivirus programme. und lasse vorsichtshalber ein Dialer programm [img]graemlins/daumenhoch.gif[/img] durchlaufen
__________________ |
25.06.2003, 18:56 | #3 |
/// Helfer-Team | Trojaner o. Virus? Also wenn ich die Webseite vom JanaServer richtig gelesen habe, dann ist dort doch auch ein eMailServer integriert oder? Ist der deaktviert? Oder nach aussenhin frei? Kann der eMails versenden?
__________________Port 25 wär der SMTP Port. Also der Postausgangsserver. Sind auch unbenutze Dienste alle deaktiviert? Auch der FTP Server zu? Björn
__________________ |
25.06.2003, 19:00 | #4 |
| Trojaner o. Virus? Hallo Mogul! Irre ich mich o. ist ein Dialer nicht ein Programm, welches eine extrem kostenpflichtige Verbindung aufbaut? Dies ist jedoch bei mir nicht der Fall. Es wird die Verbindung zu meinem Internetprovider gewählt u. verwendet. Und was wird da gesendet? Mit was für einer Software kann man das rausfinden? Und Port 25 wird doch für Smtp verwendet o. nicht? Fragen über Fragen. Habe keine Lust (und Zeit), den Server platt zu machen u. neu zu installieren. Wenn ich aber nichts finden sollte und das Problem bleibt bestehen, wird mir wohl nichts anderes übrig bleiben. Gruß Ulf |
25.06.2003, 19:10 | #5 |
| Trojaner o. Virus? @Lucky Der Mailserver von Jana wird nicht benutzt und ist auch deaktiviert. In der Konfiguration von Jana ist allerdings "angehakt", dass er als Http,Https,FTP,Gopher,FTP-Gateway,Socks4 und Socks5-Server fungieren soll. Wüsste nicht, dass ich das brauchen würde. Könnte ich mal deaktivieren. War aber wie gesagt schon immer so eingestellt. Als Mailserver läuft der Internet Anywhere Mailserver. Den Dienst hatte ich auch schon mal gestoppt, allerdings zeigte dies keine Besserung. Gruß Ulf |
25.06.2003, 20:13 | #6 |
/// Helfer-Team | Trojaner o. Virus? Ja deaktivier alles was du nicht brauchst. Sollte man bei einem Server immer machen. Das würde auch darauf hindeuten, warum du auf einem so viele Verbindungen hast. Kann es sein, das ihr eine feste IP habt? Björn
__________________ --> Trojaner o. Virus? |
Themen zu Trojaner o. Virus? |
aktuelle, antworten, anzeige, bytes, cleaner, danke, gesendet, ip-adresse, lag, meinem, meldungen, namens, nicht, nicht mehr, nichts, pcs, port, port 25, programm, rechner, scan, scanner, seite, sekunden, server, verbindungen, version, virenscanner, win, win98 |