Hallo zusammen..
Als erstes mal wünsche ich euch allen ein schönes 2004!
Ich habe hier irgendwie ein Problem... Bekomme von der Firewall sicher täglich die Meldung es sei ein angriff auf mein pc ausgehend von einem backdoor/subseven trojaner abgewehrt worden!
Wenn ich jedoch mein system auf Viren überprüfe kommt nix dabei raus. auch die anderen Methoden nach einem Trojaner zu suchen haben nix gebracht!

Was mache ich nun bzw. habe ich wirklich einen Trojaner auf meinem System????
Danke für die Hilfe und Grüsse

Weiss niemand rat? Helft mir bitte! Alle online Virenscans waren bisher auch negativ!

Ja, nur mit der Ruhe...

Such mal im Board nach "Portscan".

Jep. Hier im Forenteil nach "Portscans" suchen lassen und schon hast du deine Antwort.

BTW Kennst du den Unterschied zwischen einem Forum und einem Chat?

Andreas

Moin!
Wenn die Firewall es anzeigt, wird da wohl auch was drauf sein. Deine Firewall lässt den Server jedoch nicht durch. Demnach kann auch niemand den Server steuern.
Wenn jemand den Server so verändert (undetect) hat, dass er nicht von AVs erkannt wird, erklärt sich auch, warum sich die Firewall meldet, aber nicht dein AV.
Schau in der Registry...hkey_local_ machine..software..microsoft...windows..currentVersion.. und dann unter den RUN-Einträgen nach verdächtigen Sachen!
Im Windows Ordner, evtl System32, dürfte auch noch was zu finden sein.

[ 03. Januar 2004, 17:53: Beitrag editiert von: Berserkr ]

</font><blockquote>Zitat:</font><hr />Bekomme von der Firewall sicher täglich die Meldung es sei ein angriff auf mein pc ausgehend von einem backdoor/subseven trojaner abgewehrt worden!</font>[/QUOTE]Deine Desktop-Firewall lügt dir kräftig was in die Tasche.

Damit ein Trojaner oder ähnliches bspw. Passwörter ausspionieren kann, müssen 2 Dinge gegeben sein:
1.: Ein Programm (der Serverteil des Trojaners) muss bei dir installiert sein
2.: Der Angreifer muss sich von außen mit dem Serverteil verbinden.

Da Nr.1 offensichtlich nicht gegeben ist hast du auch kein Problem, du hast lediglich eine Software auf deinem Rechner, die dich in Panik versetzt und dir falsche Informationen gibt. Überleg mal ob das sinnvoll ist...
</font><blockquote>Zitat:</font><hr />Wenn die Firerwall es anzeigt, wird da wohl auch was drauf sein.</font>[/QUOTE]Eine Firewall blockiert oder erlaubt den Datenverkehr aufgrund des Regelsets. Sie ist _nicht_ in der Lage, schädlichen Code zu erkennen.
</font><blockquote>Zitat:</font><hr />Deine Firerwall lässt den Server jedoch nicht durch.</font>[/QUOTE]Der Serverteil wird nicht durch die Firewall geschoben, er wird wenn überhaupt dem Benutzer per Mail oder Browser untergejubelt - auch hier kann die Firewall nicht verhindern, dass der Benutzer schädlichen Code ausführt.
</font><blockquote>Zitat:</font><hr />Wenn jemand den Server so verändert (undetect) hat, dass er nicht von AVs erkannt wird, erklärt sich auch, warum sich die Firewall meldet, aber nicht dein AV.</font>[/QUOTE]Wenn der Serverteil undetectable ist, wird er nicht erkannt, weder vom AV noch von irgendeiner anderen Software. Wobei hier wieder gilt: Eine Desktop-Firewall ist nicht in der Lage schädlichen Code zu erkennen.

[ 03. Januar 2004, 13:31: Beitrag editiert von: WarpMan ]

@WarpMan

Die Firewall schlägt doch aber erst an, wenn der Server bereits auf dem Rechner ist bzw.sich gerade installieren will!?
Wenn der Server dann versucht eine Verbindung zum Clienten, oder andersrum, herzustellen, wird diese doch erkannt!??

[ 03. Januar 2004, 17:53: Beitrag editiert von: Berserkr ]

</font><blockquote>Zitat:</font><hr />Original erstellt von Berserkr:
Die Firerwall schlägt doch aber erst an, wenn der Server bereits auf dem Rechner ist bzw.sich gerade installieren will!?</font>[/QUOTE]Nein. Die Firewall schlägt auch bei Portscans an. Wenn jemand z.B. von außen einen Portscan auf Port 27374 macht (Standardport von Sub7), dann meldet dir die Firewall fälschlicher Weise, dass jemand versucht sich mit dem Sub7 Trojaner auf deinem System zu verbinden (dabei heisst Portscan nur, dass eine Anwendung bestimmt Ports nach über diese Ports kommunizierende Dienste scannt). Was die Firewall erzählt dir ist also Käse...


</font><blockquote>Zitat:</font><hr />Original erstellt von Berserkr:
Wenn der Server dann versucht eine Verbindung zum Clienten, oder andersrum, herzustellen, wird diese doch erkannt!??</font>[/QUOTE]Das mag unter Umständen sein, aber wenn eine Firewall einen Sub7 Angriff meldet heisst das noch lange nicht, dass man den Trojaner auch auf dem System hat.
btw: Die Firewall-FAQ von de.comp.security.firewall

ciao

doppelt, sry

WarpMan hat es aber ausgeschlossen, dass der Trojaner drauf ist!
Ich meinte auch nur, dass Sub7 evtl. schon installiert ist, AV nichts findet, weil undetect.
Die Firewall jedoch den Verbindungsaufbau erkennt. Oder nicht?

[ 03. Januar 2004, 17:54: Beitrag editiert von: Berserkr ]

Wäre der Serverteil aktiv gewesen, hätte die Desktop-Firewall gefragt, ob er auf ankommende Verbindungen warten dürfte, zumindest kann der alte Sub7 nicht ohne Fremdprogramm eine DTFW tunneln/manipulieren. Da aber in der Beschreibung von einem Angriff die Rede ist, ist dies wohl ein simpler Portscan gewesen, es sei denn natürlich Funchris hat uns ein paar Dinge verschwiegen.

BTW: Ein Trojaner, der undetectable ist wird von keinem Programm erkannt - auch nicht von einer Firewall (von der schon gar nicht). Deswegen ist es ja ein Undetectable!

Nagut BarpMan...ich habe recht...Du....nicht..

</font><blockquote>Zitat:</font><hr />BTW: Ein Trojaner, der undetectable ist wird von keinem Programm erkannt - auch nicht von einer Firewall (von der schon gar nicht). Deswegen ist es ja ein Undetectable! </font>[/QUOTE]Hmm, es gibt ein RatBoard , wo mal eben genau so etwas mit Mitgliedern, denen man vertraut, mal testen kann. [img]smile.gif[/img]
Das eine (AV) hat mit dem anderen (FW) aber auch gar nichts zu tun, das sage ich nicht, weil ich es mir denke, sondern weil ich es weiß. [img]smile.gif[/img]

Außerdem sind die diversen FWs in ihrer Arbeitsweise sehr unterschiedlich, es kommt da auch darauf an, welche genutzt wird.
Grundsätzlich ist die zitierte Aussage einfach falsch. [img]smile.gif[/img]

</font><blockquote>Zitat:</font><hr />Original erstellt von Heike:
Hmm, es gibt ein RatBoard , wo mal eben genau so etwas mit Mitgliedern, denen man vertraut, mal testen kann.</font>[/QUOTE]Ein wirklich wunderbarer Hinweis!
Man weiß ja auch, wenn man in ein Board stolpert, wem man vertrauen kann und wem nicht...
Sag mal ganz im Ernst, Heike!
Findest Du das nicht langsam selbst lächerlich?

DerBilk

@DerBilk,
lächerlich finde ich, was hier eine Falschinformation durch den User WarpMan
von einem Mod nicht klargestellt wird.
Du erweckst den Eindruck, meine Aussage ist falsch, nun, ich weiß es besser. [img]smile.gif[/img]
Ach, ich bin übrigens nicht erst seit vorgestern Mitglied im RatBoard, sondern seit 1,5 Jahren, dies aber nur nebenbei. [img]smile.gif[/img]

</font><blockquote>Zitat:</font><hr /> Man weiß ja auch, wenn man in ein Board stolpert, wem man vertrauen kann und wem nicht... </font>[/QUOTE]Ich vertraue mir, sonst niemanden (bis auf wenige Ausnahmen), hier gab es die Grundlagen für mein Wissen, dafür an dieser Stelle mal einen herzlichen Dank an viele Mitglieder.

Aber wenn man Dinge auch verstehen und begreifen will, muß man sich zwangsläufig andere Informationsquellen suchen. Nur durch verstehen und begreifen kann man sich letztlich schützen.
Insoweit ist vielleicht das Konzept der "Angstmacherei" etwas antiquiert. [img]smile.gif[/img]

</font><blockquote>Zitat:</font><hr /> Es wird Angst und Furcht verbreitet, die letztlich so weit geht, dass mir mal einer gesagt hat, wer im RatBoard ist, kann auch in eine *.txt-Mail einen Trojaner einbauen. </font>[/QUOTE]Zitat von mir aus dem RatBoard.
Wenn ein User hier diese Meinung hat, dann ist zumindestens die Aufklärung bei diesem User so gar nicht gelungen.

Aber das nur nebenbei.