Hallo, habe folgendes Problem:

Hatte mir vor einer Weile einen fiesen Trojaner eingefangen "heuristik/trojan.keylogger" meldete AniVir. Habe dann an verschiedenen Orten Dateien ala "fna1040.bin" oder "fna1256.cab" usw. gefunden. Habe alles versucht, aber der Trojaner kam immer wieder. AntiVir fand den Trojaner an sich zwar nicht mehr wieder, aber diese "fna sonstwas"-Dateien tauchten immer wieder auf. Auch ein Neuaufsetzen hat nix gebracht. Da ich sowieso vorhatte mir eine neue Festplatte zu kaufen, habe ich das dann auch getan.

Und jetzt ratet was ? Obwohl ich eine niegelnagelneue Festplatte im PC habe und nach dem Widows-Update usw. bisher nur aus 2-3 Seiten war (absolute seriöse, allen gut bekannte Seiten) hatte ich nach superkurzer Zeit wieder diese Dateien auf der Platte. Ich habe auch in meiner FireWall (ZoneAlarm) komische "Attacken" beobachten können, von absolut kuriosen und teilweise ellenlangen Absenderadressen, hauptsächlich an die Ports 135-139, 445 und 1026-1027. Habe online einige Tests auf einschlägigen Seiten gemacht, die mir jedoch bestätigten, dass meine Ports "stealth" seien bzw. keine Gefahr besteht. Die Datein sind 100% Teil eines Trojaners, da ich sie vom ersten Auftauchen von eben diesem her noch kenne. Im Internet habe ich auch viele Infos gefunden, die bestätigen, dass diese "fna..."-Dateien zu Trojanern gehören. Daher habe ich jetzt 2 Fragen:

1. Wie kann irgendein Mensch (Hacker?) immer wieder diese Dateien auf meinen Rechner bringen, obwohl alles gelöscht wurde, eine neue Festplatte gekauft und keine unseriösen Seiten besucht wurden ?

2. Wie schließe ich die oben genannten Ports unter Windows 2000 ? Welche sollten sonst noch geschlossen werden ?

Wäre für jede Hilfe dankbar !

Mache mal das:
http://www.trojaner-board.de/showthread.php?t=17493

Zitat:

Und jetzt ratet was ? Obwohl ich eine niegelnagelneue Festplatte im PC habe und nach dem Widows-Update usw. bisher nur aus 2-3 Seiten war (absolute seriöse, allen gut bekannte Seiten) hatte ich nach superkurzer Zeit wieder diese Dateien auf der Platte.

Vielleicht hast Du sie beim Kopieren Deiner alten Daten mit überspielt

Waren vor der ersten Online-Verbindung sämtliche Patches installiert?

Bzgl. Ports schließen: http://ntsvcfg.de

Gruß
Yopie

Danke für die Antworten.

HijackThis habe ich benutzt, da wird aber nix gefunden.

Beim allerersten Onlinegehen mit der neuen Festplatte bin ich sofort auf die Microsoft-Seite und habe da alles nötige installiert. AntiVir und ZoneAlarm hatte ich aber schon vorher draufgemacht.

Ich habe gerade gesehen, dass diese "fna..."-Datei auch vorhin erst erstellt wurde.

Wie kann sowas sein ? Kann mir jemand sowas nur anhand meiner IP auf meinen PC packen ?

Zitat:

Zitat von hanseman

Beim allerersten Onlinegehen mit der neuen Festplatte bin ich sofort auf die Microsoft-Seite und habe da alles nötige installiert. AntiVir und ZoneAlarm hatte ich aber schon vorher draufgemacht.

Zonealarm hätte eine Infektion eigentlich verhindern müssen. Aber das Programm taugt anscheinend noch weniger, als ich gedacht habe.

Du musst vor der ersten Verbindung die Patches und Service-Packs installieren. Also mit einem sauberen Rechner vorher runterladen und auf CD brennen, z.B. die Update-Packs von Winboard.org .

Ich vermute einen stinknormalen Netzwerkwurm. Poste mal das HJT-Logfile, und führe außerdem http://www.trojaner-board.com/showthread.php?t=17492 durch, und poste die Funde.

Gruß
Yopie

Escan meldet nur eine "Alexa"-Spyware, die am IE hängt. Die scheint von Microsoft zu sein, weil die auch immer sofort nach der Installation von Windows schon mit drauf ist. Ansonsten nur 2 Error von PhotoshopElements. Das war's, nix besonderes. Unten das Logfile von HijackThis. Danke für die Mühe !

P.S.: Das mit dem Portschließen auf der angegebenen Seite habe ich irgendwie nicht verstanden. Gibt es irgendeine einfache Möglichkeit, wie man in Windows die Ports schließt ? Und wie beende ich den Client für Microsoft-Netzwerke sowie die Datei- und Druckerfreigabe ?



Logfile of HijackThis v1.99.1
Scan saved at 20:30:05, on 27.05.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\RunDll32.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Programme\OLYMPUS\CAMEDIA Master 4.1\CM_camera.exe
C:\Programme\Analog Devices\Teledat 300 USB Treiber\dslmon.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINNT\system32\wuauclt.exe
C:\Programme\SpywareBlaster\spywareblaster.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\ICQ\ICQ.exe
C:\unzipped\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\Ipswitch\WS_FTP Pro\wsbho2k0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: CAMEDIA Master.lnk = C:\Programme\OLYMPUS\CAMEDIA Master 4.1\CM_camera.exe
O4 - Global Startup: DSLMON.lnk = C:\Programme\Analog Devices\Teledat 300 USB Treiber\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1493855B-988E-4EDC-80EC-9FA8EF0B57A9}: NameServer = 217.237.148.65 217.237.148.33
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe