Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner über FTP-Port eingefangen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 10.08.2005, 14:58   #1
hanseman
 
Trojaner über FTP-Port eingefangen - Standard

Trojaner über FTP-Port eingefangen



Hallo,

habe ein kleines Problem. Vielleicht kann mir jemand helfen. Und zwar hat mir jemand eine .cab-Datei geschickt, die wohl einen Trojaner enthielt. Die Datei war als Macromedia-.exe-Datei getarnt und hatte ein Symbol wie beim InstallShield. So ein grau-blaues Quadrat mit 3 weißen Wellen drin. Die Datei hieß "fna...". Nach dem "fna" kamen dann ein paar Zahlen. Da ich auf keinen "unseriösen" Seiten unterwegs bin und meine Ports alles geschlossen sind, gehe ich davon aus, dass mir jemand diese Datei über den FTP-Port eingeschleust hat, während dieser offen war als ich mit einem FTP-Programm gearbeitet habe. Meine Fragen sind nun:

1. Ich habe garantiert keine aktiven Torjaner auf meinem PC. Kann diese .cab-Datei, die anscheinend den Torjaner enthält, alleine Schaden anrichten oder muss diese erst von mir per Klick aktiviert werden, um sich zu verbreiten? Ich nehme nämlich an, dass die Datei so in unentpacktem Zustand nicht viel anstellen kann und darauf angewiesen ist, das ich diese per Klick aktiviere. Innerhalb der Datei befinden sich übrigens noch 24 andere Dateien.

2. Falls mir jemand über einen Port eine solche Datei schickt, heißt das, dass derjenige auch sonst ungehindert Zugriff auf meinen PC hat und die obige Datei evtl. auch von außen aktivieren kann?

Bin für jeden Tipp dankbar. Danke!

Alt 10.08.2005, 15:07   #2
Yopie
Moderator, a.D.
 
Trojaner über FTP-Port eingefangen - Standard

Trojaner über FTP-Port eingefangen



Zitat:
Zitat von hanseman
habe ein kleines Problem. Vielleicht kann mir jemand helfen. Und zwar hat mir jemand eine .cab-Datei geschickt, die wohl einen Trojaner enthielt. Die Datei war als Macromedia-.exe-Datei getarnt und hatte ein Symbol wie beim InstallShield. So ein grau-blaues Quadrat mit 3 weißen Wellen drin. Die Datei hieß "fna...". Nach dem "fna" kamen dann ein paar Zahlen. Da ich auf keinen "unseriösen" Seiten unterwegs bin und meine Ports alles geschlossen sind, gehe ich davon aus, dass mir jemand diese Datei über den FTP-Port eingeschleust hat, während dieser offen war als ich mit einem FTP-Programm gearbeitet habe.
Mit FTP-Pogramm meint man in der Regel den Client, und nicht den Server. Dann wäre dein FTP-Port auch nicht offen.

Woher weißt du, dass die Datei ein Trojaner ist? Genauer Dateiname? Speicherort?

Zitat:
1. Ich habe garantiert keine aktiven Torjaner auf meinem PC. Kann diese .cab-Datei, die anscheinend den Torjaner enthält, alleine Schaden anrichten oder muss diese erst von mir per Klick aktiviert werden, um sich zu verbreiten? Ich nehme nämlich an, dass die Datei so in unentpacktem Zustand nicht viel anstellen kann und darauf angewiesen ist, das ich diese per Klick aktiviere. Innerhalb der Datei befinden sich übrigens noch 24 andere Dateien.
CAB ist ein Archivformat. Es muss entpackt werden, und dann ausgeführt. Wenn du das nicht machst, und sonst keiner Zugriff auf dem Rechner hat, dann passiert nichts.

Zitat:
2. Falls mir jemand über einen Port eine solche Datei schickt, heißt das, dass derjenige auch sonst ungehindert Zugriff auf meinen PC hat und die obige Datei evtl. auch von außen aktivieren kann?
Ja.

Gruß
Yopie
__________________


Alt 10.08.2005, 15:35   #3
hanseman
 
Trojaner über FTP-Port eingefangen - Standard

Trojaner über FTP-Port eingefangen



Zitat:
Mit FTP-Pogramm meint man in der Regel den Client, und nicht den Server. Dann wäre dein FTP-Port auch nicht offen. Woher weißt du, dass die Datei ein Trojaner ist? Genauer Dateiname? Speicherort?
Erstmal danke für die Antwort.

Ich dachte mir, dass die Datei über den FTP-Port kam, weil ich genau zu dem Zeitpunkt als die Datei auf meinem Rechner erstellt wurde, mit meinem FTP-Programm "WS_FTP" Dateien zwischen meinem Rechner und meinem Webspace hoch und runter geladen habe, die allerdings alle vollkommen in Ordnung sind. Die Datei befan sich im temporären Ordner. Das sich in der .cab-Datei wohl ein Trojaner befunden hat, weiß ich, weil ich den Dateinamen "fna..." mittlerweile kenne. Hatte das schon mal vor einiger Zeit, auch das war ein Trojaner. Zudem war unter "Eigenschaften" ein blöder Kommentar zu lesen: "Experience matters. I got you" oder so ähnlich.

Zitat:
CAB ist ein Archivformat. Es muss entpackt werden, und dann ausgeführt. Wenn du das nicht machst, und sonst keiner Zugriff auf dem Rechner hat, dann passiert nichts.
Als ich die Datei im temporären Ordner entdeckt habe, war sie ca. 1,5 Stunden auf meinem Rechner. Aber sie war halt immer noch diese als .exe-Datei getarnte .cab-Datei, also noch nicht entpackt. Kann ich also vorsichtig davon ausgehen, dass nicht weiter passiert ist?

Zitat:
2. Falls mir jemand über einen Port eine solche Datei schickt, heißt das, dass derjenige auch sonst ungehindert Zugriff auf meinen PC hat und die obige Datei evtl. auch von außen aktivieren kann? Ja.
Na super, aber wie soll das funktionieren. Wie gesagt, ich habe garantiert keinen aktiven Trojaner auf meinem Rechner. Einem PC etwas schicken und dann auch tatsächlich aktiv auf dem PC zuzugreifen und irgendwas aktivieren oder verstellen, sind meiner Meinung nach zwei verschiedene Paar Schuhe.

Das Problem ist aber: Irgendwann habe ich mir mal einen BackdoorTrojaner eingefangen. Hatte seitdem immer wieder kuriose Zugriffsversuche auf meinem PC feststellen müssen. Habe die Adressen in meiner Firewall gesehen. Diese waren ellenlang, high-rated und kamen aus Russland, Ukraine usw. Und das obwohl ich alles neu installiert hatte. Habe mir dann eine neue Festplatte gekauft, aber diese Zugriffe waren immer noch da und wieder hatte ich so eine "fna..."-Datei auf meinem Rechner. Mittlerweile habe ich einen neuen PC und weiß nicht mehr, was ich machen soll ,denn die Zugriffsversuche nehmen nicht ab.

Aber wie kann das sein? Wie gesagt, erst neu installiert, dann neue Festplatte und nun neuer PC, aber trotzdem kommen diese Zugriffsversuche und hin und wieder shcleust mir da jemand so einen Trojaner ein. Hat vielleicht jemand damals mittels des Trojaners alle meine IPs gespeichert ode rirgendwelche Merkmale meiner Windows-Version und erkennt immer ganz genau, wann ich online bin? Oder wie ist sowas sonst möglich?
__________________

Alt 10.08.2005, 15:43   #4
Yopie
Moderator, a.D.
 
Trojaner über FTP-Port eingefangen - Standard

Trojaner über FTP-Port eingefangen



Zitat:
Zitat von hanseman
Ich dachte mir, dass die Datei über den FTP-Port kam, weil ich genau zu dem Zeitpunkt als die Datei auf meinem Rechner erstellt wurde, mit meinem FTP-Programm "WS_FTP" Dateien zwischen meinem Rechner und meinem Webspace hoch und runter geladen habe, die allerdings alle vollkommen in Ordnung sind. Die Datei befan sich im temporären Ordner.
Die Datei wurde also erstellt, als du Online warst. Um nicht weiter rumraten zu müssen: Dein Betriebssystem ist auf aktuellem Stand?

Poste mal ein Hijackthis-Logfile (zur Sicherheit).

Zitat:
Na super, aber wie soll das funktionieren. Wie gesagt, ich habe garantiert keinen aktiven Trojaner auf meinem Rechner. Einem PC etwas schicken und dann auch tatsächlich aktiv auf dem PC zuzugreifen und irgendwas aktivieren oder verstellen, sind meiner Meinung nach zwei verschiedene Paar Schuhe.
Wenn jemand von außen Schreibrechte auf deinem PC hat, dann ist schon irgend was größeres im Argen.

Zitat:
Das Problem ist aber: Irgendwann habe ich mir mal einen BackdoorTrojaner eingefangen. Hatte seitdem immer wieder kuriose Zugriffsversuche auf meinem PC feststellen müssen. Habe die Adressen in meiner Firewall gesehen. Diese waren ellenlang, high-rated und kamen aus Russland, Ukraine usw. Und das obwohl ich alles neu installiert hatte. Habe mir dann eine neue Festplatte gekauft, aber diese Zugriffe waren immer noch da und wieder hatte ich so eine "fna..."-Datei auf meinem Rechner. Mittlerweile habe ich einen neuen PC und weiß nicht mehr, was ich machen soll ,denn die Zugriffsversuche nehmen nicht ab.
Du hattest den PC wirklich vor der ersten Onlineverbindung mit sämtlichen Patches abgesichert?

Zitat:
Aber wie kann das sein? Wie gesagt, erst neu installiert, dann neue Festplatte und nun neuer PC, aber trotzdem kommen diese Zugriffsversuche und hin und wieder shcleust mir da jemand so einen Trojaner ein. Hat vielleicht jemand damals mittels des Trojaners alle meine IPs gespeichert ode rirgendwelche Merkmale meiner Windows-Version und erkennt immer ganz genau, wann ich online bin? Oder wie ist sowas sonst möglich?
Poste das Logfile, und mach einen Scan mit eScan. Anleitung genau beachten: http://www.trojaner-board.com/showthread.php?t=17492

Gruß
Yopie

Alt 10.08.2005, 16:15   #5
hanseman
 
Trojaner über FTP-Port eingefangen - Standard

Trojaner über FTP-Port eingefangen



Ok, hier das Logfile. escan hat außer ein paar unwichtiger Errors nichts gefunden.



Logfile of HijackThis v1.99.1
Scan saved at 17:13:15, on 10.08.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\Explorer.EXE
C:\WINNT\system32\RunDll32.exe
C:\WINNT\System32\sistray.EXE
C:\WINNT\System32\keyhook.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Programme\OLYMPUS\CAMEDIA Master 4.1\CM_camera.exe
C:\Programme\Analog Devices\Teledat 300 USB Treiber\dslmon.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\unzipped\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page .....de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = .....de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\Ipswitch\WS_FTP Pro\wsbho2k0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiS Tray] C:\WINNT\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINNT\System32\keyhook.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: CAMEDIA Master.lnk = C:\Programme\OLYMPUS\CAMEDIA Master 4.1\CM_camera.exe
O4 - Global Startup: DSLMON.lnk = C:\Programme\Analog Devices\Teledat 300 USB Treiber\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O14 - IERESET.INF: START_PAGE_URL=.....de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - update.microsoft.com/microsoftupdate
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) update.microsoft.com/microsoftupdate
O17 - HKLM\System\CCS\Services\Tcpip\..\{6D31577F-556D-4353-9FF0-17C5D79C0401}: NameServer = 217.237.148.65 217.237.148.33
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe


Alt 10.08.2005, 16:22   #6
hanseman
 
Trojaner über FTP-Port eingefangen - Standard

Trojaner über FTP-Port eingefangen



Zitat:
Wenn jemand von außen Schreibrechte auf deinem PC hat, dann ist schon irgend was größeres im Argen.
Naja, die Frage ist aber dann: Warum hat derjenige bisher nichts unternommen? Der Trojaner war ja ne Weile auf meinem PC und ohne weiteres zugreifen kann derjenige ja auch laut deiner Aussage.

Die .cab-Datei war aber noch in unentpacktem Zustand und auch sonst wurden keine Passwörter oder ähnliches geklaut oder verstellt. Ehrlich gesagt, ich werd' nicht schlau daraus.

Alt 10.08.2005, 16:59   #7
Yopie
Moderator, a.D.
 
Trojaner über FTP-Port eingefangen - Standard

Trojaner über FTP-Port eingefangen



Ich kann am Log nichts erkennen. Von daher noch mal die Frage:
Wie wurde der Trojaner genau bezeichnet, von welchem Programm wurde er so bezeichnet, wie hieß die Datei genau, und wo genau wurde sie gefunden?

Gruß
Yopie

Alt 11.08.2005, 10:33   #8
hanseman
 
Trojaner über FTP-Port eingefangen - Standard

Trojaner über FTP-Port eingefangen



Also, die Datei befand sich im temporären Ordner und war ca. 2,5 MB groß. Das Symbol der Datei war ein graues Quadrat mit 3 weißen Wellen drin, also ein Symbol wie man es beim InstallShield hat. War aber halt nur Tarnung.

Wenn man auf Eigenschaften ging, stand dort auch Macromedia-Anwendung, was aber natürlich nicht stimmte. Zudem stand, wie bereits erwähnt, ein blöder Kommentar dort: "Experience matters. I got you" oder so ähnlich. Im Eigenschaften-Fenster wurde das Ganze als .exe-Datei bezeichnet und der Name began mit M, msg oder mgs oder so ähnlich. Sorry, habe es leider nicht mehr im Kopf. Tatsächlich stand unter dem Datei-Symbol was man sieht "fna...". Nach dem "fna" kamen dann ein paar Zahlen 08088 oder so ähnlich, also "fna08088".

Das es ein Trojaner war, wußte ich sofort als ich diesen Namen "fna..." sah, da ich sowas schon mal hatte. Damals war es ein Backdoor-Trojaner. Als ich AntiVir über die vermeintliche .exe-Datei laufen ließ, stellte sich recht schnell heraus, dass es keine .exe-Datei war, sondern eine .cab-Datei in der sich noch 24 weitere Dateien befanden. AntiVir gab 24 Hinweise aus.

Antwort

Themen zu Trojaner über FTP-Port eingefangen
aktive, aktivieren, aktiviert, andere, außen, befinden, danke, eingefangen, frage, fragen, gen, geschlossen, getarnt, kleines, klick, offen, ports, seite, seiten, stelle, symbol, trojaner, unterwegs, weiße, wellen, zugriff




Ähnliche Themen: Trojaner über FTP-Port eingefangen


  1. vermutlich Trojaner über Facebook eingefangen - was tun?
    Plagegeister aller Art und deren Bekämpfung - 26.08.2015 (3)
  2. Internetverbindung über Port 8877 unter WIN 8.1
    Plagegeister aller Art und deren Bekämpfung - 11.02.2014 (78)
  3. DirtyDecrypt über den BKA Trojaner eingefangen ransomware
    Log-Analyse und Auswertung - 20.08.2013 (7)
  4. DirtyDecrypt über den BKA Trojaner eingefangen ransomware
    Plagegeister aller Art und deren Bekämpfung - 18.08.2013 (23)
  5. Trojaner o.ä. über Facebook eingefangen
    Log-Analyse und Auswertung - 14.06.2013 (29)
  6. Trojaner eingefangen über Vodafone MMS Email
    Log-Analyse und Auswertung - 23.11.2012 (19)
  7. Rechner versucht über Port 137 nach außen zu verbinden
    Log-Analyse und Auswertung - 05.09.2012 (1)
  8. Während Internetverbindung Unmengen von Daten über Port 1935
    Log-Analyse und Auswertung - 27.11.2010 (7)
  9. Virus/Trojaner über ICQ eingefangen
    Plagegeister aller Art und deren Bekämpfung - 10.11.2010 (1)
  10. Trojaner über ICQ eingefangen
    Plagegeister aller Art und deren Bekämpfung - 16.08.2010 (16)
  11. Trojaner über ICQ eingefangen!
    Plagegeister aller Art und deren Bekämpfung - 21.06.2010 (23)
  12. Trojaner über ICQ eingefangen
    Plagegeister aller Art und deren Bekämpfung - 17.04.2010 (3)
  13. über msn backdoor/Trojaner eingefangen
    Log-Analyse und Auswertung - 29.06.2008 (6)
  14. Problem mit Spamm über Port 443
    Log-Analyse und Auswertung - 17.08.2007 (7)
  15. Verbindung über Port 135
    Log-Analyse und Auswertung - 20.02.2007 (2)
  16. Verbindungsversuche über Port 135
    Plagegeister aller Art und deren Bekämpfung - 14.03.2005 (19)
  17. aol filtert mails über port 25
    Überwachung, Datenschutz und Spam - 15.02.2005 (0)

Zum Thema Trojaner über FTP-Port eingefangen - Hallo, habe ein kleines Problem. Vielleicht kann mir jemand helfen. Und zwar hat mir jemand eine .cab-Datei geschickt, die wohl einen Trojaner enthielt. Die Datei war als Macromedia-.exe-Datei getarnt und - Trojaner über FTP-Port eingefangen...
Archiv
Du betrachtest: Trojaner über FTP-Port eingefangen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.