Hallo,

habe ein kleines Problem. Vielleicht kann mir jemand helfen. Und zwar hat mir jemand eine .cab-Datei geschickt, die wohl einen Trojaner enthielt. Die Datei war als Macromedia-.exe-Datei getarnt und hatte ein Symbol wie beim InstallShield. So ein grau-blaues Quadrat mit 3 weißen Wellen drin. Die Datei hieß "fna...". Nach dem "fna" kamen dann ein paar Zahlen. Da ich auf keinen "unseriösen" Seiten unterwegs bin und meine Ports alles geschlossen sind, gehe ich davon aus, dass mir jemand diese Datei über den FTP-Port eingeschleust hat, während dieser offen war als ich mit einem FTP-Programm gearbeitet habe. Meine Fragen sind nun:

1. Ich habe garantiert keine aktiven Torjaner auf meinem PC. Kann diese .cab-Datei, die anscheinend den Torjaner enthält, alleine Schaden anrichten oder muss diese erst von mir per Klick aktiviert werden, um sich zu verbreiten? Ich nehme nämlich an, dass die Datei so in unentpacktem Zustand nicht viel anstellen kann und darauf angewiesen ist, das ich diese per Klick aktiviere. Innerhalb der Datei befinden sich übrigens noch 24 andere Dateien.

2. Falls mir jemand über einen Port eine solche Datei schickt, heißt das, dass derjenige auch sonst ungehindert Zugriff auf meinen PC hat und die obige Datei evtl. auch von außen aktivieren kann?

Bin für jeden Tipp dankbar. Danke!

Zitat:

Zitat von hanseman

habe ein kleines Problem. Vielleicht kann mir jemand helfen. Und zwar hat mir jemand eine .cab-Datei geschickt, die wohl einen Trojaner enthielt. Die Datei war als Macromedia-.exe-Datei getarnt und hatte ein Symbol wie beim InstallShield. So ein grau-blaues Quadrat mit 3 weißen Wellen drin. Die Datei hieß "fna...". Nach dem "fna" kamen dann ein paar Zahlen. Da ich auf keinen "unseriösen" Seiten unterwegs bin und meine Ports alles geschlossen sind, gehe ich davon aus, dass mir jemand diese Datei über den FTP-Port eingeschleust hat, während dieser offen war als ich mit einem FTP-Programm gearbeitet habe.

Mit FTP-Pogramm meint man in der Regel den Client, und nicht den Server. Dann wäre dein FTP-Port auch nicht offen.

Woher weißt du, dass die Datei ein Trojaner ist? Genauer Dateiname? Speicherort?

Zitat:

1. Ich habe garantiert keine aktiven Torjaner auf meinem PC. Kann diese .cab-Datei, die anscheinend den Torjaner enthält, alleine Schaden anrichten oder muss diese erst von mir per Klick aktiviert werden, um sich zu verbreiten? Ich nehme nämlich an, dass die Datei so in unentpacktem Zustand nicht viel anstellen kann und darauf angewiesen ist, das ich diese per Klick aktiviere. Innerhalb der Datei befinden sich übrigens noch 24 andere Dateien.

CAB ist ein Archivformat. Es muss entpackt werden, und dann ausgeführt. Wenn du das nicht machst, und sonst keiner Zugriff auf dem Rechner hat, dann passiert nichts.

Zitat:

2. Falls mir jemand über einen Port eine solche Datei schickt, heißt das, dass derjenige auch sonst ungehindert Zugriff auf meinen PC hat und die obige Datei evtl. auch von außen aktivieren kann?

Ja.

Gruß
Yopie

Zitat:

Mit FTP-Pogramm meint man in der Regel den Client, und nicht den Server. Dann wäre dein FTP-Port auch nicht offen. Woher weißt du, dass die Datei ein Trojaner ist? Genauer Dateiname? Speicherort?

Erstmal danke für die Antwort.

Ich dachte mir, dass die Datei über den FTP-Port kam, weil ich genau zu dem Zeitpunkt als die Datei auf meinem Rechner erstellt wurde, mit meinem FTP-Programm "WS_FTP" Dateien zwischen meinem Rechner und meinem Webspace hoch und runter geladen habe, die allerdings alle vollkommen in Ordnung sind. Die Datei befan sich im temporären Ordner. Das sich in der .cab-Datei wohl ein Trojaner befunden hat, weiß ich, weil ich den Dateinamen "fna..." mittlerweile kenne. Hatte das schon mal vor einiger Zeit, auch das war ein Trojaner. Zudem war unter "Eigenschaften" ein blöder Kommentar zu lesen: "Experience matters. I got you" oder so ähnlich.

Zitat:

CAB ist ein Archivformat. Es muss entpackt werden, und dann ausgeführt. Wenn du das nicht machst, und sonst keiner Zugriff auf dem Rechner hat, dann passiert nichts.

Als ich die Datei im temporären Ordner entdeckt habe, war sie ca. 1,5 Stunden auf meinem Rechner. Aber sie war halt immer noch diese als .exe-Datei getarnte .cab-Datei, also noch nicht entpackt. Kann ich also vorsichtig davon ausgehen, dass nicht weiter passiert ist?

Zitat:

2. Falls mir jemand über einen Port eine solche Datei schickt, heißt das, dass derjenige auch sonst ungehindert Zugriff auf meinen PC hat und die obige Datei evtl. auch von außen aktivieren kann? Ja.

Na super, aber wie soll das funktionieren. Wie gesagt, ich habe garantiert keinen aktiven Trojaner auf meinem Rechner. Einem PC etwas schicken und dann auch tatsächlich aktiv auf dem PC zuzugreifen und irgendwas aktivieren oder verstellen, sind meiner Meinung nach zwei verschiedene Paar Schuhe.

Das Problem ist aber: Irgendwann habe ich mir mal einen BackdoorTrojaner eingefangen. Hatte seitdem immer wieder kuriose Zugriffsversuche auf meinem PC feststellen müssen. Habe die Adressen in meiner Firewall gesehen. Diese waren ellenlang, high-rated und kamen aus Russland, Ukraine usw. Und das obwohl ich alles neu installiert hatte. Habe mir dann eine neue Festplatte gekauft, aber diese Zugriffe waren immer noch da und wieder hatte ich so eine "fna..."-Datei auf meinem Rechner. Mittlerweile habe ich einen neuen PC und weiß nicht mehr, was ich machen soll ,denn die Zugriffsversuche nehmen nicht ab.

Aber wie kann das sein? Wie gesagt, erst neu installiert, dann neue Festplatte und nun neuer PC, aber trotzdem kommen diese Zugriffsversuche und hin und wieder shcleust mir da jemand so einen Trojaner ein. Hat vielleicht jemand damals mittels des Trojaners alle meine IPs gespeichert ode rirgendwelche Merkmale meiner Windows-Version und erkennt immer ganz genau, wann ich online bin? Oder wie ist sowas sonst möglich?

Zitat:

Zitat von hanseman

Ich dachte mir, dass die Datei über den FTP-Port kam, weil ich genau zu dem Zeitpunkt als die Datei auf meinem Rechner erstellt wurde, mit meinem FTP-Programm "WS_FTP" Dateien zwischen meinem Rechner und meinem Webspace hoch und runter geladen habe, die allerdings alle vollkommen in Ordnung sind. Die Datei befan sich im temporären Ordner.

Die Datei wurde also erstellt, als du Online warst. Um nicht weiter rumraten zu müssen: Dein Betriebssystem ist auf aktuellem Stand?

Poste mal ein Hijackthis-Logfile (zur Sicherheit).

Zitat:

Na super, aber wie soll das funktionieren. Wie gesagt, ich habe garantiert keinen aktiven Trojaner auf meinem Rechner. Einem PC etwas schicken und dann auch tatsächlich aktiv auf dem PC zuzugreifen und irgendwas aktivieren oder verstellen, sind meiner Meinung nach zwei verschiedene Paar Schuhe.

Wenn jemand von außen Schreibrechte auf deinem PC hat, dann ist schon irgend was größeres im Argen.

Zitat:

Das Problem ist aber: Irgendwann habe ich mir mal einen BackdoorTrojaner eingefangen. Hatte seitdem immer wieder kuriose Zugriffsversuche auf meinem PC feststellen müssen. Habe die Adressen in meiner Firewall gesehen. Diese waren ellenlang, high-rated und kamen aus Russland, Ukraine usw. Und das obwohl ich alles neu installiert hatte. Habe mir dann eine neue Festplatte gekauft, aber diese Zugriffe waren immer noch da und wieder hatte ich so eine "fna..."-Datei auf meinem Rechner. Mittlerweile habe ich einen neuen PC und weiß nicht mehr, was ich machen soll ,denn die Zugriffsversuche nehmen nicht ab.

Du hattest den PC wirklich vor der ersten Onlineverbindung mit sämtlichen Patches abgesichert?

Zitat:

Aber wie kann das sein? Wie gesagt, erst neu installiert, dann neue Festplatte und nun neuer PC, aber trotzdem kommen diese Zugriffsversuche und hin und wieder shcleust mir da jemand so einen Trojaner ein. Hat vielleicht jemand damals mittels des Trojaners alle meine IPs gespeichert ode rirgendwelche Merkmale meiner Windows-Version und erkennt immer ganz genau, wann ich online bin? Oder wie ist sowas sonst möglich?

Poste das Logfile, und mach einen Scan mit eScan. Anleitung genau beachten: http://www.trojaner-board.com/showthread.php?t=17492

Gruß
Yopie

Ok, hier das Logfile. escan hat außer ein paar unwichtiger Errors nichts gefunden.



Logfile of HijackThis v1.99.1
Scan saved at 17:13:15, on 10.08.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\Explorer.EXE
C:\WINNT\system32\RunDll32.exe
C:\WINNT\System32\sistray.EXE
C:\WINNT\System32\keyhook.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Programme\OLYMPUS\CAMEDIA Master 4.1\CM_camera.exe
C:\Programme\Analog Devices\Teledat 300 USB Treiber\dslmon.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\unzipped\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page .....de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = .....de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\Ipswitch\WS_FTP Pro\wsbho2k0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiS Tray] C:\WINNT\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINNT\System32\keyhook.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: CAMEDIA Master.lnk = C:\Programme\OLYMPUS\CAMEDIA Master 4.1\CM_camera.exe
O4 - Global Startup: DSLMON.lnk = C:\Programme\Analog Devices\Teledat 300 USB Treiber\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O14 - IERESET.INF: START_PAGE_URL=.....de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - update.microsoft.com/microsoftupdate
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) update.microsoft.com/microsoftupdate
O17 - HKLM\System\CCS\Services\Tcpip\..\{6D31577F-556D-4353-9FF0-17C5D79C0401}: NameServer = 217.237.148.65 217.237.148.33
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

Zitat:

Wenn jemand von außen Schreibrechte auf deinem PC hat, dann ist schon irgend was größeres im Argen.

Naja, die Frage ist aber dann: Warum hat derjenige bisher nichts unternommen? Der Trojaner war ja ne Weile auf meinem PC und ohne weiteres zugreifen kann derjenige ja auch laut deiner Aussage.

Die .cab-Datei war aber noch in unentpacktem Zustand und auch sonst wurden keine Passwörter oder ähnliches geklaut oder verstellt. Ehrlich gesagt, ich werd' nicht schlau daraus.

Ich kann am Log nichts erkennen. Von daher noch mal die Frage:
Wie wurde der Trojaner genau bezeichnet, von welchem Programm wurde er so bezeichnet, wie hieß die Datei genau, und wo genau wurde sie gefunden?

Gruß
Yopie

Also, die Datei befand sich im temporären Ordner und war ca. 2,5 MB groß. Das Symbol der Datei war ein graues Quadrat mit 3 weißen Wellen drin, also ein Symbol wie man es beim InstallShield hat. War aber halt nur Tarnung.

Wenn man auf Eigenschaften ging, stand dort auch Macromedia-Anwendung, was aber natürlich nicht stimmte. Zudem stand, wie bereits erwähnt, ein blöder Kommentar dort: "Experience matters. I got you" oder so ähnlich. Im Eigenschaften-Fenster wurde das Ganze als .exe-Datei bezeichnet und der Name began mit M, msg oder mgs oder so ähnlich. Sorry, habe es leider nicht mehr im Kopf. Tatsächlich stand unter dem Datei-Symbol was man sieht "fna...". Nach dem "fna" kamen dann ein paar Zahlen 08088 oder so ähnlich, also "fna08088".

Das es ein Trojaner war, wußte ich sofort als ich diesen Namen "fna..." sah, da ich sowas schon mal hatte. Damals war es ein Backdoor-Trojaner. Als ich AntiVir über die vermeintliche .exe-Datei laufen ließ, stellte sich recht schnell heraus, dass es keine .exe-Datei war, sondern eine .cab-Datei in der sich noch 24 weitere Dateien befanden. AntiVir gab 24 Hinweise aus.