Hallo,
seit einigen Wochen quält mich der Gedanke, ich könnte mir einen Trojaner eingefangen haben.

Zur Zeit der möglichen Infektion (ca. 2 Monate her) hatte ich folgende Software-Konstellation.

Uralte Firewall (irgendwann mal alles schön eingestellt)
Windows 98, IE 5.5 ohne Patches, Norton Antivirus 2003 (Virenaktualisierung im Update).

Eines Tages, vor ca. 2 Monaten bemerkte ich, daß das Icon der Firewall an der Stelle der aktiven Task verschwunden war (nicht mehr aktiv war). Zu dieser Zeit reagierte mein PC schon ziemlich merkwürdig.

Programme die mit dem Internet Verbindung aufnehmen wollten (bekannte Software) reagierten ziemlich widerwillig, wenn ich sie mal nicht an das Internet lassen wollte.

Kurz:
Irgendwann stellte NAV beim Scannen einen BackdoorTrojan fest. Die Datei wurde in Quarantäne gesteckt und von mir gelöscht.

Wie kann ich prüfen, ob sich ein Trojaner im Bootsektor verfestigt hat?
Wie kann ich überhaupt ermitteln, WELCHER Trojaner mich befallen hat/hatte?

BackdoorTrojan ist wohl eher ein Sammelbegriff.
Zwar stellt NAV (auch mit Scan von der CD) nichts Absonderliches fest, doch traue ich dem Frieden nicht.

McAfee signalisiert mir, dass das Programm ccapp.exe (NAV, zuständig für das Scannen der E-Mails) seit dem letzten Kontakt mit dem Internet verändert wurde, es könnte von einem Trojaner befallen sein.

Verzeiht, wenn das hier Alles ein wenig wirr klingt. Es ist mein Erstkontakt mit einem Trojaner.

Ach ja,
inzwischen arbeite ich mit Mozilla als Internetzugangssoftware, McAfee als Firewall.NAV 2003 als Antivirensoftware.

Wie verschaffe ich mir die Gewissheit, dass der/die Trojaner nicht mehr auf dem PC ist/sind.
Wie kann ich prüfen, ob inzwischen Ports angreifbar/geöffnet ge/worden sind. McAfee hat mir während der Benutzung von Microsoft IE 5.5 als auch Mozilla PortScans aus dem Internet signalisiert.

Wenn ich auf den PC verzichten könnte, würde ich gern an diesem Befall lernen, um nicht wieder halbwissend im Dunkeln zu stehen, wenn es dann passiert. Aber leider brauche ich den PC dringend.

Diesen Text schrieb ich über einen anderen PC, sonst hätte es wohl schon einige Abstürze gegeben.

Vielen Dank
Peter

Willkommen im Forum, Peter.

Du kannst mal einen Online-Scan machen:
hxxp://de.trendmicro-europe.com/enterprise/products/housecall_launch.php

hxxp://check.lfd.niedersachsen.de/start.php hier kannst du überprüfen ob deine Ports geschlossen oder geöffnet sind.

Außerdem kannst du noch ein HijackThis-Log machen.
Links zu HijackThis-Download findest du überall im Forum.

Hi PeterPan,

willkommen an Board. [img]smile.gif[/img]

</font><blockquote>Zitat:</font><hr />Original erstellt von PeterPan:
Zur Zeit der möglichen Infektion (ca. 2 Monate her) hatte ich folgende Software-Konstellation.

Uralte Firewall (irgendwann mal alles schön eingestellt)
Windows 98, IE 5.5 ohne Patches, Norton Antivirus 2003 (Virenaktualisierung im Update).</font>[/QUOTE]IE 5.5 ohne Patches und Win98 wahrscheinlich ebenso? Da hättest Du Dir die Firewall (welche?) eigentlich auch sparen können. Mit NAV hast Du zwar ein AV-Programm, aber jedes AV-Programm hat Schwächen!

</font><blockquote>Zitat:</font><hr />Original erstellt von PeterPan:
Irgendwann stellte NAV beim Scannen einen BackdoorTrojan fest. Die Datei wurde in Quarantäne gesteckt und von mir gelöscht.</font>[/QUOTE]Wo genau wurde die Datei gefunden?

</font><blockquote>Zitat:</font><hr />Original erstellt von PeterPan:
Wie kann ich prüfen, ob sich ein Trojaner im Bootsektor verfestigt hat?
Wie kann ich überhaupt ermitteln, WELCHER Trojaner mich befallen hat/hatte?</font>[/QUOTE]Wenn Du den Trojaner gelöscht hast, wirst Du das wahrscheinlich nie mehr erfahren.
</font><blockquote>Zitat:</font><hr />Original erstellt von PeterPan:
McAfee signalisiert mir, dass das Programm ccapp.exe (NAV, zuständig für das Scannen der E-Mails) seit dem letzten Kontakt mit dem Internet verändert wurde, es könnte von einem Trojaner befallen sein.</font>[/QUOTE]Zwei Virenscanner gleichzeitig aktiv, oder für was ist hier McAfee zuständig?

</font><blockquote>Zitat:</font><hr />Original erstellt von PeterPan:
Ach ja,
inzwischen arbeite ich mit Mozilla als Internetzugangssoftware, McAfee als Firewall.NAV 2003 als Antivirensoftware.</font>[/QUOTE]Das erste ist schon mal gut.

</font><blockquote>Zitat:</font><hr />Original erstellt von PeterPan:
Wie verschaffe ich mir die Gewissheit, dass der/die Trojaner nicht mehr auf dem PC ist/sind.
Wie kann ich prüfen, ob inzwischen Ports angreifbar/geöffnet ge/worden sind. McAfee hat mir während der Benutzung von Microsoft IE 5.5 als auch Mozilla PortScans aus dem Internet signalisiert.</font>[/QUOTE]Portscans sind harmlos. Offene Ports kannst Du z.B. bei https://grc.com/x/ne.dll?bh0bkyd2 prüfen (vorher Firewall abschalten!), oder auch mit Tools wie TCPView.

</font><blockquote>Zitat:</font><hr />Original erstellt von PeterPan:
Wenn ich auf den PC verzichten könnte, würde ich gern an diesem Befall lernen, um nicht wieder halbwissend im Dunkeln zu stehen, wenn es dann passiert. Aber leider brauche ich den PC dringend.</font>[/QUOTE]Da Du nicht weißt, was mithilfe des Backdoors inzwischen alles mit Deinem PC angestellt wurde, solltest Du schnell Deine Daten sichern und danach neu formatieren und das System neu aufsetzen.

Siehe auch:
http://www.microsoft.com/technet/arc.../10imlaws.mspx

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

[ 10. April 2004, 17:45: Beitrag editiert von: Yopie ]

@Yopie
vielen Dank für Deine Worte.
Kurze Antwort.
C:\SHOWDOWN\UTILS\ANONIRC.EXE ist mit dem Virus Backdoor.Trojan infiziert.
Das hat mir der NAV beim Scannen gemeldet und den Virus in die Quarantäne geschickt.
McAfee benutze ich als Firewall, verträgt sich mit dem NAV.
Wie heißt dieser TRojaner genau und hinterläßt er einen Eintrag in der Registry, wenn er aktiv wurde? Wenn ja, wo?

Gruß Peter

Zwischenzeitlich hatte ich einige Systemabstürze, nach denen ich während des Wiederhochfahrens zum Warten aufgefordert wurde, da die Konfiguration angepaßt wurde?? Hmm, ich hatte aber nichts verändert... ergo änderte da Irgendwer :x ,.

Nun habe ich inzwischen die Daten- und Druckerfreigabe in der Systemsteuerung /Netzwerk komplett als Treiber entfernt. Und das hat mich vor weiterem Schaden wirklich gerettet.
Es wird kein Allheilmittel bleiben, aber es verzögert den Datenverlust und erschwert weitere Zugriffe (NetBios)Datei- und Druckerfreigaben sind zusätzlich für alle Adapter blockiert.

Da ich eine persönliche IP am Kabelmodem nutze, stehe ich mit "voller Breitseite im Angriff".
Ich habe es mir zur Gewohnheit gemacht, statt nur den Browser (Mozilla) auf offline zu stellen, das Kabel von der Netzkarte abzuziehen. Das ist eine etwas umständliche, aber kostengünstige und sichere Methode. Oder kennt jemand eine adäquate Hardware?

Gibt es hier schon eine Ecke, an der man sich (über) besonders widerwärtige IP's austauschen kann. Das Internet verliert sich mehr und mehr in Schleimbeuteln??
Peter