Hallo,

gibt es einen Unterschied zwischen einem Backdoor und einem Trojaner? Habe jetzt schon öfter gelesen, dass man eigentlich am besten sein System formatiert und neu installiert, sobald man sich einen Backdoor gefangen hat. Mein Panda Antivir hat einen Trj/Harnig.BR Trojaner in c:\dokumente und einstellungen\mar....\lokale einstellungen\temp\a.exe gefunden. Die exe-Datei habe ich natürlich nicht ausgeführt. Bin mir nicht sicher, ob ich überhaupt infiziert bin, oder ob sich die exe-Datei irgendwie auf mein System gemogelt hat. Und ist denn jetzt ein Trojaner auch ein Backdoor? Da ich den Computer beruflich nutze, würde ich es wahrscheinlich vorziehen alles zu formatieren.

Vielen Dank für Eure Antworten - LAX SILVA

hi,

ein trojaner öffnet eine netzwerk-backdoor(hintertür) auf deinem computer über die er daten (zur systemmanipulation oder spionage)austauschen kann. wenn du einen trojaner auf deinem system findest dann bist du normalerweise auch infiziert , sollte sich der schädling jedoch problemlos entfernen lassen und die folgenden scans negativ ausfallen ,stehen die chancen gut dass keine weiteren schritte erforderlich sind.

am besten du lässt den scanner "hijackthis" HIER über deinen computer laufen ( option "do a system scan and save a logfile" ) und postest
das ergebnis hier - dann lässt sich der infektionsgrad einschätzen.

Vielen Dank für Deine Antwort. Hier kommt das Logfile. Was denkst Du denn? Wie gesagt nutze ich mein Notebook beruflich und habe große Angst irgendein Loch ins Netzwerk zu reißen, wenn ich mich dort wieder einlogge (momentan bin ich zu Hause und nicht im Büro) oder dass jemand mein Online-Banking ausspioniert. Ist die Kiste noch sicher, oder ist es wohl ratsam alles zu formatieren?

Vielen Dank

Logfile of HijackThis v1.99.1
Scan saved at 21:12:14, on 28.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\System32\cisvc.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\GEMEIN~1\MAYCOM~1\EDOCPR~1\eDoc.exe
C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\pavProxy.exe
C:\WINDOWS\system32\cidaemon.exe
C:\DOKUME~1\MARCOD~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.eventmanager.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [eDoc] C:\PROGRA~1\GEMEIN~1\MAYCOM~1\EDOCPR~1\eDoc.exe
O4 - HKLM\..\Run: [Samsung Common SM] "C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe" /autorun
O4 - HKLM\..\Run: [mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0374cb6de0eb9d3ee705/netzip/RdxIE601_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BF85D03F-53C3-4D68-ABCD-94AE58EA5B69}: NameServer = 192.168.0.250,195.202.33.68
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Programme\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Programme\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

habe gesehen dass du noch einen anderen thread offen hast , du also insgesamt mehr als nur den einen trojaner an bord hattest - oder ?

falls das nicht der fall ist sieht dein system nach dem logfile hier relativ sicher aus , zwar überladen , aber nachdem panda platinum läuft solltest du dich eigentlich auf die software verlassen können . die frage ist natürlich auch wodurch du dir den schädling überhaupt eingefangen hast , wenn es nur ein schlechter download war dann besteht eigentlich kein grund zur panik .
in jedem fall solltest du dein panda security suite immer auf dem neuesten stand halten und sooft wie möglich updaten , damit du dich auch darauf berufen kannst falls dir mal irgendetwas angelastet werden sollte

spybot-S&D hilft dir HIER noch zusätzlich spionagesoftware und andere schädlinge aufzuspüren und ist auf auch sehr empfehlenswert
schau dir ausserdem mal regseeker HIER ob du damit dein system wieder etwas aufräumen kannst.

wenn du auf nummer sicher gehen willst , und eine festplatten formatierung kein zu grosses opfer für dich wäre , dann bringt ein neu aufgesetztes system natürlich am meisten .

mfg

Ja stimmt,

ich hatte ursprünglich auch das Problem des "your computer is infected..." Popups in der taskleiste, das ich mir auf ner Seite geholt habe, auf der ich einen Patch gesucht habe, da ich ein Programm installiert hatte, das auf meinem System nicht lief. Das Problem habe ich aber durch eine einfache Systemwiederherstellung und anschließendem Virenscan in den Griff bekommen. Allerdings sprang dann plötzlich Panda an und sagte mir, dass in c:\dokumente und einstellungen\ma...\lokale einstellungen\temp\a.exe ein harnig.br Trojaner sitzt. Ich habe überhaupt keine Ahnung wo der herkommen kann, habe keine Anhänge geöffnet, war auf keinen komischen Seiten...? Kannst Du mir sagen, ob das jetzt so ein Backdoor-Teil ist?

Vielen Dank für Deine Mühe

Zitat:

Zitat von Administrator

ein trojaner öffnet eine netzwerk-backdoor(hintertür) auf deinem computer über die er daten (zur systemmanipulation oder spionage)austauschen kann.

Nein, der Begriff Trojaner (besser: trojanisches Pferd )hat erst mal gar nichts mit einem Backdoor-Server zu tun. Ein Trojaner ist Malware, die sich nicht selbstständig weiterverbreiten kann! Ein Trojaner könnte als Schadpotential auch einfach die Festplatte formatieren o.ä.

Nicht jeder Trojaner verfügt über Backdoorfunktionalität, nicht jede Malware, die über Backdoorfunktionalität verfügt ist ein Trojaner.

Zitat:

Zitat von Haui45

Nein, der Begriff Trojaner (besser: trojanisches Pferd )hat erst mal gar nichts mit einem Backdoor-Server zu tun. Ein Trojaner ist Malware, die sich nicht selbstständig weiterverbreiten kann! Ein Trojaner könnte als Schadpotential auch einfach die Festplatte formatieren o.ä.

Nicht jeder Trojaner verfügt über Backdoorfunktionalität, nicht jede Malware, die über Backdoorfunktionalität verfügt ist ein Trojaner.

totale haarspalterei , denn trojaner haben nunmal zu 99% eine backdoor-funktion (und für eine solche "fernsteuerung" sind sie auch konzipiert) , ausserdem irrst du dich gewaltig wenn du glaubst dass ein trojaner sich nicht selbständig verbreiten kann.
der begriff trojanisches pferd wurde aus der griechischen mythologie abgeleitet , weil damals odysseus durch die list mit einer pferdestatue aus holz und hohlraum ,in der sich krieger befanden welche die stadttore von innen öffnen konnten nachdem die statue einlass nach troja bekommen hatte , den weg für die eroberung der stadt ebnete.

viren sind hauptsächlich konzipiert autonom auf dem infiziertem system möglichst grossen schaden anzurichten (fesplatte formatieren etc) , während ein trojaner ferngesteuert oder vollautomatisch über das netzwerk (unbemerkt durch eine backdoor) meistens spionage- und manipulationsaufgaben ausführt , aber natürlich auch ein hohes schadenspotential haben kann.


@laxsilva such mal in deiner registry nach folgenden einträgen:

" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunServices
a = "a.exe" "

" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
a = "a.exe" "

und lass wie schon gesagt S&D deinen computer scannen

mfg

Bullshit - RTFM und das ganz noch mal.

Trojanisches Pferd, Virus und Wurm bezeichen einzig und allein die Verbreitungsart von Malware. Das hat nichts mit dem Schadpotential zu tun!
Ein trojanisches Pferd kann sich eben nicht selbstständig weiterverbreiten...

*EDIT*
Für alle die eine Grafik zum besseren Verständnis brauchen:

dein erster post war schon so konfus dass ich garnicht mehr näher darauf eingehen möchte , aber soviel noch :
1. is das ganze eine haarspalterei , denn viele trojaner verbreiten sich nunmal über viren und würmer bzw verbreiten sich im verbund . dass sich ein trojanisches pferd als eigenständiger code nicht selbstständig replizieren kann , lässt sich in jeder definition nachlesen.
2. DU hast doch mit schadenspotential "argumentiert" , genauso wie DU die
replikationsarten aufgegriffen hast.
3. du schreibst von theoretischen replikationsdefinitionen ich von praktischen,allgemeinen funktionsweisen.

mfg

Nein, du vergleichst hier Äpfel mit Birnen, wenn ich dich an dein Anfangsposting erinnern darf.

Zitat:

Zitat von *inistrator*

ein trojaner öffnet eine netzwerk-backdoor(hintertür) auf deinem computer über die er daten (zur systemmanipulation oder spionage)austauschen kann.

Das ist Schwachsinn. Diese Feststellung hat nichts mit Haarspalterei zu tun.

Zitat:

denn viele trojaner verbreiten sich nunmal über viren und würmer bzw verbreiten sich im verbund

Nein, die meisten Trojaner installiert sich der Anwender selbst (sei es durch Faul- oder Dummheit). Selbstverständlich kann andere aktive Malware auch Trojaner auf das System nachladen.

Zitat:

dass sich ein trojanisches pferd als eigenständiger code nicht selbstständig replizieren kann , lässt sich in jeder definition nachlesen.

Ich darf dich dazu kurz zitieren: ausserdem irrst du dich gewaltig wenn du glaubst dass ein trojaner sich nicht selbständig verbreiten kann.
Immerhin scheinst du jetzt wenigstens mal eine Definition gelesen zu haben, oder aber dir hat das Bild schon weitergeholfen.

Zitat:

2. DU hast doch mit schadenspotential "argumentiert" , genauso wie DU die
replikationsarten aufgegriffen hast.

Selbstverständlich, weil du es am Anfang durcheinandergebracht hast...

Zitat:

3. du schreibst von theoretischen replikationsdefinitionen ich von praktischen,allgemeinen funktionsweisen.

Du hast geschrieben, dass ein Trojaner eine Hintertür öffnet.
Nochmal: Es gibt sehr viele trojanische Pferde, die nicht über Backdoorfunktionalität verfügen, ob du es glaubst oder nicht...

@ *inistrator*
Was schreibst du nur für einen BILD-Mist. Trojaner (korrekt: Trojanisches Pferd) bezeichnet den Verbreitungsweg und nicht die Schadroutine oder das Gefahrenpotential.
Nur weil Computer-BILD & Co zu blöd oder zu faul sind oder es ihren Lesern nicht zutrauen wollen die Unterscheidung zu machen (und die eineinhalbte/zweite Trojaner-Generation gerne Backdorprogramme enthalten hat) ist es nicht das Selbe.
Backdoor != Trojaner
Weder IST ein Backdoorprogramm ein Trojaner, noch enthält ein Trojaner zwangsweise eine Backdoorprogramm.
Zu deiner Entschuldigung sei gesagt, dass mittlwerweile auch viele AV-Hersteller relativ wahllos aber modisch eine Malware als "Trojaner" bezeichnen, owohl jeder bei seinen Definitionen (die DAU aber selten liest) hier Trojaner richtig definiert, zumindest habe ich da noch keine falsche Definition gelesen. Diese Definitionen solltest du auch mal lesen.

@ all

kontroverse diskussionen beleben jedes board

aber bitte immer schön sachlich bleiben, sonst


GUA
(aus dem buch:"wer wird den gleich in die luft gehen")

um hier mal die ganze unlogik ein bischen zu entwirren :

im ersten post habe ich geschrieben,
"ein trojaner öffnet eine netzwerk-backdoor(hintertür) auf deinem computer über die er daten (zur systemmanipulation oder spionage)austauschen kann.",
um den zusammenhang zwischen trojaner und backdoor zu verdeutlichen.
wer sich die griechische mythologie über das trojanische pferd vor augen führt wird auch verstehen dass ein "echter" trojaner ("backdoor trojan") eben eine backdoor beinhaltet , um ein "netzwerktor" zum computer ,wie die griechen damals die tore von troja, von innen zu öffnen .

@haui
du schreibst mir darauf wirres zeug von einem backdoor-server , und
beschreibst den trojaner lediglich als "malware die sich nicht selbstständig verbreiten kann" - wahnsinnig aussagekräftig , vorallem im bezug auf die backdoor...
@shadow
ich habe nie behauptet dass ein trojaner=backdoor ist - wer lesen kann...
weiter schreibst du: "Trojaner (korrekt: Trojanisches Pferd) bezeichnet den Verbreitungsweg..."
deiner definition nach wären dann praktische alle softwareschädlinge trojaner,
weil sich diese unbemerkt in das system einschleichen .
verbreitungsweg != replikation

ihr solltet euch auf jedenfall auch mal ansehen was sophos(solltet ihr eigentlich kennen ) in seinen malwaredefinitionen ZWISCHEN den zeilen schreibt(nur bildchen anschauen oder texte überfliegen reicht halt oft nicht aus) :

"[spyware trojans] and [spyware worms] ARE trojans"
dass sich ein spyware wurm selbstständig verbreiten kann ,oder dass
ein spyware trojaner daten ausspioniert und austauscht ,
muss ich nicht extra erwähnen oder ? trotzdem werden beide unter dem oberbegriff TROJANER definiert...

wenn ich allgemein von einem TROJANER spreche sind eben auch die zugehörigen unterarten gemeint , ausserdem hätte laxsilva sicher nicht soviel mit dem begriff "backdoor spyware trojan" anfangen können


mfg

Leider widersprichst du dir von Zeit zu Zeit selbst.

Zitat:

um den zusammenhang zwischen trojaner und backdoor zu verdeutlichen.

Nochmal: da gibt es nicht zwangsläufig einen Zusammenhang.

Zitat:

@haui
du schreibst mir darauf wirres zeug von einem backdoor-server

Hier möchte ich dann doch gerne einhaken:
Was soll daran bitte "wirr" sein? Dass ein Backdoorprogramm aus Client und Server besteht? Dass ein Schädling, der sich auf dem PC eingenistet hat, den Server beinhaltet?

Zitat:

definierst einen trojaner lediglich als "malware die sich nicht selbstständig verbreiten kann" - wahnsinnig aussagekräftig , [...]

Das ist in der Tat äußerst aussagekräftig.


Zu deinem restlichen Geschreibsel:
Es ging hier um die Unterscheidung "Trojaner - Backdoor", nicht mehr und nicht weniger. Diese scheinst du (leider) nicht zu begreifen und das kostet mich Zeit - Zeit, die ich auch sinnvoll nutzen könnte.

Okay,

habe Spybot drüberlaufen lassen, dass folgendes Problem gefunden hat:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride!=dword:0

außerdem 4 Meldungen zum Realplayer.

"a.exe" ist in der Reg nicht zu finden.

Danke für eure Mühe...und Eure vielen Antworten