Hallo miteinander,

ich nutze seit geraumer Zeit das Remote-Programm VNC 4.1 mit dem ich z.B. wenn ich bei Verwandten bin auf meinen Rechner daheim zugreifen kann.
Bisher lief deshalb immer der VNC-Server im Hintergrund - auch wenn ich VNC in letzter Zeit so gut wie nie benutzt habe.

Als ich dann heute gerade mit meinem Sohn beschäftigt war habe ich eine sehr merkwürdige Beobachtung machen müssen, als sich plötzlich jemand auf meinem Rechner per VNC einwählte und ein Programm namens upd.exe ausführte. Es erschien die Windows-Explorer Sicherheitswarnung wegen unbekanntem Herausgeber, welche per VNC bestätigt wurde.
Da wurde ich dann aufmerksam und konnte VNC beenden ehe auch noch die Warnung von Norton Internet Security bestätigt werden konnte.
Ich habe dann 2 Prozesse namens upd[1].exe und upd[2].exe aus dem Task-Manager heraus abgeschossen und mir mein Verbindungsprotokoll von Norton Internet Security angeschaut.

Zitat:

22.07.2006 15:01:07,ALDI-NB(192.168.178.20),2151,gildor.lorien.fbi.ie(195.218.117.44),http(80),475,205,0:02:17.878,"Verbindung: gildor.lorien.fbi.ie(195.218.117.44): http(80) von ALDI-NB(192.168.178.20): 2151, 475 Bytes gesendet, 205 Bytes empfangen, Zeitdauer: 2:17.878"

....

22.07.2006 14:58:54,ALDI-NB(192.168.178.20),5900,84.196.38.133,1568,49,686,0:00:11.816,"Verbindung: 84.196.38.133: 1568 an ALDI-NB(192.168.178.20): 5900, 49 Bytes gesendet, 686 Bytes empfangen, Zeitdauer: 11.816"
22.07.2006 14:58:42,ALDI-NB(192.168.178.20),5900,84.196.38.133,1566,0,0,0:00:00.320,"Verbindung: 84.196.38.133: 1566 an ALDI-NB(192.168.178.20): 5900, 0 Bytes gesendet, 0 Bytes empfangen, Zeitdauer: 0.320"

So wie es scheint ist 84.196.38.133 wohl eine belgische IP und http://gildor.lorien.fbi.ie/ ein irischer Hundeclub. (192.168.178.20 ist mein PC hinter dem WLAN-Router)

In einem von mir zu dem Zeipunkt geöffnetem Word-Dokument habe ich dann auch noch die Zeile http:/195.218.117.44/upd.exe .
Ich habe mir anschließend dieses 10 KB große exe-File auch auf meine Festplatte gespeichert um eine Möglichkeit zu haben festzustellen zu lassen, was das Programm bezweckt/anrichtet.
Ich vermute es soll wohl Passworte ausspionieren - am besten wohl PIN's und TAN's vom Internetbanking.

Jedenfalls habe ich jetzt gewisse Bedenken, dass da doch noch was auf meinem Rechner zurückgeblieben ist. Den Webroot Spy Sweeper 5.0 habe ich mir inzwischen geladen und mal all meine Festplatten überprüfen lassen - außer Cockies hat das Programm nichts gefunden und Norton Antivirus hatte an dem von mir abgespeichertem File upd.exe auch nichts auszusetzen.

Nun meine Fragen an Euch ...
1) Ist einem von Euch schon bekannt, was die upd.exe bezweckt/anrichtet.

2) Wohin könnte ich dieses File gegebenenfalls schicken damit es analysiert werden kann?

3) Welche Programme kann ich benutzen um halbwegs sicher zu stellen, dass sich hier nicht noch bösartige Dinge im Hintergrund laufen/lauern ... z.B. vor meiner nächsten Benutzung des Internet-Banking.
Festplatte formatieren möchte ich da aber nicht höhren
Was würdet Ihr an meiner Stelle tun?

Beste Grüße
PerDan

P.S.:"Der VNC-Server ist jetzt bei mir selbstverständlich aus und auch der Port im Router gelöscht - wobei mir vollkommen unklar ist, wie da bei mir jemand per VNC draufgekommen ist - das Passwort kannte nur ich und habe ich keiner einzigen Person weitergegeben. ... oder war doch schon vor Wochen der Rechner meines Bruders verseucht als ich von Ihm aus bei mir zu Hause auf den PC per VNC drauf bin ???"

Datei mal überprüfen bei:
http://virusscan.jotti.org/
http://www.virustotal.com/en/indexf.html

Hallo ersteinmal,

wie das mit dem VNC zu Stande gekommen ist kann auch ich dir nicht sagen, da es dafür viele Möglichkeiten gibt..

Aber..

Zitat:

1) Ist einem von Euch schon bekannt, was die upd.exe bezweckt/anrichtet.

Die upd.exe steht mit mehreren Schädlingen in Verbindung:
*Troj/Flood-EF
*Troj/Delf-AJW
*Win32.Spabot.A

mindestens den Schaden von allen 3 aufgeführten Schädlingen, wäre in dieser Datei enthalten gewesen...

Zitat:

2) Wohin könnte ich dieses File gegebenenfalls schicken damit es analysiert werden kann?

Du kannst, sofern du die Datei noch hast, hier auswerten lassen, oder direkt an einen der Anti-Viren-Hersteller senden. (zumal bei der Auswertung sowieso "neue" Infektionen/Dateien an die Hersteller geschickt werden)

Zitat:

3) Welche Programme kann ich benutzen um halbwegs sicher zu stellen, dass sich hier nicht noch bösartige Dinge im Hintergrund laufen/lauern ... z.B. vor meiner nächsten Benutzung des Internet-Banking.

Da gibt es wiederum eine ganze Palette, das wichtigste aber in deinem Falle wäre ein HijackThis sowie den Scanner von F-Secure Blaccklight! Eine Anleitung zu HijackThis befindet sich in meiner Signatur...

Gruß
Daniel

Zitat:

Zitat von Shadow

http://www.virustotal.com/en/indexf.html

Zitat:

Complete scanning result of "upd.exe", received in VirusTotal at 07.23.2006, 00:55:41 (CET).


Antivirus Version Update Result
AntiVir 6.35.0.24 07.22.2006 no virus found
Authentium 4.93.8 07.21.2006 no virus found
Avast 4.7.844.0 07.21.2006 no virus found
AVG 386 07.21.2006 no virus found
BitDefender 7.2 07.22.2006 no virus found
CAT-QuickHeal 8.00 07.22.2006 no virus found
ClamAV devel-20060426 07.21.2006 no virus found
DrWeb 4.33 07.22.2006 Trojan.DownLoader.11046
eTrust-InoculateIT 23.72.75 07.21.2006 no virus found
eTrust-Vet 12.6.2305 07.21.2006 no virus found
Ewido 4.0 07.22.2006 no virus found
Fortinet 2.77.0.0 07.22.2006 no virus found
F-Prot 3.16f 07.21.2006 no virus found
F-Prot4 4.2.1.29 07.21.2006 no virus found
Ikarus 0.2.65.0 07.21.2006 no virus found
Kaspersky 4.0.2.24 07.23.2006 Trojan-Downloader.Win32.VB.ain
McAfee 4812 07.21.2006 no virus found
Microsoft 1.1508 07.23.2006 no virus found
NOD32v2 1.1674 07.22.2006 no virus found
Norman 5.90.23 07.21.2006 no virus found
Panda 9.0.0.4 07.22.2006 Suspicious file
Sophos 4.07.0 07.22.2006 no virus found
Symantec 8.0 07.22.2006 no virus found
TheHacker 5.9.8.179 07.21.2006 no virus found
UNA 1.83 07.21.2006 no virus found
VBA32 3.11.0 07.22.2006 no virus found
VirusBuster 4.3.7:9 07.22.2006 no virus found


Aditional Information
File size: 10480 bytes
MD5: 04f6794ffa61f7f0203e976b93ba85f0
SHA1: 89b665a0bfa5204b8910970dad02ad0298437bc1
packers: UPX

Danke für den klasse Tip!
Beste Grüße
PerDan

Hallo noch einmal,

nachdem Kaspersky über Nacht meine Festplatten untersucht hat und ausser der von mir selber zur "Beweissicherung" abgespeicherten upd.exe nichts weiter gefunden hat was mich unruhig stimmen sollte, bin ich nun doch relativ sicher, dass mein Norton Internet Security den Trojan Downloader noch rechtzeitig blocken konnte.

Wenn noch jemand weitere Tips hat - immer her damit

Beste Grüße
PerDan

Hi all,

Nachdem ich in letzter Zeit immer wieder mal "seltsame" Fenster auf den
PCs hatte, und ich irgendwann mal feststellen konnte, daß dies immer mit
einem aktiven VNC einhergeht, bin ich per google mal auf die Suche gegangen,
und hab diesen Thread gefunden.

Fakt ist: auf zwei Rechnern ist mir das ähnlich passiert.
Es kann aber keine Person dahinter stehen, da es sich jedesmal auf ein
Browserfenster und dem Download einer Datei "beschränkt". Inzw. hab
ich auch diese upd.exe und eine msconfig.exe. Antivir findet darin den
"W32/Parite"

So, nun aber zu meiner Frage / meinem Problem:
Wenn jemand das Passwort geknackt hätte, dann würde er doch
nicht nur den Browser öffnen und die Datei herunterladen. Dann würde
er doch bestimmt auch auch "Datei ausführen" klicken.
Drum vermute ich etwas anderes dahinter. Aber was?
Warum wurde die heruntergeladene Datei noch nie ausgeführt?

Inzw ist das bestimmt 7-8 mal, verteilt auf 2 PCs passiert.

Da es mir nicht besonders gefällt, daß irgendwer/-was auf meinem
Rechner rummacht, würde ich gerne wissen was dahinter steckt.

Hat jemand von euch ne Idee?

viele Grüße
Dazi

Hallo dazi,
bitte eröffne ein eigenes Thema.
Deine Frage wird sonst schnell übersehen.
PP