hallo,

eigentlich für mich peinlich das ich hier um rat suche da ich mich beruflich selber um den kram kümmere und immer den kopf schüttel wenn ein kunde nen virus auf dem pc hat

mein pc ist eigentlich 24/7 an. gestern nacht komme ich nach hause - mache den monitor an und sehe im browser ein neues fenster und einen beendeten download.
datei ist eine upd.exe mit 12kb von http://195.218.117.44/ (ne irische webby)
die datei wurde auf dem desktop gepspeichert.

zugang zu meinem pc habe nur ich und meine family (die aber nicht dran war)

naja mal den virenscanner laufen lassen ob der was findet - fehlanzeige.

so und als ich abends am pc war ist es passiert. das vnc icon ändert sich wie als ob jemand auf den pc zugreift, in opera geht ne neue seite mit der selben ip auf und die selbe upd.exe wird wieder auf dem desktop gepspeichert. danach wurde die verbindung von vnc wieder gekappt und es war wieder ruhig

ok das kam mir jetzt wirklich spanisch vor. also vnc pass geändert aber sonst war alles ok an meinem system.

der virenscanner hatte jetzt auch einen trojaner prozess gefunden.

naja das wurde gefixt und ich hab gedacht das wärs dann.

heute morgen gings weiter. vnc (mit neuem pass) wurde aktiv und eine sp12.exe wurde wieder von derselben ip gespeichert und die verbindung wieder gekappt. (die maus hat sich nie bewegt. entweder ist es ein nebeneffekt das vnc denkt es wäre jemand auf meinem rechner oder was anderes spinnt)

ich hab jetzt erstmal den vnc dienst beendet.

das komische ist halt ich finde nichts ungewöhnliches auf meinem system
ich zweifle mittlerweile an mir selber da ich wiw gesagt nix finde - ist schon deprimierend =(

mein system:
browser opera vers 9.0
windows xp sp2 inkl der neusten win updates
virenscanner symantec corporate edition in vers 10.x
internet zugang über einen win2k server mit avm ken.
der standard vnc port wird auf meinen pc direkt weitergeleitet und ist von aussen her zugänglich.
vnc version ist realvnc 4

maßnahmen bisher:
virenscan durchlaufen lassen - hat einen w32.spybot.worm gefunden in c:/windows/lsass.exe + einen kritischen prozess - beides gefixt
sypbot durchlaufen lassen - nix gefunden
hijackthis laufen lassen - keine prozesse die nicht passen
vnc pass geändert

ich hab die datein mal analysiert..
die upd.exe (12kb) ist: Trojan-Downloader.Win32.VB.ain
die sp12.exe (knapp 1mb) ist:Fortinet 2.77.0.0 07.22.2006 suspicious
die anderen finden nix :/

laut virustotal.com

Hallo,
erstmal solltest du den PC wenn möglich vom Netz trennen. Ich denke das das ganze über eine Lücke von VNC gekommen ist, benutzt du die aktuelleste Version des Programms?
Ein Ansatz wäre z.B. diese Meldung.
Ich kann ja davon ausgehen das alle MS Patches eingespielt sind, oder?



Grüße Wildone

yep wie oben geschrieben sind alle win updates drinne.

der virenscanner hat mittlerweile wieder den w32.spybot gefunden
konnte alle von ihm betroffene dienste/dateien fixen

danke für den link.

dann werd ich mal vnc auf von 4.0 auf 4.2.4 updaten

Hallo,
achso, damit wir uns nicht falsch verstehen, wenn Backdoors am Werk sind (bei dir der Fall) sollte das System neu aufgesetzt, oder ein altes Image eingespielt werden. Bei dem neuen System solltest du dann nur noch die neuste Version von VNC laufen lassen, gerade bei so sensibler Software wie Fernwartung sollte grundsätzlich auf Aktualität geachtet werden.


Grüße Wildone

bei kunden wo ich vnc oder remotedesktop benutze läuft alles sowieso über vpn

daheim der bequemlichkeit halber und wegen der flexibilität weil man nicht überall einen vpn client hat, dafür aber meist vnc oder java für vnc, kein vpn