Hallo!

Gestern abend fing alles damit an, dass ich eine Email mit einem Virus befallenen Anhang bekam (benutze Thunderbird unter Windows XP und wollte den Anhang abspeichern, da er eigentlich nicht verdächtig war). AntiVir erkannten einen Virus oder Trojaner, den ich mir leider nicht notiert habe, irgendwas mit W97 glaub ich. Hab die Email gelöscht und dachte mir ich mach zur Sicherheit mal ein AntiVir Update und kompletten Systemcheck. Da wurde zu meinem Erschrecken der Trojaner Hupigon.KG.2 in zwei Dateien entdeckt. Eine Datei davon konnte ich erkennen und ich weiß, dass ich sie seit etwa einem Jahr auf dem PC habe, allerdings wurde bisher nie etwas gefunden. Also habe ich diese Dateien auch gelöscht und darauf wurde auch nichts mehr gefunden. Es hat mich schon ziemlich gewundert, dass auf einmal etwas in einer so alten Datei gefunden wurde und habe eigentlich schon fast mit einem Fehlalarm gerechnet.
Zur Sicherheit habe ich mir dann Scanmetender runtergeladen um einen Portscan zu machen und da kamen folgende offenen Ports:

TCP:
135 DCE endpoint resolution
445 MicrosoftpDS
1027 ICQ
1030 BBN IAD
18350
19989

UDP:

123 Network Time Protocol
445 MicrosoftpDS
500 isakmp
1025 network blackjack
1032 BBN IAD
1033 Netspy
4500 saepurn


Na schöne Scheisse. Hab eigentlich gedacht mein Computer wäre gut gesichert, aber so kann man sich täuschen. Lasse regelmäßig AntiVir und AdAware laufen, benutze ZoneAlarm und surfe mit Opera statt dem IE.

Nach meinen Recherchen scheinen die gefährlichsten Netspy und network blackjack zu sein. Was mich auch verwundert hat ist der Port 19989 zu dem ich keine Informationen gefunden habe. Auch dass Port 1027 geöffnet ist, obwohl ich kein ICQ verwende gibt mir zu denken. Der Port 18350 scheint von AntiVir verwendet zu werden und soll harmlos sein. Sind die anderen Ports irgendwie verdächtig?

Wie sollte ich jetzt weiter vorgehen? Woran erkenne ich, ob ich noch einen Trojaner auf meinem System habe oder nicht? Wonach sollte ich in der Registry suchen? (habe einige Einträge im Run Ordner, konnte aber nichts Verdächtiges finden). Wie schließe ich am einfachsten Ports? Mit dem Freeware ZoneAlarm geht’s nicht. Gibt’s da ein kleines, wenig Speicherfressendes Programm? Wie hoch schätzt ihr die Gefahr ein, dass jemand tatsächlich in meinen PC eingedrungen ist?

Schon mal vielen, vielen Dank im Voraus!

Zitat:

Zitat von htdl

Wie sollte ich jetzt weiter vorgehen? Woran erkenne ich, ob ich noch einen Trojaner auf meinem System habe oder nicht? Wonach sollte ich in der Registry suchen? (habe einige Einträge im Run Ordner, konnte aber nichts Verdächtiges finden). Wie schließe ich am einfachsten Ports? Mit dem Freeware ZoneAlarm geht’s nicht. Gibt’s da ein kleines, wenig Speicherfressendes Programm? Wie hoch schätzt ihr die Gefahr ein, dass jemand tatsächlich in meinen PC eingedrungen ist?

Hallo,

erstmal ganz langsam mit den "jungen" Pferden, und vor allem ruhig bleiben

1.) Wo hat dein Antivir den Trojaner gefunden? (genaue Verzeichnisangabe!)
2.) Sofern du nicht selbst alle Ports geschlossen hast, sollten die noch offenen Ports "normal" sein.
3.) Um die Frage mit der "EXTRA" Firewall zu beantworten, solltest du dir das hier durchlesen -> Windows absichern
(ich selbst nutze weder einen Antivirenscanner noch eine zusätzliche Firewall! ((abgesehen der von Windows XP!)
4. Scanne dein System mal mit eScan nach folgender Anleitung -> http://www.trojaner-board.de/showthread.php?t=24192

Gruß
Sunny

Danke für deine Antwort.

1) Die Trojaner die von AntiVir gefunden wurden sind bereits gelöscht, AntiVir findet jetzt nichts mehr.

2) Verstehe ich nicht ganz. Hab manuell keine Ports geschlossen, aber auch keine freigegeben. Mich wundert aber eben, dass es anscheinend einige geöffnete Ports gibt, die laut Scanmetender von Trojanern verwendet werden.

3) Hab ich einmal überflogen, schau es mir aber nochmal genau an. Danke für den Tipp.

4) Hier der wahrscheinlich interessante Bereich aus dem Logfile:

Sun Oct 01 16:37:19 2006 => Offending file found: C:\WINDOWS\gpinstall.exe
Sun Oct 01 16:37:19 2006 => System found infected with conducent flexpak Spyware/Adware (gpinstall.exe)! Action taken: No Action Taken.

Sun Oct 01 16:37:19 2006 => Offending file found: C:\WINDOWS\system32\whois.ocx
Sun Oct 01 16:37:19 2006 => System found infected with vx2 Spyware/Adware (whois.ocx)! Action taken: No Action Taken.

Sun Oct 01 16:37:33 2006 => Offending file found: C:\Dokumente und Einstellungen\***\Favoriten\ebay.url
Sun Oct 01 16:37:33 2006 => System found infected with ezula Spyware/Adware (ebay.url)! Action taken: No Action Taken.

Sun Oct 01 16:37:48 2006 => Offending file found: C:\WINDOWS\vb.ini
Sun Oct 01 16:37:48 2006 => System found infected with virusburst Trojan (C:\WINDOWS\vb.ini)! Action taken: No Action Taken.


Außerdem wurde viele "refers to invalid object" in der Registry gefunden. Aber das waren glaub ich größtenteil Überbleibsel von deinstallierten Programmen.

Bei den ersten drei Spyware Funden würde ich jetzt einfach mal die Dateien löschen. Ist das ok? Wie werde ich aber am besten den virusburst Trojaner los ohne mein System zu beschädigen? Bin jetzt paranoid und mag nicht irgendwo ein Tool zum Entfernen runterladen, das vielleicht wieder was neues raufspielt. Oder kennt jemand eine vertrauenswürdige Adresse?

Vielen Dank!


EDIT: Was mir noch einfällt: Ich hatte nie die Symptome von virusburst oder ezula auf meinem PC. Also von wegen Virus gefunden bitte Software kaufen oder Highlight Verlinkung zu Werbezwecken. Das wäre doch erstmal ein gutes Zeichen würde ich meinen... Nur dass sich immer mehr neue Trojaner/Viren/Spyware finden mit verschiedenen Programmen, macht mich zugegebenermaßen etwas nervös.

Zitat:

2) Verstehe ich nicht ganz. Hab manuell keine Ports geschlossen, aber auch keine freigegeben. Mich wundert aber eben, dass es anscheinend einige geöffnete Ports gibt, die laut Scanmetender von Trojanern verwendet werden.

Mit ZoneAlarm kannst Du keine Ports schließen, sondern höchstens nur den Zugriff auf offene Ports unterbunden/filtern. Wenn ein Schädling installiert wird, kann der bestimmte Ports öffnen (einen Netzwerkdienst für seine Zwecke einrichten) und vorher lokal laufende "Sicherheitsprogramme" wie Virenscanner oder PFW manipulieren oder gleich abschießen.
Besorg Dir auch mal tcpview und HijackThis und poste davon ein jew. das Logfile.

Ok, verstehe. Wie schließt man dann Ports überhaupt effektiv, wenn ein Virus oder Trojaner beliebige Ports eh wieder öffnen kann?

Hier auch das HijackThis Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 17:16:26, on 01.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\AvidSDMService.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\Programme\TOSHIBA\Accessibility\FnKeyHook.exe
C:\WINDOWS\system32\TCtrlIOHook.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\Programme\TOSHIBA\Tvs\TvsTray.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programme\TOSHIBA\ConfigFree\CFSServ.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programme\Apoint2K\Apntex.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\WINDOWS\system32\RAMASST.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Scanmetender[Soft]\Scanmetender Standard\candard.exe
C:\PROGRA~1\Opera\Opera.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\***\LOKALE~1\Temp\Rar$EX00.656\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [TOSHIBA Accessibility] C:\Programme\TOSHIBA\Accessibility\FnKeyHook.exe
O4 - HKLM\..\Run: [HWSetup] C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP
O4 - HKLM\..\Run: [SVPWUTIL] C:\Programme\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ScanmetenderStandard3] C:\Programme\Scanmetender[Soft]\Scanmetender Standard\candard.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - {8EE5046C-394B-4CB7-A3F8-253BE8BB60BD} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B82B4E4-3BA8-41FD-B019-7EF89B745B6F}: NameServer = 192.168.18.99
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Das Tcpview kommt auch gleich...

Zitat:

Ok, verstehe. Wie schließt man dann Ports überhaupt effektiv, wenn ein Virus oder Trojaner beliebige Ports eh wieder öffnen kann?

Also, Ports werden dann geöffnet, wenn ein Dienst gestartet wird, der eben gewisse Netzwerkdienste zur Verfügung stellt. Dazu muss er dann auf bestimmte Ports horchen und diese öffnen. Installierst Du Dir z.B. einen FTP-Server wird der idR auf Port 21 lauschen. Alle Ports schließt Du, indem Du alle Netzwerkdienste beendest. Firewalls/Paketfilter können wie eben schon erwähnt nur den Zugriff auf Ports verhindern.
Hier die Firewall-FAQ von Lutz Donnerhacke, ist wirklich lesenswert => http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html

Die Logfiles schau ich mir gleich mal an.

Zum Logfile:

Zitat:

O9 - Extra button: eBay - {8EE5046C-394B-4CB7-A3F8-253BE8BB60BD} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)

Der Eintrag sieht irgendwie komisch aus... Toshiba Ebay..
Kannst Die Datei C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe mal bei Jotti/Virustotal/Kaspersky auswerten lassen?

Hmm, Datei ist in der Warteschlange. Wird etwa 30min. dauern. Hab mir jetzt ehrlich gesagt nichts bei der Datei gedacht, da ich ein Toshiba Laptop habe...

Hier aber noch der tcpview report (kurz nach neustart, ohne hergestellte verbindung ins internet oder netzwerk):

avgnt.exe:2496 TCP pcname:1026 localhost:18350 ESTABLISHED
avguard.exe:1860 TCP pcname:18350 localhost:1026 ESTABLISHED
lsass.exe:856 UDP pcname:4500 *:*
lsass.exe:856 UDP pcname:isakmp *:*
spoolsv.exe:1656 UDP pcname:1025 *:*
svchost.exe:1116 UDP pcname:ntp *:*
svchost.exe:1368 UDP pcname:1900 *:*
System:4 TCP pcname:microsoft-ds pcname:0 LISTENING
System:4 UDP pcname:microsoft-ds *:*

Wie schaut das tcpview-Logfile bei hergestellter Internetverbindung aus?

So:

[System Process]:0 TCP pcname:1140 209.85.129.147:http TIME_WAIT
[System Process]:0 TCP pcname:1154 dd5628.kasserver.com:http TIME_WAIT
[System Process]:0 TCP pcname:1155 dd5628.kasserver.com:http TIME_WAIT
[System Process]:0 TCP pcname:1137 72.14.221.147:http TIME_WAIT
avgnt.exe:2496 TCP pcname:1026 localhost:18350 ESTABLISHED
avguard.exe:1860 TCP pcname:18350 localhost:1026 ESTABLISHED
lsass.exe:856 UDP pcname:isakmp *:*
lsass.exe:856 UDP pcname:4500 *:*
Opera.exe:3764 TCP pcname:1161 diamond.emeraldweb.us:http ESTABLISHED
spoolsv.exe:1656 UDP pcname:1025 *:*
svchost.exe:1116 UDP pcname:ntp *:*
svchost.exe:1116 UDP pcname:ntp *:*
svchost.exe:1180 UDP pcname:1038 *:*
svchost.exe:1180 UDP pcname:1106 *:*
svchost.exe:1368 UDP pcname:1900 *:*
svchost.exe:1368 UDP pcname:1900 *:*
System:4 TCP pcname:microsoft-ds pcname:0 LISTENING
System:4 TCP pcname:netbios-ssn pcname:0 LISTENING
System:4 UDP pcname:microsoft-ds *:*
System:4 UDP pcname:netbios-ns *:*
System:4 UDP pcname:netbios-dgm *:*

Das sieht soweit okay aus. Unnötige Dienste solltest Du aber besser abschalten. Schau Dich mal hier um.
Das Abschalten der Dienste bezieht sich aber ein Einzelplatz-PC mit Internetzugang, nicht für Windows-Rechner im LAN!

Die Toshiba Ebay Datei ist laut virustotal sauber.
Bei der vb.ini, die angeblich mit virusburst befallen ist, vermute ich fast einen Fehlalarm. Es gibt nämlich sonst keinerlei Hinweise auf diesen Trojaner...

Der Firewall FAQ ist interessant, wobei teilweise schon sehr zynisch geschrieben.

Danke für deine bisherige Hilfe cosinus!