Zitat:

[...]und wohl schon Teil eines Botnetzes

ACK
DIROTE.EXE (566,784 Bytes) - this file is a modified mIRC application which compromises the current system. E.g., It can transform the current system into a file server to enable remote users to connect to it.

Die Edith: Quelle vergessen

Zitat:

Zitat von BataAlexander

ACK
DIROTE.EXE (566,784 Bytes) - this file is a modified mIRC application which compromises the current system. E.g., It can transform the current system into a file server to enable remote users to connect to it.

Wusst' ich's doch!

Vielen Dank für Eure Antworten.
Ein HJT Log kann ich derzeit nicht liefern, weil mir gerade das VNC hängengeblieben ist. Das passiert manchmal. Meine Mutter kann ich um diese Zeit auch nicht mehr anrufen, um den Rechner neu zu starten.

Aber mal 'ne Verständnisfrage.

Zitat:

Zitat von cosinus

...
Die Kiste ist längst von anderen unter Kontrolle und wohl schon Teil eines Botnetzes. Wahrscheinlich kippt sie die Leitung dicht mit Spammails, wenn sie online ist.
...

Der Rechner befindet sich ja hinter einem Router. UPnP ist aus, es gibt keine Portweiterleitungen. Das VNC läuft über OpenVPN mit einer 1024Bit Verschlüsselung. Auch kann ich (zumindest jetzt im Augenblick) keine verdächtigen Netzwerkaktivitäten feststellen.
Ich würde gern verstehen, wie die "Kontrolle" der "anderen" technisch ausshen könnte.


Was mich auch noch interessieren würde.
Sind die aufgelisteten Trojaner irgendwie bekannt dafür, dass sie Browserfenster mit Werbeseiten öffnen? Das war ja das Problem, dass mich dazu veranlasst hatte, das System zu scannen.

Zitat:

Der Rechner befindet sich ja hinter einem Router. UPnP ist aus, es gibt keine Portweiterleitungen. Das VNC läuft über OpenVPN mit einer 1024Bit Verschlüsselung. Auch kann ich (zumindest jetzt im Augenblick) keine verdächtigen Netzwerkaktivitäten feststellen.
Ich würde gern verstehen, wie die "Kontrolle" der "anderen" technisch ausshen könnte.

Das bedeutet nur, dass sich über VNC wohl kein Unbefugter so einfach reinhacken kann geschweige den Traffic (dank verschlüsselung) mitsniffen kann. Ändert aber nichts an der Kompromittierung, der Router wird evtl. andere Zugriffe blocken, oder aber auch nicht?
Und wenn nicht, spamt die Kiste dennoch in die Welt. Abgesehen davon, dass nun die Kiste vollends nicht mehr vertrauenswürdig ist, jede auf ihr verarbeitete Datei (zumindest ausführbar) kann irgendwas mitschleppen.
Mit diesem Zustand tust du deiner Mutti nichts Gutes...

Zitat:

Sind die aufgelisteten Trojaner irgendwie bekannt dafür, dass sie Browserfenster mit Werbeseiten öffnen? Das war ja das Problem, dass mich dazu veranlasst hatte, das System zu scannen.

Also die Browserfenster mit Werbeseiten sind absolut zweitrangig bei diesem Befall.
Und selbst wenn's andere malware wäre, ändert das nichts an den Hintertüren im System.

Zitat:

Zitat von cosinus

...
Also die Browserfenster mit Werbeseiten sind absolut zweitrangig bei diesem Befall.
Und selbst wenn's andere malware wäre, ändert das nichts an den Hintertüren im System.

Das versteh' ich schon. Ich frage nur, weil mir aufgefallen war, dass nachdem ich Antivir durchlaufen lassen hatte und bevor sich VNC verabschiedet hatte, zumindest keine Browserfenster mehr aufgegangen waren.

Dass das System nicht mehr vertrauenswürdig ist, ist mir bewusst.
Allerdings kann ich den Rechner frühestens in vier Wochen neu installieren und an's Netz muss er in dieser Zeit auch.

Ob der tatsächlich soviel spammt, kann man wohl nur durch längere Beobachtung des Netzwerkverkehrs feststellen. Im Augenblick (innerhalb der letzten dreiviertel Stunde) geht jedenfalls nichts raus.

Zitat:

Ob der tatsächlich soviel spammt, kann man wohl nur durch längere Beobachtung des Netzwerkverkehrs feststellen. Im Augenblick (innerhalb der letzten dreiviertel Stunde) geht jedenfalls nichts raus.

Ihr habt da rüber absolut keine Kontrolle mehr was raus geht - es muss nicht nur Spam sein. Ihr tut euch damit keinen Gefallen, mit diesem System in diesem Zustand online zu gehen. Eure Zugangsdaten etc. konnten schon ausgespäht worden sein.

Zitat:

und an's Netz muss er in dieser Zeit auch.

Was genau wird denn online benötigt? Notfalls tut es ein Knoppix um zu surfen und zu mailen, aber das kompromittierte Windows solltet ihr nicht mehr ins Internet lassen.

Zitat:

Zitat von cosinus

Ihr habt da rüber absolut keine Kontrolle mehr was raus geht - es muss nicht nur Spam sein. Ihr tut euch damit keinen Gefallen, mit diesem System in diesem Zustand online zu gehen.
...

Das ist mir grundsätzlich bewusst. Allerdings kann ich das im Augenblick leider nicht ändern - so Leid mir das selbst tut.
Vielleicht lass ich mal ganztags einen Netzwerksniffer mitlaufen. Das Problem dabei ist natürlich die Menge der Daten ;(.

Zitat:

Zitat von cosinus

...
Eure Zugangsdaten etc. konnten schon ausgespäht worden sein.
...

Guter Hinweis. Um die Internet Zugangsdaten mach ich mir eigentlich weniger Sorgen, da die nur auf dem Router liegen und den halte ich (zumindest im Augenblick) noch für sicher. Ist 'ne Fritzbox mit einer modifizierten Firmware (ein Linux System). Aber die Emailzugangsdaten sollte ich wohl ändern.

Zitat:

Zitat von cosinus

...
Was genau wird denn online benötigt? Notfalls tut es ein Knoppix um zu surfen und zu mailen, aber das kompromittierte Windows solltet ihr nicht mehr ins Internet lassen.

Ich stimme Dir grundsätzlich zu. Allerdings ist meine Mutter (67) da chancenlos. Meine Mutter hat ein kleines Gästehaus und muss die gesamte Buchungsabwicklung, Angebote, Freimeldungen etc. Online erledigen.

Zitat:

Meine Mutter hat ein kleines Gästehaus und muss die gesamte Buchungsabwicklung, Angebote, Freimeldungen etc. Online erledigen.

So Leid es mir tut, aber da bewegt sie sich nicht mehr im privaten Bereich. Für alles andere wird auch ein Techniker herbestellt (Klempner, Maler etc.) - warum keinen PC-Notdienst?

einfach das verseuchte System wissend weiterlaufen zu lassen ist absolut verantwortungslos...