Ich habe vor einiger Zeit mit meinen Virenscannern eine backdoor Variante entdeckt und löschen lassen, nun habe ich mir die Kerio Firewall heruntergeladen, und es tauchte bei "niedriger" und bei "Intrusions hoher Priorität" backdoor auf.

Bei niedriger Priorität "BACKDOOR DeepThroat 3.1" und "BACKDOOR Matrix 2.0".

Bei hoher "BACKDOOR win-trin00 connection attempt" = attempted admin
und
"BACKDOOR TCPDUMP/PCAP trojan traffic" = trojan activity von http://hlug.fscker.com

(Seite hab ich kontrolliert, da wird man weitergeleitet zu einer Info bei welcher gesagt wird der Server wäre mit Trojanern infiziert und down.)

Nun habe ich die Frage, sind das einfache Internet-Angriffe ohne Bedeutung die von meiner Firewall abgefangen werden, oder vielleicht sogar auch ohne kein Problem sind, oder habe ich vielleicht noch immer einen Trojaner auf dem Rechner?

Wie gesagt, ich habe 3 Virenscanner (McAfee, Antivir, Adaware) und alles ist clean laut deren Diagnose.

Außerdem könnte ein Trojaner die process idle Funktion von MS XP nutzen? Wie merke ich was bei den idle Prozessen normal läuft und was nicht? Kann ich diese Funktion auch ändern/abschalten?

Mir ist, gerade im Zusammenhang mit Emule, wenn der PC idle war er regelmäßig abgestürzt bis vor kurzem...

Hoffentlich weiß jemand Rat...danke im Voraus!

P.S.: Ich habe versucht Kerio zu updaten, dann kommt, "Bei der Updateüberprüfung ist ein Fehler aufgetreten. Bitte versuchen sie es erneut."

Ist das normal, benutzt sonst noch jemand Kerio?

Bei Kerio gibt es Links zu den entsprechenden Vorfällen, etwa diesen für BACKDOOR:

http://www.whitehats.com/info/ids106

sowie:
http://www.whitehats.com/info/ids202

http://www.whitehats.com/info/ids/152

http://www.whitehats.com/info/ids/444

etc.

U.U. ist das ja nur ein ganz allgemeiner Versuch, aber gerade wegen der Probs die ich hatte, und weil mein Rechner auch mal mit BACKDOOR infiziert war würde ichs gerne genau wissen...

Auch wie ich die idle Fkt. konfigurieren könnte.

Zitat:

Zitat von Albino II.

Ich habe vor einiger Zeit mit meinen Virenscannern eine backdoor Variante entdeckt und löschen lassen, nun habe ich mir die Kerio Firewall heruntergeladen, und es tauchte bei "niedriger" und bei "Intrusions hoher Priorität" backdoor auf.

Bei niedriger Priorität "BACKDOOR DeepThroat 3.1" und "BACKDOOR Matrix 2.0".

Bei hoher "BACKDOOR win-trin00 connection attempt" = attempted admin
und
"BACKDOOR TCPDUMP/PCAP trojan traffic" = trojan activity von http://hlug.fscker.com

(Seite hab ich kontrolliert, da wird man weitergeleitet zu einer Info bei welcher gesagt wird der Server wäre mit Trojanern infiziert und down.)

Nun habe ich die Frage, sind das einfache Internet-Angriffe ohne Bedeutung die von meiner Firewall abgefangen werden, oder vielleicht sogar auch ohne kein Problem sind, oder habe ich vielleicht noch immer einen Trojaner auf dem Rechner?

Wie gesagt, ich habe 3 Virenscanner (McAfee, Antivir, Adaware) und alles ist clean laut deren Diagnose.

Außerdem könnte ein Trojaner die process idle Funktion von MS XP nutzen? Wie merke ich was bei den idle Prozessen normal läuft und was nicht? Kann ich diese Funktion auch ändern/abschalten?

Mir ist, gerade im Zusammenhang mit Emule, wenn der PC idle war er regelmäßig abgestürzt bis vor kurzem...

Hoffentlich weiß jemand Rat...danke im Voraus!

P.S.: Ich habe versucht Kerio zu updaten, dann kommt, "Bei der Updateüberprüfung ist ein Fehler aufgetreten. Bitte versuchen sie es erneut."

Ist das normal, benutzt sonst noch jemand Kerio?

***
Mache einen Portscann auf Deinem Rechner, dann checke die Ports mit infizierten Ports ( nach Trojan List ). Hole Dir PortBlocker ( kostenlos ) dann kannst Du ggf. Ports blocken und Dein Rechner ist "clean" for angriffen. Es bringt Dir aber nix, wenn Du 8432979748397849748974823978423 Viren scanner hast, manche Viren/ BackDoors lassen sich so in Deinem Rechner verpflanzen, daß Du keine Chance hast, über einen Viren/Trojanscanner diesen Infect zu löschen.
Glaube mir ruhig, ist so!

@AlbinoII
beireits bei einem Backdoor ist von Microsoft dringends empfohlen, das BS neu aufzusetzten - egal ob du eine DFW hast oder nicht. Mehr dazu: The Ten Immutable Laws of Security.
Bei zwei oder mehr Backdoors kommt etwas anderes, als format c:\ gar nicht infrage.
@ScannerzWorld-Hackerz
..schön wäre's, wenn du TOFU sowie TUFO in der Zukunft vermeidest.

wenn du das System wieder aller Vernunft erhalten willst
(sei es das noch Daten drauf sind die du sichern willst usw. usf.)

besorg dir nen Virenscanner
(nein nicht über deinen PC runterladen)
starte im abgesicherten Modus und scanne dann die komplette Kiste
und ALLE Dateien,ganz nett ist in dem Fall Kasperski oder GDATA AVK

aber nur mal angenommen ich würde mit Trojas rumspielen, dann
hättest du momentan nen rootkit drauf bei dem die Chancen das du es findest
und sauber aus dem System bekommst eher sehr gering sind ;-)

wenn du ihn los bist (oder besser sofort wenn ein sauberer Rechner greifbar ist)wechsle sämtliche Passworte etc. die du genutzt hast, geh davon aus das sie ein anderer auch kennt

Zitat:

Mache einen Portscann auf Deinem Rechner, dann checke die Ports mit infizierten Ports ( nach Trojan List ). Hole Dir PortBlocker ( kostenlos ) dann kannst Du ggf. Ports blocken und Dein Rechner ist "clean" for angriffen.

Wie kann ich das denn machen?

Bin eben ein Laie, sorry.

Zitat:

wenn du das System wieder aller Vernunft erhalten willst
(sei es das noch Daten drauf sind die du sichern willst usw. usf.)

Das ist eben das Problem, auf dem Rechner sind für mich so viele nützliche Daten, dass ich Format C gerne vermeiden möchte, hätte es sonst natürlich schon längst gemacht...

Kann ein backdoor auch so arbeiten, dass er bei mir als Windows Messenger erscheint? So nach dem Motto "Mess. will zu port X zugreifen blabla..." selbst wenn ich ihn eigentlich deaktiviert hatte?
Oder greift Mess auch dann noch zu wenn ich ausgestiegen bin, gibts da eine Grundregel?

Würdet ihr also alle sagen das mein Rechner, nachdem wie ich es oben beschrieben habe infiziert ist? Dass das nicht bloß Andockversuche waren sondern jemand erfolgreich an meinem Rechner rumwerkt?

Bitte gebt mir auch einen Tipp bezüglich der Überprüfung bzw. Änderung der idle Tasks.

MfG

Wie kann ich eigentlich alle Tasks aus meinem Taskmanager rüberkopieren damit sich die vielleicht mal jemand ansehen kann?

@AlbinoII

Schau mal hier ob der link dir weiterhilft: http://pestpatrol.com/pest_info/de/b...pthroat_31.asp

bzw. http://pestpatrol.com/pest_info/de/m/matrix_2_0.asp

dort sind beide Typen genau beschrieben!

Frage: Hast du denn seit jeher ein AV-Programm oder erst kürzlich gesaugt?

Deine Firewall hat einen Zugriff erkannt u. diesen blockiert, dass ist immer gut!

Grüße FER

Zitat:

Zitat von Albino II.

Wie kann ich eigentlich alle Tasks aus meinem Taskmanager rüberkopieren damit sich die vielleicht mal jemand ansehen kann?

Benutze einfach HiAjckThis
Der zeigt auch noch alle Starteinträge von Windows
http://www.trojaner-board.de/51130-a...ijackthis.html

Gruß paff

Zitat:

Zitat von FER

@AlbinoII

Schau mal hier ob der link dir weiterhilft: http://pestpatrol.com/pest_info/de/b...pthroat_31.asp

bzw. http://pestpatrol.com/pest_info/de/m/matrix_2_0.asp

dort sind beide Typen genau beschrieben!

Danke!

Zitat:

Frage: Hast du denn seit jeher ein AV-Programm oder erst kürzlich gesaugt?

McAfee hatte ich immer schon, Antivir und Adaware habe ich mir erst kürzlich geholt, genauso wie die Kerio Firewall.

Übrigens bei Pestscan hab ich auch getestet, es wurde nichts, außer ein bisschen Adware die ich größtenteils entfernte, entdeckt.

Auch der BACKDOOR wurde, glaube ich zumindest, von McAfee ziemlich schnell entdeckt, darum bin ich ja noch immer nicht mal sicher ob diese Angaben von Kerio auf einen Trojaner bei mir, oder nur auf einen üblichen I-net Andockversuch hindeuten...

Kann mir das jemand sagen?

Kann man hpztsb01.exe eigentlich als etwas unnötiges bzw. gefährliches ansehen, dass man löschen sollte?

Habe jetzt einen Hijack gemacht:
http://www.trojaner-board.de/showthr...newpost&t=6386

Zitat:

Zitat von Albino II.

Danke!
Auch der BACKDOOR wurde, glaube ich zumindest, von McAfee ziemlich schnell entdeckt, darum bin ich ja noch immer nicht mal sicher ob diese Angaben von Kerio auf einen Trojaner bei mir, oder nur auf einen üblichen I-net Andockversuch hindeuten...
Kann mir das jemand sagen?

@Albino

Man hilft immer gerne!
Der Backdoor wurde von McAffee erkannt, dass bestätigt auch dein Log - ist alles sauber.
Tatsache ist aber, dass du gut daran getan hast dir eine Firewall zu saugen! Deine Firewall hat einen unbefugten Zugriff erkannt u. blockiert.

Grüße FER

Auch wenn dir FER noch zehnmal zu deiner Firewall gratuliert: viel wichtiger als die Verhinderung eines Connectversuchs mit einem Trojaner, den du bereits auf deiner Festplatte hast, ist es, alles dafür zu tun, dass du dir ein solches Programm gar nicht erst oder wieder einfängst. Dann brauchst du nämlich auch keine Firewall mehr, die dich evtl. in falscher Sicherheit wiegt. Auch 10 zusätzliche Programme helfen nichts, wenn DU die Lücken für die Trojaner durch dein Surfverhalten und die Einstellungen deines Systems selbst bereitstellst. Hast du keinen Trojaner drauf, kann man von Außen scannen und versuchen zu connecten wie man will und da deiner Aussage nach der Trojaner bereits vor diesem Vorfall entfernt wurde, ist der Block dieses "Zugriffs" durch Kerio faktisch sinnlos und nichts, wofür du eine Firewall gebraucht hättest oder was deren Installation so toll machen würde.

Besser wäre eine komplette Neuinstallation und danach die Einhaltung folgender Regeln:

1. Windowsupdate regelmäßig in kurzen Abständen
2. IE (außer für das Update) und Outlook durch Alternativprogramme ersetzen, die sicherer sind und diese dann auch entsprechend konfigurieren (Java-Script deaktivieren beispielsweise oder nur dann einschalten, wenn die Seite absolut vertrauenswürdig ist)
3. Gehirn benutzen (besonders beim Surfen auf Seiten fragwürdigen Inhalts und beim Umgang mit mails)
4. Unnötige Windowsdienste deaktivieren (siehe u.a. www.dingens.org)

Und ein bißchen informieren, u.a. auf diesen Seiten hier. Viel (Software) hilft viel, ist nicht unbedignt das beste Sicherheitskonzept.

Zitat:

Zitat von MountainKing

Besser wäre eine komplette Neuinstallation und danach die Einhaltung folgender Regeln:

Ich weiß das so ein Andockversuch nur funzt wenn ich einen Trojaner on board habe. Aber komplette Neuinstallation ist halt auch kompletter Datenverlust, da ich diese Datenmengen nicht sichern kann. Alleine schon pdf-files habe ich zu viele um sie zu sichern...
(hab leider auch keinen Brenner...)

Zitat:

1. Windowsupdate regelmäßig in kurzen Abständen

Die Standardupdates die man mit dem update link kriegt hab ich immer praktisch gleich installiert.

Zitat:

2. IE (außer für das Update) und Outlook durch Alternativprogramme ersetzen, die sicherer sind und diese dann auch entsprechend konfigurieren (Java-Script deaktivieren beispielsweise oder nur dann einschalten, wenn die Seite absolut vertrauenswürdig ist)

Das hab ich mir schon überlegt, aber für einen Standard User wie mich ist das wohl erst der 2. Schritt.
Schon mit einer Firewall kann ich auf einige Seiten schwerer oder erst wenn ich sie abschalte zugreifen (etwa Onlinebibliothekskataloge), da wären die Einschränkungen natürlich groß.
Mir haben mal Leute gesagt, dass die Alternativprogramme eigentlich nicht sicherer sind, sondern bloß weniger Leute versuchen sie zu hacken, wegen der geringeren Verbreitung.
Was natürlich trotzdem ein Argument bleibt, auch wenn, sollte sich jemand die Mühe machen, manche Alternativprogramme vielleicht sogar noch leichter zu knacken sind.

Zitat:

3. Gehirn benutzen (besonders beim Surfen auf Seiten fragwürdigen Inhalts und beim Umgang mit mails)

Bei mails und D/L hab ich eigentlich immer aufgepaßt, bei fragwürdigen Seiten halt leider nicht immer.

Zitat:

4. Unnötige Windowsdienste deaktivieren (siehe u.a. www.dingens.org)

Danke, werd ich gleich machen.

Zitat:

Und ein bißchen informieren, u.a. auf diesen Seiten hier. Viel (Software) hilft viel, ist nicht unbedignt das beste Sicherheitskonzept.

Ich weiß, obwohl ich schon Malware mit dem 4 Programm entdeckt habe, nachdem 3 nichts fanden.

Vielen Dank für die Relativierung, Du hast natürlich recht, bloß manche Dinge sind einfach ziemlich aufwendig bzw. man kommt nicht gleich drauf.
Glaub aber das die Hinweise für alle nützlich sind...

MfG