Hallo Leute,

ich bin ein Medizinmann und Enthüllungsautor
(vgl.www.Transanimal-Edition.de) und habe dem-
zufolge zahlreiche Feinde.

Seit Weihnachten letzten Jahres bin ich gerade-
zu von einer Herde Trojanischer Pferde umgeben.

An meinem bis dahin ungeschützten Internet-und
E-mail-PC hing auf einmal an Weihnachtskarten
die gleiche Dia-Show. (Ein gefährlicher Spaß-
vogel)

Da auch noch einige andere Auffälligkeiten vor-
lagen, lud ich AntiVir9 und Trojancheck (ältere
Version)und wurde gleich fündig:

"The setup files are corrupted. Please obtain
a new copy of the program."
und
W32 Bugbear

Nach der Plattmache ging es in Folge unter
Norton Antivirus 2003 und Trojancheck (neue
Version) weiter:

"Ein Remote-System versucht auf touchkml.exe
auf Ihren PC zuzugreifen."

Backdoor SubSeven
Standard NetBus
W32SobigA@mm.enc
Standard NetMonitor blockieren

"Merkmale eines Invalid Source Adress-Angriffs
aufweisen."

"Änderungen an den Autostarteinträgen von
Windows festgetellt."

"Windows hat eine Sicherheitslücke festgestellt."

Obwohl ich für meine Manuskripte und anderen
Texte seit Sommer letzten Jahres einen vom
Netz getrennten PC unterhalte, kann ich die
Kennwörter für Bank und Internetpräsenz sowie
meinen E-mailverkher mit den gesamten Kunden-
dateien nicht meinen Gegnern ausliefern.

Von AntiVir, Norton und Trojancheck bekam ich
auf Anfragen keine Antwort. In Karlsruhe finde
ich keine Fachleute.

Was kann ich tun? Wer kann mir helfen?
Wie finde ich bereits eingedrungene und
noch unentdeckte Trojaner?

Freundlichen Gruß
KDK

Zuerst wäre es einmal interessant zu wissen, welches Betriebssystem Du verwendest? Außerdem würde ich NAV 2003 deinstallieren oder völlig (!) deaktivieren und eine Testversion von Kaspersky Anti Virus installieren. Dabei würde ich auf jeden Fall bei Windows XP die Version 4, bei anderen Betriebssystem die Version 3.5 nehmen. Du solltest nach der Installation das Programm updaten und Dein System scannen. Außerdem solltest Du darauf achten, daß Du die aktuellen Servicepacks und/oder Patches Deines Betriebssystems installiert hast. Danach melde Dich noch einmal hier.

Bei dir handelt es sich anscheindend um eine Mischung aus Virenbefall und Panikmache durch die installierte Firewall. Jedenfalls sprechen einige der Meldungen von Norton dafür, daß du auch die Firewall von dieser Firma instaliert hast(oder ein ähnliches Produkt) und die meldet zuviel. So werden hier als Grundrauschen des Netztes benannte Pings, die verschiedenste Ursachen haben können, direkt als Angriffe/Infektionen verschiedener Trojaner gemeldet. Das ist Mumpitz und führt zu Panikmache! Diese Pings bekommt jeder, der sich mit dem Netz verbindet und sie sind ungefährlich, wenn dein Computer sicher ist und kein Program auf diese Pings reagiert.
Du solltest dein Windows updaten. Mit dem Internetexplorer auf www.windowsupdate.com und dort weiter.
Danach dann mit dem eben ewähnten KAV mal den Computer scannen.
Und Tips und Ratschläge bei Virenbefall von Trojaner-Info lesen.
Para

[ 24. Februar 2003, 12:16: Beitrag editiert von: Paranoia ]

Hallo!

</font><blockquote>Zitat:</font><hr />Original erstellt von K. D. Kammerer:
"The setup files are corrupted. Please obtain
a new copy of the program."</font>[/QUOTE]Dieses Problem weist nicht wirklich zuerst auf eine Malware hin - einfach noch einmal downloaden hätte sicher Abhilfe geschaffen.

</font><blockquote>Zitat:</font><hr />und
W32 Bugbear</font>[/QUOTE]War dieser aktiv auf dem System, als Du AntiVir installieren wolltest? Ist jednefalls ein Mailwurm mit Trojanerkomponente. Du nutzt sicher Outlook / Outlook Express. Mich interessiert die genaue Version (schau dazu bitte mal im Internet Explorer im Menü &gt;? &gt;Info &gt;Version und Updateversionen nach!).

</font><blockquote>Zitat:</font><hr />Nach der Plattmache ging es in Folge unter
Norton Antivirus 2003 und Trojancheck (neue
Version) weiter:</font>[/QUOTE]Norton Antivirus ist bezüglich eines guten Trojanerschutzes eher ungeeignet.

</font><blockquote>Zitat:</font><hr />"Ein Remote-System versucht auf touchkml.exe
auf Ihren PC zuzugreifen."</font>[/QUOTE]Das ist die Komponente der T-Online eMail-Software. Hm, hast Du also offensichtlich kein Outlook in Verwendung? Dann erfolgte die BugBear-Infektion nicht automatisch, sondern dadurch, dass Du diesen Mailwurm, der als Anhang in einer eMail daherkam, selbst installiert hast. Du solltest bei eMails zukünftig vorsichtiger sein, und nicht jeden Dateianhang einfach blindlings öffnen!

</font><blockquote>Zitat:</font><hr />Backdoor SubSeven
Standard NetBus</font>[/QUOTE]Hast Du auch NPF, also Norton Personal Firewall installiert? Diese sorgt für derartige Meldungen, die jedoch in aller Regel keinen Trojanerbefall bedeuten. Hier wird nur aufgrund von Standardregeln einem Protscan von extern ein bestimmter Trojaner zugeordnet, und dies dann als geblockter "Angriffs-" / "Zugriffsversuch" deklariert. Das bedeutet jedoch keine Infektion.

Tipp: Sichere Dein System wie bereits empfohlen ab - NPF an sich ist nur Ballast und verunsichert den User (-&gt; deinstallieren).

</font><blockquote>Zitat:</font><hr />W32SobigA@mm.enc</font>[/QUOTE]Ein weiterer Mailwurm, nichts Ungewöhnliches also.

</font><blockquote>Zitat:</font><hr />Standard NetMonitor blockieren
"Merkmale eines Invalid Source Adress-Angriffs
aufweisen." </font>[/QUOTE]Wieder solche Meldungen der Pseudo-Firewall NPF.

</font><blockquote>Zitat:</font><hr />"Änderungen an den Autostarteinträgen von
Windows festgetellt."</font>[/QUOTE]Meldung von Trojanercheck 6? Änderungen an den Autostarteinträgen sind ja generell erstmal nichts Ungewöhnliches - es käme jetzt im Detail darauf an, was genau geändert wurde.

</font><blockquote>Zitat:</font><hr />"Windows hat eine Sicherheitslücke festgestellt."</font>[/QUOTE]Das ist der Windwos Nachrichtendienst, bzw. Spam, den Du über diesen erhältst. Beende ihn wie folgt:
http://trojaner-info.de/nachrichtendienst/index.html

Installiere Dir zudem XP Antispy.

</font><blockquote>Zitat:</font><hr />Was kann ich tun? Wer kann mir helfen?</font>[/QUOTE]1.) System, wie bereits empfohlen, durch Updates (Windowsupdate) auf den neuesten Stand bringen.
2.) Besonnener Umgang mit Dateien, die Du zugeschickt bekommt oder downloadest. Ausführbare Dateien in eMails z.B. sollten alle Alarmglocken läuten lassen.
3.) NAV / NPF deinstallieren, und NAV durch Kaspersky ersetzen.

</font><blockquote>Zitat:</font><hr />Wie finde ich bereits eingedrungene und
noch unentdeckte Trojaner?</font>[/QUOTE]1.) Poste hier mal einen Report von Trojancheck 6. Nenne zudem alle laufenden Prozesse.
2.) Mit Hilfe von Kaspersky.
Edit: Nutze diese Seite zum Download der Testversion, da die Version, welche Du dort bekommst, auch für 30 Tage updatefähig, und somit auch signaturenmäßig auf den neuesten Stand zu bringen ist. Derzeit ist auch bei datsec noch das Update-Pack 5 aufgeführt, solltest Du dann zusätzlich und zwar gleich im Anschluss ohne dazwischenliegenden Neustart installieren.

[ 24. Februar 2003, 12:48: Beitrag editiert von: mmk ]

Hallo ihr drei Freaks,

zunächst vielen Dank für die Infos.

Ich habe soeben bei Datsec den Kaspersky fest
bestellt und werde so swie vorgeschlagen verfah-ren.

Ich haben einen Siemens Pentium IV mit Windows
XP Homwe Edition und einen Siemens Pentium Pro
mit Windows 95.

Ich benutze Outlook nicht. Der BugBear saß be-
reits im System bei der Erkennung und hatte ein
Dutzend Dateien infiziert.

Firewall ist von Norton 2003 installiert.

Während Norton auch für einen Nichtfachmann
gut zu verstehen ist, habe ich die Anwendung
von Trojancheck nicht richtig verstanden und
bin nicht sicher, ob er richtig eingestellt
ist.

Seine Meldungen lauteten:
Trojancheck hat Änderungen an den Autostartein-
trägen von Windows festgetellt.
Desktop ini
C:\Propramm\Gemeinsame Dateien\Micro...
C:\Prgrogramm\Icrosoft Office 10\OSA
oder
CC Reg Vfy
CC Reg vfy
C:\Programme\Gemeinsame dateien\Syma...

Mir geht es - um das nochmals zu sagen - nicht
um die blockierten Zugriffe, sondern um even-
tuell bestehende heimliche und unerkannte Inva-
sionen, aufgrund derer Daten übermittelt wer-
den könnten.

Die anderen Trojaner wurden angeblich bei Zu-
griffsversuchen abgewehrt und blockiert.

Gerade weil ich die Trojaner-Infos gelesen habe,
bin ich beunruhigt, weil von unerkannten Troja-
nern die Rede ist, die heimlich mitlaufen und
Daten übermitteln.

Ich kann nicht die Adressen meiner Leser und
Kunden sowie Kennwörter für Internetpräsenz
usw. in die Hände Dritter fallen lassen.

Freundliche Grüße

K. D. Kammerer

</font><blockquote>Zitat:</font><hr />Original erstellt von K. D. Kammerer:
...
Firewall ist von Norton 2003 installiert.
...</font>[/QUOTE]ist, wie oben schon von mmk erwähnt, ein plazebo.

du denkst, das du sicher bist, bist es aber nicht...

als beispiel hier ein paar threads:
[1] http://www.trojaner-board.de/forum/u...c;f=6;t=003888
[2] http://www.trojaner-board.de/forum/u...c;f=6;t=003843

</font><blockquote>Zitat:</font><hr />...
Die anderen Trojaner wurden angeblich bei Zu-
griffsversuchen abgewehrt und blockiert.
...[QB]</font>[/QUOTE]sollte kaspersky keine weiteren finden, dann sind das meistens portscan - sprich das, was in [2] gemeint ist...

</font><blockquote>Zitat:</font><hr />[QB]...
Gerade weil ich die Trojaner-Infos gelesen habe,
bin ich beunruhigt, weil von unerkannten Troja-
nern die Rede ist, die heimlich mitlaufen und
Daten übermitteln.
...</font>[/QUOTE]du hast allen grund, beunruhigt zu sein...

lies dir die analyse von bugbear durch:
http://www.sophos.de/virusinfo/analy...2bugbeara.html

vor allem der abschnitt
</font><blockquote>Zitat:</font><hr />...
W32/Bugbear-A öffnet außerdem Port 36794 und sendet eine Benachrichtigungs-E-Mail über SMTP an eine externe Adresse, die vertrauliche Daten über den Computer des Opfers, wie z. B. Benutzername und Kennwort, enthält.
...</font>[/QUOTE]WAS alles übertragen wurde, kann AFAIK nicht nachvollzogen werden, da der wurm ja seine eigenen mailroutinen mitbringt...

[img]graemlins/teufel3.gif[/img]

</font><blockquote>Zitat:</font><hr />Während Norton auch für einen Nichtfachmann
gut zu verstehen ist, habe ich die Anwendung
von Trojancheck nicht richtig verstanden und
bin nicht sicher, ob er richtig eingestellt
ist.</font>[/QUOTE]zu Trojancheck.6.02

Programme werden prinzipiell über Einträge in der Registry bei Systemstart (so dementsprechend eingestellt) gestartet.
Diese Einträge werden bei einer Programminstallation oder -konfiguration erstellt.
Auch Trojanerserver müssen sich, um ihre Aufgabe erfüllen zu können, in irgendeiner Form starten. Sie müssen sich also in die entsprechenden Registry-Schlüssel eintragen.

TrojanCheck überwacht die aktuelle Registry-Einstellungen und meldet es, wenn in den einschlägigen Schlüsseln der Registry neue Einträge erstellt werden sollen und warnt somit auch vor Trojanern.
Sollten also plötzlich Veränderungen in der Autostart-Sektion der Registry gemeldet werden, ohne dass man eine bestehende Anwendung hinsichtlich des Startverhaltens neu konfiguriert oder ein neues Programm installiert hat, ist dies natürlich erst einmal suspekt!

Darüber hinaus starten sich einige Programme bei Systemstart (z.B. Kaspersky Antivirus unter WinXP) über den "Common Startup", d.h. sie erstellen eine Verknüpfung im Autostartordner (Bei WinXP: Explorer: All Users/Programme/Startmenue/Autostart).
Die so gestarteten Programme werden nicht von TrojanCheck angezeigt.

Alle Programme, die bei dem Systemstart mitgeladen werden, findet man bei WinXP hier:
Start/Ausführen/, dann Eingabe: msconfig, bestätigen, /Systemkonfigurationsprogramm, Reiter: Systemstart.

Man kann sich auch bei der Installation von gewollten Programmen, quasi "huckepack", einen Trojanerserver mit installieren.
Programme aus dubiosen Quellen (File Sharing, "Cracks" vom Kollegen etc.) können zusätzlich zur gewollten Anwendung auch einen Trojanerserver enthalten.
In dem Glauben, die von TrojanCheck gemeldeten Änderungen in der Registry seien legitim, läßt man diese vielleicht erst mal zu und installiert so den Trojanerserver.

Um dies wenigstens nachträglich zu bemerken, gerade auch, wenn man nachträglich Grund zum Mißtrauen haben sollte, empfiehlt es sich, zusätzlich zur Nutzung von TrojanCheck, auch die Einträge im Systemstart mittels "msconfig" im Auge zu behalten...

Zur Handhabung von TrojanCheck:

TrojanCheck fragt bei Anwendungen, die sich in einen Autostartbereich der Registry eintragen wollen, ob man diese Eintragung zulassen will.
Dies lässt man bei der nunmehr "aufpoppenden" Dialogbox zu oder lehnt es ab.
Damit ist der eigentliche Eintrag eines Programms in der Registry erledigt.

Die bei geöffneten TrojanCheck im Berich "Autostarts" angezeigten Smilies dokumentieren lediglich, ob der entsprechende Registry-Eintrag bereits in der Datenbank von TrojanCheck erfasst war.
Neue Einträge sind mit einem blauen Smilie unterlegt und werden durch Markierung und Anklicken von "In Datenbank" in die TrojanCheck-Datenbank als legitime Anwendung eingetragen.

Die Entfernung einer Anwendung aus der Datenbank und der anschließenden Löschung aus der Registry erfolgt durch Markieren des etablierten Eintrages mit gelbem Smilie, Anklicken von "Aus Datenbank" und der Bestätigung der Nachfrage von TrojanCheck, ob man der Löschung des entsprechenden Registry-Eintrages zustimmt.

Ich hoffe, dass diese Erläuterungen einigermaßen verständlich sind.
Gruß
Der Hirsch

[ 26. Februar 2003, 04:26: Beitrag editiert von: Der Hirsch ]