|
Sowas habe ich noch nicht erlebt ! Hallo, habe folgendes Problem: Hatte mir vor einer Weile einen fiesen Trojaner eingefangen "heuristik/trojan.keylogger" meldete AniVir. Habe dann an verschiedenen Orten Dateien ala "fna1040.bin" oder "fna1256.cab" usw. gefunden. Habe alles versucht, aber der Trojaner kam immer wieder. AntiVir fand den Trojaner an sich zwar nicht mehr wieder, aber diese "fna sonstwas"-Dateien tauchten immer wieder auf. Auch ein Neuaufsetzen hat nix gebracht. Da ich sowieso vorhatte mir eine neue Festplatte zu kaufen, habe ich das dann auch getan. Und jetzt ratet was ? Obwohl ich eine niegelnagelneue Festplatte im PC habe und nach dem Widows-Update usw. bisher nur aus 2-3 Seiten war (absolute seriöse, allen gut bekannte Seiten) hatte ich nach superkurzer Zeit wieder diese Dateien auf der Platte. Ich habe auch in meiner FireWall (ZoneAlarm) komische "Attacken" beobachten können, von absolut kuriosen und teilweise ellenlangen Absenderadressen, hauptsächlich an die Ports 135-139, 445 und 1026-1027. Habe online einige Tests auf einschlägigen Seiten gemacht, die mir jedoch bestätigten, dass meine Ports "stealth" seien bzw. keine Gefahr besteht. Die Datein sind 100% Teil eines Trojaners, da ich sie vom ersten Auftauchen von eben diesem her noch kenne. Im Internet habe ich auch viele Infos gefunden, die bestätigen, dass diese "fna..."-Dateien zu Trojanern gehören. Daher habe ich jetzt 2 Fragen: 1. Wie kann irgendein Mensch (Hacker?) immer wieder diese Dateien auf meinen Rechner bringen, obwohl alles gelöscht wurde, eine neue Festplatte gekauft und keine unseriösen Seiten besucht wurden ? 2. Wie schließe ich die oben genannten Ports unter Windows 2000 ? Welche sollten sonst noch geschlossen werden ? Wäre für jede Hilfe dankbar ! |
Mache mal das: http://www.trojaner-board.de/showthread.php?t=17493 Zitat:
|
Waren vor der ersten Online-Verbindung sämtliche Patches installiert? Bzgl. Ports schließen: http://ntsvcfg.de Gruß :daumenhoc Yopie |
Danke für die Antworten. HijackThis habe ich benutzt, da wird aber nix gefunden. Beim allerersten Onlinegehen mit der neuen Festplatte bin ich sofort auf die Microsoft-Seite und habe da alles nötige installiert. AntiVir und ZoneAlarm hatte ich aber schon vorher draufgemacht. Ich habe gerade gesehen, dass diese "fna..."-Datei auch vorhin erst erstellt wurde. Wie kann sowas sein ? Kann mir jemand sowas nur anhand meiner IP auf meinen PC packen ? |
Zitat:
Du musst vor der ersten Verbindung die Patches und Service-Packs installieren. Also mit einem sauberen Rechner vorher runterladen und auf CD brennen, z.B. die Update-Packs von Winboard.org . Ich vermute einen stinknormalen Netzwerkwurm. Poste mal das HJT-Logfile, und führe außerdem http://www.trojaner-board.com/showthread.php?t=17492 durch, und poste die Funde. Gruß :daumenhoc Yopie |
Escan meldet nur eine "Alexa"-Spyware, die am IE hängt. Die scheint von Microsoft zu sein, weil die auch immer sofort nach der Installation von Windows schon mit drauf ist. Ansonsten nur 2 Error von PhotoshopElements. Das war's, nix besonderes. Unten das Logfile von HijackThis. Danke für die Mühe ! P.S.: Das mit dem Portschließen auf der angegebenen Seite habe ich irgendwie nicht verstanden. Gibt es irgendeine einfache Möglichkeit, wie man in Windows die Ports schließt ? Und wie beende ich den Client für Microsoft-Netzwerke sowie die Datei- und Druckerfreigabe ? Logfile of HijackThis v1.99.1 Scan saved at 20:30:05, on 27.05.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\System32\nvsvc32.exe C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\ZoneLabs\vsmon.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\RunDll32.exe C:\Programme\QuickTime\qttask.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\system32\internat.exe C:\Programme\OLYMPUS\CAMEDIA Master 4.1\CM_camera.exe C:\Programme\Analog Devices\Teledat 300 USB Treiber\dslmon.exe C:\Programme\WinZip\WZQKPICK.EXE C:\WINNT\system32\wuauclt.exe C:\Programme\SpywareBlaster\spywareblaster.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\PROGRA~1\ICQ\ICQ.exe C:\unzipped\hijackthis_199\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\Ipswitch\WS_FTP Pro\wsbho2k0.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: CAMEDIA Master.lnk = C:\Programme\OLYMPUS\CAMEDIA Master 4.1\CM_camera.exe O4 - Global Startup: DSLMON.lnk = C:\Programme\Analog Devices\Teledat 300 USB Treiber\dslmon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{1493855B-988E-4EDC-80EC-9FA8EF0B57A9}: NameServer = 217.237.148.65 217.237.148.33 O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe |
Zitat:
Zitat:
http://dingens.org Gruß :daumenhoc Yopie |
Heftige Attacken auf Ports wie 135, 445 oder 1026/27 kommen übrigens hauptsächlich von den vier Adressen: 1. 80.119.244.125 (Sent from TCP port 4316; Source DNS 127.244.119-80.rev.gaoland.net 2. 222.208.168.158 (Sent from UDP port 46351Source DNS unknown) 3. 61.152.198.79 (Sent from UDP port 48481; Source DNS unknown) 4. 80.118.247.52 (Sent from TCP port 2391, Source DNS 52-247-118-80.kaptech.net) |
Zitat:
Gruß :daumenhoc Yopie |
@ Yopie, escan habe ich sofort nach dem Entdecken der kuriosen Datei durchgeführt (im abgesicherten Modus). Hat rund 1 Stunde gedauert, aber halt nix Besonderes gefunden. Was sagst du zum oberen Logfile ? Sieht eigentlich ok aus, oder ? Das Problem ist halt, dass diese "fna..." eine .bin Datei war und von keinem Virenprogramm erkannt wird. Auf meiner alten Festplatte war auch noch ne größere .cab-Datei, in der AntiVir den Trojaner dann erkannt hat. Diese fette .cab-Datei scheint man mir aber wohl anscheinend nicht einfach so "schicken" zu können (bis jetzt jedenfalls nicht, toi, toi, toi), trotzdem hat mich diese komische Datei und die ständigen "Attacken", die ich über ZoneAlarm von diesen komischen Adressen beobachte, beunruhigt. |
Wie siehts denn aus mit der genauen Meldung von Antivir? Antivir neigt übrigens auch so hin- und wieder zu Fehlalarmen. Gruß :daumenhoc Yopie |
AntiVir hat ja in diesem Fall nichts gemeldet, weil es sich um eine .bin-Datei handelte. Ich kannte die Datei jedoch von dem Trojaner, den ich auf der alten Festplatte hatte. Nur war auf dieser halt zusätzlich noch eine ca. 6,5 MB große .cab-Datei, diese war auf meiner neuen Festplatte jedoch nicht drauf. Deshalb auch keine Meldung von AntiVir. Habe die .bin-Datei einfach gelöscht und seitdem ist sie weg, aber wie gesagt, weiß ich nicht, wann die wiederkommt, da ich bei ZoneAlarm teils kuriose "Anfragen" an meine Ports beobachte. Die Ports habe ich nun jedoch alle geschlossen. Was ich noch wissen müsste: Wie beende ich den Client für Microsoft-Netzwerke, die Systemwiederherstellung und die Datei- und Druckerfreigabe in Windows 2000? Danke ! P.S.: Ist das Logfile ok ? |
Habe jetzt gerade erst den Ereignisdienst von Windows entdeckt und Beunruhigendes gefunden. Immer nach meiner Einwahl (bevor ich alle Ports geschlossen habe) steht folgende Meldung: "Warnung! Die IP der Netzwerkkarte wurde automatisch durch diesen Computer konfiguriert. Die verwendete IP-Adresse ist ... ... ... ..." Habe recherchiert und herausgefunden, dass die IP jemandem in den USA gehört. Was soll ich davon halten ? |
Haaaalllloooooooo ???!!! |
Zitat:
Ich könnte mir vorstellen, dass du 'ne unentdeckte Malware noch hast. Mach bitte noch Folgendes: 1.Systemwiederherstellung abschalten 2. Dieses Bereinigungsprogramm hilft dir, den ganzen Müll aus den Temp-Ordner und Papierkorb zu entfernen. 3. Infected-Ordner des Antivirus-Programms, ggf. auch von Spybot Search & Destroy, Ad-Aware usw. leeren. Der Name des Ordners sowie Pfad sind Programm- und Benutzerabhängig. Bitte RTFM zum AV-Programm. Bei einigen Programmen (z. B. AVPE) ist diese Option nicht im Programm integriert. In dem Fall soll dies manuell erfolgen. 4. eScan genau nach Anleitung (bitte ausdrucken und aufmerksam lesen) im abgesicherten Modus laufen lassen. Log hier Posten. Oder, wenn du nicht viel Zeit hast - Tabula rasa und neu aufsetzen. Ergebnis wird bestimmt besser. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:56 Uhr. |
Copyright ©2000-2025, Trojaner-Board