|
Verschiedene Trojaner und Ports. Bitte um Hilfe. Hallo! Gestern abend fing alles damit an, dass ich eine Email mit einem Virus befallenen Anhang bekam (benutze Thunderbird unter Windows XP und wollte den Anhang abspeichern, da er eigentlich nicht verdächtig war). AntiVir erkannten einen Virus oder Trojaner, den ich mir leider nicht notiert habe, irgendwas mit W97 glaub ich. Hab die Email gelöscht und dachte mir ich mach zur Sicherheit mal ein AntiVir Update und kompletten Systemcheck. Da wurde zu meinem Erschrecken der Trojaner Hupigon.KG.2 in zwei Dateien entdeckt. Eine Datei davon konnte ich erkennen und ich weiß, dass ich sie seit etwa einem Jahr auf dem PC habe, allerdings wurde bisher nie etwas gefunden. Also habe ich diese Dateien auch gelöscht und darauf wurde auch nichts mehr gefunden. Es hat mich schon ziemlich gewundert, dass auf einmal etwas in einer so alten Datei gefunden wurde und habe eigentlich schon fast mit einem Fehlalarm gerechnet. Zur Sicherheit habe ich mir dann Scanmetender runtergeladen um einen Portscan zu machen und da kamen folgende offenen Ports: TCP: 135 DCE endpoint resolution 445 MicrosoftpDS 1027 ICQ 1030 BBN IAD 18350 19989 UDP: 123 Network Time Protocol 445 MicrosoftpDS 500 isakmp 1025 network blackjack 1032 BBN IAD 1033 Netspy 4500 saepurn Na schöne Scheisse. Hab eigentlich gedacht mein Computer wäre gut gesichert, aber so kann man sich täuschen. Lasse regelmäßig AntiVir und AdAware laufen, benutze ZoneAlarm und surfe mit Opera statt dem IE. Nach meinen Recherchen scheinen die gefährlichsten Netspy und network blackjack zu sein. Was mich auch verwundert hat ist der Port 19989 zu dem ich keine Informationen gefunden habe. Auch dass Port 1027 geöffnet ist, obwohl ich kein ICQ verwende gibt mir zu denken. Der Port 18350 scheint von AntiVir verwendet zu werden und soll harmlos sein. Sind die anderen Ports irgendwie verdächtig? Wie sollte ich jetzt weiter vorgehen? Woran erkenne ich, ob ich noch einen Trojaner auf meinem System habe oder nicht? Wonach sollte ich in der Registry suchen? (habe einige Einträge im Run Ordner, konnte aber nichts Verdächtiges finden). Wie schließe ich am einfachsten Ports? Mit dem Freeware ZoneAlarm geht’s nicht. Gibt’s da ein kleines, wenig Speicherfressendes Programm? Wie hoch schätzt ihr die Gefahr ein, dass jemand tatsächlich in meinen PC eingedrungen ist? Schon mal vielen, vielen Dank im Voraus! |
Zitat:
erstmal ganz langsam mit den "jungen" Pferden, und vor allem ruhig bleiben ;) 1.) Wo hat dein Antivir den Trojaner gefunden? (genaue Verzeichnisangabe!) 2.) Sofern du nicht selbst alle Ports geschlossen hast, sollten die noch offenen Ports "normal" sein. 3.) Um die Frage mit der "EXTRA" Firewall zu beantworten, solltest du dir das hier durchlesen -> Windows absichern (ich selbst nutze weder einen Antivirenscanner noch eine zusätzliche Firewall! ((abgesehen der von Windows XP!) 4. Scanne dein System mal mit eScan nach folgender Anleitung -> http://www.trojaner-board.de/showthread.php?t=24192 Gruß Sunny |
Danke für deine Antwort. 1) Die Trojaner die von AntiVir gefunden wurden sind bereits gelöscht, AntiVir findet jetzt nichts mehr. 2) Verstehe ich nicht ganz. Hab manuell keine Ports geschlossen, aber auch keine freigegeben. Mich wundert aber eben, dass es anscheinend einige geöffnete Ports gibt, die laut Scanmetender von Trojanern verwendet werden. 3) Hab ich einmal überflogen, schau es mir aber nochmal genau an. Danke für den Tipp. 4) Hier der wahrscheinlich interessante Bereich aus dem Logfile: Sun Oct 01 16:37:19 2006 => Offending file found: C:\WINDOWS\gpinstall.exe Sun Oct 01 16:37:19 2006 => System found infected with conducent flexpak Spyware/Adware (gpinstall.exe)! Action taken: No Action Taken. Sun Oct 01 16:37:19 2006 => Offending file found: C:\WINDOWS\system32\whois.ocx Sun Oct 01 16:37:19 2006 => System found infected with vx2 Spyware/Adware (whois.ocx)! Action taken: No Action Taken. Sun Oct 01 16:37:33 2006 => Offending file found: C:\Dokumente und Einstellungen\***\Favoriten\ebay.url Sun Oct 01 16:37:33 2006 => System found infected with ezula Spyware/Adware (ebay.url)! Action taken: No Action Taken. Sun Oct 01 16:37:48 2006 => Offending file found: C:\WINDOWS\vb.ini Sun Oct 01 16:37:48 2006 => System found infected with virusburst Trojan (C:\WINDOWS\vb.ini)! Action taken: No Action Taken. Außerdem wurde viele "refers to invalid object" in der Registry gefunden. Aber das waren glaub ich größtenteil Überbleibsel von deinstallierten Programmen. Bei den ersten drei Spyware Funden würde ich jetzt einfach mal die Dateien löschen. Ist das ok? Wie werde ich aber am besten den virusburst Trojaner los ohne mein System zu beschädigen? Bin jetzt paranoid und mag nicht irgendwo ein Tool zum Entfernen runterladen, das vielleicht wieder was neues raufspielt. Oder kennt jemand eine vertrauenswürdige Adresse? Vielen Dank! EDIT: Was mir noch einfällt: Ich hatte nie die Symptome von virusburst oder ezula auf meinem PC. Also von wegen Virus gefunden bitte Software kaufen oder Highlight Verlinkung zu Werbezwecken. Das wäre doch erstmal ein gutes Zeichen würde ich meinen... Nur dass sich immer mehr neue Trojaner/Viren/Spyware finden mit verschiedenen Programmen, macht mich zugegebenermaßen etwas nervös. |
Zitat:
Besorg Dir auch mal tcpview und Hijackthis und poste davon ein jew. das Logfile. |
Ok, verstehe. Wie schließt man dann Ports überhaupt effektiv, wenn ein Virus oder Trojaner beliebige Ports eh wieder öffnen kann? Hier auch das Hijackthis Logfile: Logfile of HijackThis v1.99.1 Scan saved at 17:16:26, on 01.10.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\brss01a.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\AvidSDMService.exe C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe C:\WINDOWS\system32\DVDRAMSV.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe C:\Programme\Apoint2K\Apoint.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\TOSHIBA\E-KEY\CeEKey.exe C:\Programme\TOSHIBA\TouchPad\TPTray.exe C:\Programme\TOSHIBA\Accessibility\FnKeyHook.exe C:\WINDOWS\system32\TCtrlIOHook.exe C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe C:\Programme\TOSHIBA\Tvs\TvsTray.exe C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe C:\Programme\TOSHIBA\ConfigFree\CFSServ.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\D-Tools\daemon.exe C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe C:\Programme\Apoint2K\Apntex.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe C:\WINDOWS\system32\RAMASST.exe C:\WINDOWS\system32\TPSBattM.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\ntvdm.exe C:\Programme\Scanmetender[Soft]\Scanmetender Standard\candard.exe C:\PROGRA~1\Opera\Opera.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\***\LOKALE~1\Temp\Rar$EX00.656\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe O4 - HKLM\..\Run: [TOSHIBA Accessibility] C:\Programme\TOSHIBA\Accessibility\FnKeyHook.exe O4 - HKLM\..\Run: [HWSetup] C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP O4 - HKLM\..\Run: [SVPWUTIL] C:\Programme\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe O4 - HKLM\..\Run: [TPSMain] TPSMain.exe O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [TFncKy] TFncKy.exe O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [ScanmetenderStandard3] C:\Programme\Scanmetender[Soft]\Scanmetender Standard\candard.exe O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog O4 - Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: eBay - {8EE5046C-394B-4CB7-A3F8-253BE8BB60BD} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU) O17 - HKLM\System\CCS\Services\Tcpip\..\{9B82B4E4-3BA8-41FD-B019-7EF89B745B6F}: NameServer = 192.168.18.99 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Das Tcpview kommt auch gleich... |
Zitat:
Hier die Firewall-FAQ von Lutz Donnerhacke, ist wirklich lesenswert => http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html Die Logfiles schau ich mir gleich mal an. |
Zum Logfile: Zitat:
Kannst Die Datei C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe mal bei Jotti/Virustotal/Kaspersky auswerten lassen? |
Hmm, Datei ist in der Warteschlange. Wird etwa 30min. dauern. Hab mir jetzt ehrlich gesagt nichts bei der Datei gedacht, da ich ein Toshiba Laptop habe... Hier aber noch der tcpview report (kurz nach neustart, ohne hergestellte verbindung ins internet oder netzwerk): avgnt.exe:2496 TCP pcname:1026 localhost:18350 ESTABLISHED avguard.exe:1860 TCP pcname:18350 localhost:1026 ESTABLISHED lsass.exe:856 UDP pcname:4500 *:* lsass.exe:856 UDP pcname:isakmp *:* spoolsv.exe:1656 UDP pcname:1025 *:* svchost.exe:1116 UDP pcname:ntp *:* svchost.exe:1368 UDP pcname:1900 *:* System:4 TCP pcname:microsoft-ds pcname:0 LISTENING System:4 UDP pcname:microsoft-ds *:* |
Wie schaut das tcpview-Logfile bei hergestellter Internetverbindung aus? |
So: [System Process]:0 TCP pcname:1140 209.85.129.147:http TIME_WAIT [System Process]:0 TCP pcname:1154 dd5628.kasserver.com:http TIME_WAIT [System Process]:0 TCP pcname:1155 dd5628.kasserver.com:http TIME_WAIT [System Process]:0 TCP pcname:1137 72.14.221.147:http TIME_WAIT avgnt.exe:2496 TCP pcname:1026 localhost:18350 ESTABLISHED avguard.exe:1860 TCP pcname:18350 localhost:1026 ESTABLISHED lsass.exe:856 UDP pcname:isakmp *:* lsass.exe:856 UDP pcname:4500 *:* Opera.exe:3764 TCP pcname:1161 diamond.emeraldweb.us:http ESTABLISHED spoolsv.exe:1656 UDP pcname:1025 *:* svchost.exe:1116 UDP pcname:ntp *:* svchost.exe:1116 UDP pcname:ntp *:* svchost.exe:1180 UDP pcname:1038 *:* svchost.exe:1180 UDP pcname:1106 *:* svchost.exe:1368 UDP pcname:1900 *:* svchost.exe:1368 UDP pcname:1900 *:* System:4 TCP pcname:microsoft-ds pcname:0 LISTENING System:4 TCP pcname:netbios-ssn pcname:0 LISTENING System:4 UDP pcname:microsoft-ds *:* System:4 UDP pcname:netbios-ns *:* System:4 UDP pcname:netbios-dgm *:* |
Das sieht soweit okay aus. Unnötige Dienste solltest Du aber besser abschalten. Schau Dich mal hier um. Das Abschalten der Dienste bezieht sich aber ein Einzelplatz-PC mit Internetzugang, nicht für Windows-Rechner im LAN! |
Die Toshiba Ebay Datei ist laut virustotal sauber. Bei der vb.ini, die angeblich mit virusburst befallen ist, vermute ich fast einen Fehlalarm. Es gibt nämlich sonst keinerlei Hinweise auf diesen Trojaner... Der Firewall FAQ ist interessant, wobei teilweise schon sehr zynisch geschrieben. Danke für deine bisherige Hilfe cosinus! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 15:31 Uhr. |
Copyright ©2000-2025, Trojaner-Board