Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Viele Browserfernster öffnen sich (https://www.trojaner-board.de/43921-viele-browserfernster-oeffnen.html)

maceis 25.09.2007 22:32
Viele Browserfernster öffnen sich
 
Guten Tag,

ich habe ein Problem auf dem Rechner meiner Mutter, auf den ich wegen der großen Entfernung nur über VNC Zugriff habe. Ich selbst habe einen Mac und kenne mich mit Windows nur eingeschränkt aus.

Meine Mutter hat Windows XP.
Seit etwa zwei Wochen kann Sie das Internet kaum noch benutzen, da sich innerhalb kurzer Zeit immer wieder Browserfenster öffnen, mit dubiosen Werbeinhalten, Casinoseite, alberen Preisrätsel etc.
Das passiert sowohl beim IE als auch beim Firefox, den ich versuchsweise installiert habe. Allerdings scheint es so, als würde das Problem nur in einem Benutzerkonto auftreten.

Im Augenblick lasse ich ein frish installiertes Antivir laufen und es wurden schon 6 Trojaner gefunden. Bisher hatte ich kein Antivirenprogramm drauf, da ich für Ihr Emailkonto einen Virenschutz beim Provider verwende und der Ansicht war, das wäre ausreichend.

HJT habe ich auch schon laufen lassen. Es wurde nichts böses entdeckt.
Lediglich die IE Version wurde als "zu alt" erkannt.

Welche Maßnahmen könnt Ihr mir empfehlen.
Um eine Neusintallation möchte ich möglichst herumkommen, da ich ich meiner Mutter mit relativ viel Aufwand eine Arbeitsumgebung hergestellt habe, die sie unbedingt braucht. Außerdem geht das aus der Ferne natürlich nicht.

Danke im Voraus und Gruß
maceis

cosinus 25.09.2007 22:44
Oh...die Bereinigung wird sehr schwierig, da du das alles auch noch über VNC machen musst. Oder hast du physischen Zugriff auf die Kiste?
Poste erstmal die genauen Namen und Fundorte der Schädlinge, sowie auch das HJT-Logfile der Kiste.

Zitat:
da ich für Ihr Emailkonto einen Virenschutz beim Provider verwende und der Ansicht war, das wäre ausreichend.
Das ist absolut nicht ausreichend. Damit ist nur ein Bruchteil abgedeckt, abgesehen davon, dass der Virenschutz des Providers auch nicht alle Malware erkennt.

maceis 25.09.2007 22:52
Vielen Dank schon mal.

Hier zunächst mal einen Auszug aus dem Report von Antivir:
Code:
Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
      [WARNUNG]  Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\gretel\Anwendungsdaten\__c005C21C.dat
      [FUND]      Ist das Trojanische Pferd TR/Spy.530728
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475c7a4a.qua' verschoben!
C:\Dokumente und Einstellungen\gretel\Anwendungsdaten\__c0068228.dat
      [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475c7a4e.qua' verschoben!
C:\Dokumente und Einstellungen\gretel\Lokale Einstellungen\Temp\laf1.exe
      [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475f7b06.qua' verschoben!
C:\Dokumente und Einstellungen\gretel\Lokale Einstellungen\Temp\lhiglfla.exe
      [FUND]      Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Haxdoor.HB
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47627b1b.qua' verschoben!
C:\Dokumente und Einstellungen\gretel\Lokale Einstellungen\Temp\xxx.jpg
      [FUND]      Ist das Trojanische Pferd TR/DNSChanger.EF.357
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47717b34.qua' verschoben!
C:\Dokumente und Einstellungen\martin\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive1213.jar-37b2127f-3637fe51.zip
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/ByteEver.B.4
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475c7b67.qua' verschoben!
C:\temp\d0r1t1s.exe
      [FUND]      Enthält Erkennungsmuster des IRC-Virus IRC/Flood.DZ.DR
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '476b7dd2.qua' verschoben!
C:\WINDOWS\system32\d0r1t1s.exe
      [FUND]      Enthält Erkennungsmuster des IRC-Virus IRC/Flood.DZ.DR
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '476b7f10.qua' verschoben!
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\K5GJMF85\217.82.175[1].gif
      [FUND]      Ist das Trojanische Pferd TR/Proxy.Bobax.C.3
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47307fd9.qua' verschoben!
C:\WINDOWS\system32\f0r0r\dirote.exe
      [FUND]      Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IrcBot.757248
      [INFO]      BDS/IrcBot.757248:[HKEY_CLASSES_ROOT\ChatFile\DefaultIcon]:<@>=sz:dirote.exe
      [INFO]      BDS/IrcBot.757248:[HKEY_CLASSES_ROOT\ChatFile\Shell\open\command]:<@>=sz:dirote.exe
      [INFO]      BDS/IrcBot.757248:[HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\IRC\DEFAULTICON]:<@>=sz:dirote.exe
      [INFO]      BDS/IrcBot.757248:[HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\IRC\SHELL\OPEN\COMMAND]:<@>=sz:dirote.exe
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '476b80f6.qua' verschoben!
Beginne mit der Suche in 'D:\'


Ende des Suchlaufs: Dienstag, 25. September 2007  23:46
Benötigte Zeit: 35:21 min

Der Suchlauf wurde vollständig durchgeführt.

  2318 Verzeichnisse wurden überprüft
 106537 Dateien wurden geprüft
    10 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
    10 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 106527 Dateien ohne Befall
  1260 Archive wurden durchsucht
      1 Warnungen
      2 Hinweise
Kann man hier schon was konkretes sehen/interpretieren?

Den Rest liefere ich nach.
Direkten Zugriff habe ich nur, wenn ich mal wieder hinfahre (sind rund 350km)

cosinus 25.09.2007 22:58
Jo. Das system ist astrein kompromittiert:

Code:
C:\WINDOWS\system32\f0r0r\dirote.exe
      [FUND]      Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IrcBot.757248
      [INFO]      BDS/IrcBot.757248:[HKEY_CLASSES_ROOT\ChatFile\DefaultIcon]:<@>=sz:dirote.exe
      [INFO]      BDS/IrcBot.757248:[HKEY_CLASSES_ROOT\ChatFile\Shell\open\command]:<@>=sz:dirote.exe
      [INFO]      BDS/IrcBot.757248:[HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\IRC\DEFAULTICON]:<@>=sz:dirote.exe
      [INFO]      BDS/IrcBot.757248:[HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\IRC\SHELL\OPEN\COMMAND]:<@>=sz:dirote.exe
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '476b80f6.qua' verschoben!
Die Kiste ist längst von anderen unter Kontrolle und wohl schon Teil eines Botnetzes. Wahrscheinlich kippt sie die Leitung dicht mit Spammails, wenn sie online ist.

Die Kiste muss neu aufgesetzt werden, da führt nichts dran vorbei. Um den Schaden gering wie möglich zu halten, sollte sie auch nicht mehr ins Internet bzw. interne LAN => Kabel ziehen, physikalische Trennung. Jedenfalls solange bis sie neu aufgesetzt und abgesichert ist.

Auch wenn das jetzt feststeht, das HJT-Logfile würde mich schn interessieren.:rolleyes:

BataAlexander 25.09.2007 23:08
Zitat:
[...]und wohl schon Teil eines Botnetzes
ACK :daumenhoc
DIROTE.EXE (566,784 Bytes) - this file is a modified mIRC application which compromises the current system. E.g., It can transform the current system into a file server to enable remote users to connect to it.

Die Edith: Quelle vergessen

cosinus 25.09.2007 23:11
Zitat:
Zitat von BataAlexander (Beitrag 295860)
ACK :daumenhoc
DIROTE.EXE (566,784 Bytes) - this file is a modified mIRC application which compromises the current system. E.g., It can transform the current system into a file server to enable remote users to connect to it.
Wusst' ich's doch! :schmoll:

maceis 25.09.2007 23:29
Vielen Dank für Eure Antworten.
Ein HJT Log kann ich derzeit nicht liefern, weil mir gerade das VNC hängengeblieben ist. Das passiert manchmal. Meine Mutter kann ich um diese Zeit auch nicht mehr anrufen, um den Rechner neu zu starten.

Aber mal 'ne Verständnisfrage.
Zitat:
Zitat von cosinus (Beitrag 295858)
...
Die Kiste ist längst von anderen unter Kontrolle und wohl schon Teil eines Botnetzes. Wahrscheinlich kippt sie die Leitung dicht mit Spammails, wenn sie online ist.
...
Der Rechner befindet sich ja hinter einem Router. UPnP ist aus, es gibt keine Portweiterleitungen. Das VNC läuft über OpenVPN mit einer 1024Bit Verschlüsselung. Auch kann ich (zumindest jetzt im Augenblick) keine verdächtigen Netzwerkaktivitäten feststellen.
Ich würde gern verstehen, wie die "Kontrolle" der "anderen" technisch ausshen könnte.


Was mich auch noch interessieren würde.
Sind die aufgelisteten Trojaner irgendwie bekannt dafür, dass sie Browserfenster mit Werbeseiten öffnen? Das war ja das Problem, dass mich dazu veranlasst hatte, das System zu scannen.

cosinus 25.09.2007 23:38
Zitat:
Der Rechner befindet sich ja hinter einem Router. UPnP ist aus, es gibt keine Portweiterleitungen. Das VNC läuft über OpenVPN mit einer 1024Bit Verschlüsselung. Auch kann ich (zumindest jetzt im Augenblick) keine verdächtigen Netzwerkaktivitäten feststellen.
Ich würde gern verstehen, wie die "Kontrolle" der "anderen" technisch ausshen könnte.
Das bedeutet nur, dass sich über VNC wohl kein Unbefugter so einfach reinhacken kann geschweige den Traffic (dank verschlüsselung) mitsniffen kann. Ändert aber nichts an der Kompromittierung, der Router wird evtl. andere Zugriffe blocken, oder aber auch nicht? :rolleyes:
Und wenn nicht, spamt die Kiste dennoch in die Welt. Abgesehen davon, dass nun die Kiste vollends nicht mehr vertrauenswürdig ist, jede auf ihr verarbeitete Datei (zumindest ausführbar) kann irgendwas mitschleppen.
Mit diesem Zustand tust du deiner Mutti nichts Gutes...

Zitat:
Sind die aufgelisteten Trojaner irgendwie bekannt dafür, dass sie Browserfenster mit Werbeseiten öffnen? Das war ja das Problem, dass mich dazu veranlasst hatte, das System zu scannen.
Also die Browserfenster mit Werbeseiten sind absolut zweitrangig bei diesem Befall. :zzwhip:
Und selbst wenn's andere malware wäre, ändert das nichts an den Hintertüren im System.

maceis 25.09.2007 23:52
Zitat:
Zitat von cosinus (Beitrag 295870)
...
Also die Browserfenster mit Werbeseiten sind absolut zweitrangig bei diesem Befall. :zzwhip:
Und selbst wenn's andere malware wäre, ändert das nichts an den Hintertüren im System.
Das versteh' ich schon. Ich frage nur, weil mir aufgefallen war, dass nachdem ich Antivir durchlaufen lassen hatte und bevor sich VNC verabschiedet hatte, zumindest keine Browserfenster mehr aufgegangen waren.

Dass das System nicht mehr vertrauenswürdig ist, ist mir bewusst.
Allerdings kann ich den Rechner frühestens in vier Wochen neu installieren und an's Netz muss er in dieser Zeit auch.

Ob der tatsächlich soviel spammt, kann man wohl nur durch längere Beobachtung des Netzwerkverkehrs feststellen. Im Augenblick (innerhalb der letzten dreiviertel Stunde) geht jedenfalls nichts raus.

cosinus 26.09.2007 18:28
Zitat:
Ob der tatsächlich soviel spammt, kann man wohl nur durch längere Beobachtung des Netzwerkverkehrs feststellen. Im Augenblick (innerhalb der letzten dreiviertel Stunde) geht jedenfalls nichts raus.
Ihr habt da rüber absolut keine Kontrolle mehr was raus geht - es muss nicht nur Spam sein. Ihr tut euch damit keinen Gefallen, mit diesem System in diesem Zustand online zu gehen. Eure Zugangsdaten etc. konnten schon ausgespäht worden sein.

Zitat:
und an's Netz muss er in dieser Zeit auch.
Was genau wird denn online benötigt? Notfalls tut es ein Knoppix um zu surfen und zu mailen, aber das kompromittierte Windows solltet ihr nicht mehr ins Internet lassen.

maceis 26.09.2007 19:20
Zitat:
Zitat von cosinus (Beitrag 295971)
Ihr habt da rüber absolut keine Kontrolle mehr was raus geht - es muss nicht nur Spam sein. Ihr tut euch damit keinen Gefallen, mit diesem System in diesem Zustand online zu gehen.
...
Das ist mir grundsätzlich bewusst. Allerdings kann ich das im Augenblick leider nicht ändern - so Leid mir das selbst tut.
Vielleicht lass ich mal ganztags einen Netzwerksniffer mitlaufen. Das Problem dabei ist natürlich die Menge der Daten ;(.
Zitat:
Zitat von cosinus (Beitrag 295971)
...
Eure Zugangsdaten etc. konnten schon ausgespäht worden sein.
...
Guter Hinweis. Um die Internet Zugangsdaten mach ich mir eigentlich weniger Sorgen, da die nur auf dem Router liegen und den halte ich (zumindest im Augenblick) noch für sicher. Ist 'ne Fritzbox mit einer modifizierten Firmware (ein Linux System). Aber die Emailzugangsdaten sollte ich wohl ändern.

Zitat:
Zitat von cosinus (Beitrag 295971)
...
Was genau wird denn online benötigt? Notfalls tut es ein Knoppix um zu surfen und zu mailen, aber das kompromittierte Windows solltet ihr nicht mehr ins Internet lassen.
Ich stimme Dir grundsätzlich zu. Allerdings ist meine Mutter (67) da chancenlos. Meine Mutter hat ein kleines Gästehaus und muss die gesamte Buchungsabwicklung, Angebote, Freimeldungen etc. Online erledigen.

cosinus 26.09.2007 20:00
Zitat:
Meine Mutter hat ein kleines Gästehaus und muss die gesamte Buchungsabwicklung, Angebote, Freimeldungen etc. Online erledigen.
So Leid es mir tut, aber da bewegt sie sich nicht mehr im privaten Bereich. Für alles andere wird auch ein Techniker herbestellt (Klempner, Maler etc.) - warum keinen PC-Notdienst? :confused:

einfach das verseuchte System wissend weiterlaufen zu lassen ist absolut verantwortungslos... :pfui:

maceis 27.09.2007 21:29
Hier das versprochene HJT Log (nach Virenscanner):
Code:
Logfile of HijackThis v1.99.1
Scan saved at 22:04:35, on 27.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\RealVNC\WinVNC\WinVNC.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\xxxxx\Desktop\hijackthis_199-1\HijackThis.exe

N1 - Netscape 4: user_pref("browser.startup.homepage", ""); (d:\xxxxx\netscape_daten\prefs.js)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1190836917421
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xyz.dom
O17 - HKLM\Software\..\Telephony: DomainName = xyz.dom
O17 - HKLM\System\CCS\Services\Tcpip\..\{7AC56DC4-AFD3-4EEE-84A7-DD3A0DC93BDB}: NameServer = 192.168.102.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = xyz.dom
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = xyz.dom
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\RealVNC\WinVNC\WinVNC.exe" -service (file missing)
Fällt da jemandem noch etwas bedenkliches auf?
Ich lass' jetzt nachts auch nocmal den Virenscanner durchlaufen.
Bisher ist jedenfalls nichts auffälliges mehr erkennbar, auch kein "seltsamer" Netzwerkverkehr.

BataAlexander 27.09.2007 21:41
Führe ein Java Update durch! Durch alte Java Versionen können Schädlinge auf Dein System gelangen. Dies gilt für jegliche Software!

Die Version Deines Acrobat Reader ist veraltet, aktualisiere Deine Version hier.

Das Hauptproblem ist aber: HJT listet derartige Einträge nicht. Ein IRC Bot schreibt sich zwar i.d.R. in den Autostart, allerdings kann der (AB)User mit der Dauer der Infektion das Wirtssytem beliebig modifizieren.

Zitat:
AntiVir PersonalEdition Classic
Hat auf einem gewerblich genutzen System nichts zu suchen, genau wie weitere Kommentare zu dem Zustand des Systems.
Unsere Meinung darüber hast DU gelesen, der Rest liegt bei Dir.
Auch wenn ich dazu keine Befugnis habe, würde ich hier ein EOD für angebracht halten.

Eins noch:
Zitat:
Meine Mutter hat ein kleines Gästehaus und muss die gesamte Buchungsabwicklung, Angebote, Freimeldungen etc. Online erledigen.
Wie würde es denn Deine Mutter finden, wenn jemand andere Ihre Buchhaltung, sprich Kontoführung übernimmt? Schon mal an diese Konsequenzen gedacht?
Da ist es billiger einen Techniker vor Ort zu konsultieren!:aplaus:

maceis 27.09.2007 22:31
Vielen Dank erstmal für Deine Hinweise.

Ich möchte hier aber mal etwas klarstellen, dass anscheinend von mir missverständlich ausgedrückt wurde.

Es handelt sich nicht um eine gewerbliche Geschichte oder etwas ähnliches sondern um einen Kleinstbetrieb der privaten Zimmervermietung. Um genau zu sein sind es drei Gästezimmer, die saisonal vermietet werden.
Eine Buchhaltung wird auf dem Rechner ebensowenig durchgeführt wie eine Kontoführung. Mit "Buchungsabwicklung" war lediglich die Bestellung und Bestätigung von Zimmern per Email gemeint.

Ich verstehe natürlich die geäußerten Bedenken, bin aber andererseits der Ansicht, dass man die Kirche auch im Dorf lassen muss.
Die Einschaltung eines Technikers scheitert schon allein daran, dass es in unserem Kaff und der Umgebung so jemanden gar nicht gibt.
Der zweite Punkt ist der, dass ein Techniker zwar das System neu aufsetzten könnte, aber wohl kaum den Zustand wieder herstellen könnte, den meine Mutter benötigt, damit sie wie gewohnt arbeiten kann. Bei meiner Mutter ist es schon ein Problem, wenn eine Ordnericon nicht an der Stelle auf dem Schreibtisch liegt, wo es schon immer war - den Rest könnt Ihr Euch denken.

#########

Jetzt aber mal noch 'ne technische Frage:

Angenommen der Rechner wurde tatsächlich modifiziert. AntiVir hat alle erkannten Viren/Trojaner etc. entfernt. Der Rechner hängt nicht direkt im Internet, sondern hinter einem Router, an dem außer Port 22 TCP und Port 1149 UDP und die für VoIP erforderlichen Ports von außen zu sind. UPnP auf dem Router ist aus, Portweiterleitungen gibt es keine. Der Rechner ist jetzt 24h lang gelaufen, ohne dass verdächtige Netzwerkaktivitäten (Richtung Internet) festgestellt werden konnten.

Worin besteht denn jetzt konkret die Bedrohung?
Wie genau könnte eine unerkannte böse Software jetzt noch Schaden anrichten?
Und nachdem es bekanntlich eine absolute Sicherheit ohnehin nicht gibt, würde mich auch eine Abschätzung der Wahrscheinlichkeit interessieren?

cosinus 28.09.2007 21:24
Zitat:
Worin besteht denn jetzt konkret die Bedrohung?
Niemand weiß genau was evtl. verbliebene Malwarereste auf dem PC noch so treiben können. Man kann sich Szenarien ausmalen...
Durch die strenge Einstellung im Router dürfte es aber ziemlich unwahrscheinlich sein, dass jmd. von außen den Rechner steuern konnte.

Zitat:
Wie genau könnte eine unerkannte böse Software jetzt noch Schaden anrichten?
Wie genau sie das kann oder was sie machen könnte?
Die Malware könnte mittlerweile so tief im System stecken, dass keinerlei Aktivität mehr festgestellt werden kann, aus dem System heraus. Vllt. wurden sogar schon Windows-Systemdateien manipuliert.
Wie genau hast du die denn überprüft?

Zitat:
Und nachdem es bekanntlich eine absolute Sicherheit ohnehin nicht gibt, würde mich auch eine Abschätzung der Wahrscheinlichkeit interessieren?
Kann man nicht wirklich abschätzen - v.a. nicht wenn bei derartigen Infektionen die Analyse aus dem kompromittierten OS heraus erfolgte.
Eigentlich müsstest du das OS von einer Rettungs-CD wie z.B. die UBCD4WIN (basiert auf BartPE) untersuchen. Dann kann man sichergehen, dass nichts von aktiver Malware versteckt wird. Die ADS von NTFS solltest du auch überprüfen. Die Rettungs-Cd erfordert nat. physikalischen Zugriff auf den PC, aber die ADS kannst du z.B. mit streams.exe sichtbar machen.

Zitat:
Und nachdem es bekanntlich eine absolute Sicherheit ohnehin nicht gibt, würde mich auch eine Abschätzung der Wahrscheinlichkeit interessieren?
Klar gibts keine 100% Sicherheit - es steht aber zu 100% fest, dass die Kiste kompromittiert ist - oder war, kann keiner genau sagen. ;)

Ist letzenendes eh deine entscheidung, ob du die Kiste neu aufsetzt oder so belässt. Wenn du sie aber nicht so belässt, solltest du auch bedenken, dass andere Rechner gefährdet werden können. Dass eure persönlichen Daten in Gefahr sind, wurde ja schon oft genug erwähnt. ;)

maceis 29.09.2007 08:10
Vielen Dank für die ausführliche Antwort.


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:49 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131