|
Hallo Leute, ich bin ein Medizinmann und Enthüllungsautor (vgl.www.Transanimal-Edition.de) und habe dem- zufolge zahlreiche Feinde. Seit Weihnachten letzten Jahres bin ich gerade- zu von einer Herde Trojanischer Pferde umgeben. An meinem bis dahin ungeschützten Internet-und E-mail-PC hing auf einmal an Weihnachtskarten die gleiche Dia-Show. (Ein gefährlicher Spaß- vogel) Da auch noch einige andere Auffälligkeiten vor- lagen, lud ich AntiVir9 und Trojancheck (ältere Version)und wurde gleich fündig: "The setup files are corrupted. Please obtain a new copy of the program." und W32 Bugbear Nach der Plattmache ging es in Folge unter Norton Antivirus 2003 und Trojancheck (neue Version) weiter: "Ein Remote-System versucht auf touchkml.exe auf Ihren PC zuzugreifen." Backdoor SubSeven Standard NetBus W32SobigA@mm.enc Standard NetMonitor blockieren "Merkmale eines Invalid Source Adress-Angriffs aufweisen." "Änderungen an den Autostarteinträgen von Windows festgetellt." "Windows hat eine Sicherheitslücke festgestellt." Obwohl ich für meine Manuskripte und anderen Texte seit Sommer letzten Jahres einen vom Netz getrennten PC unterhalte, kann ich die Kennwörter für Bank und Internetpräsenz sowie meinen E-mailverkher mit den gesamten Kunden- dateien nicht meinen Gegnern ausliefern. Von AntiVir, Norton und Trojancheck bekam ich auf Anfragen keine Antwort. In Karlsruhe finde ich keine Fachleute. Was kann ich tun? Wer kann mir helfen? Wie finde ich bereits eingedrungene und noch unentdeckte Trojaner? Freundlichen Gruß KDK |
Zuerst wäre es einmal interessant zu wissen, welches Betriebssystem Du verwendest? Außerdem würde ich NAV 2003 deinstallieren oder völlig (!) deaktivieren und eine Testversion von Kaspersky Anti Virus installieren. Dabei würde ich auf jeden Fall bei Windows XP die Version 4, bei anderen Betriebssystem die Version 3.5 nehmen. Du solltest nach der Installation das Programm updaten und Dein System scannen. Außerdem solltest Du darauf achten, daß Du die aktuellen Servicepacks und/oder Patches Deines Betriebssystems installiert hast. Danach melde Dich noch einmal hier. |
Bei dir handelt es sich anscheindend um eine Mischung aus Virenbefall und Panikmache durch die installierte Firewall. Jedenfalls sprechen einige der Meldungen von Norton dafür, daß du auch die Firewall von dieser Firma instaliert hast(oder ein ähnliches Produkt) und die meldet zuviel. So werden hier als Grundrauschen des Netztes benannte Pings, die verschiedenste Ursachen haben können, direkt als Angriffe/Infektionen verschiedener Trojaner gemeldet. Das ist Mumpitz und führt zu Panikmache! Diese Pings bekommt jeder, der sich mit dem Netz verbindet und sie sind ungefährlich, wenn dein Computer sicher ist und kein Program auf diese Pings reagiert. Du solltest dein Windows updaten. Mit dem Internetexplorer auf www.windowsupdate.com und dort weiter. Danach dann mit dem eben ewähnten KAV mal den Computer scannen. Und Tips und Ratschläge bei Virenbefall von Trojaner-Info lesen. Para [ 24. Februar 2003, 12:16: Beitrag editiert von: Paranoia ] |
Hallo! </font><blockquote>Zitat:</font><hr />Original erstellt von K. D. Kammerer: "The setup files are corrupted. Please obtain a new copy of the program."</font>[/QUOTE]Dieses Problem weist nicht wirklich zuerst auf eine Malware hin - einfach noch einmal downloaden hätte sicher Abhilfe geschaffen. </font><blockquote>Zitat:</font><hr />und W32 Bugbear</font>[/QUOTE]War dieser aktiv auf dem System, als Du AntiVir installieren wolltest? Ist jednefalls ein Mailwurm mit Trojanerkomponente. Du nutzt sicher Outlook / Outlook Express. Mich interessiert die genaue Version (schau dazu bitte mal im Internet Explorer im Menü >? >Info >Version und Updateversionen nach!). </font><blockquote>Zitat:</font><hr />Nach der Plattmache ging es in Folge unter Norton Antivirus 2003 und Trojancheck (neue Version) weiter:</font>[/QUOTE]Norton Antivirus ist bezüglich eines guten Trojanerschutzes eher ungeeignet. </font><blockquote>Zitat:</font><hr />"Ein Remote-System versucht auf touchkml.exe auf Ihren PC zuzugreifen."</font>[/QUOTE]Das ist die Komponente der T-Online eMail-Software. Hm, hast Du also offensichtlich kein Outlook in Verwendung? Dann erfolgte die BugBear-Infektion nicht automatisch, sondern dadurch, dass Du diesen Mailwurm, der als Anhang in einer eMail daherkam, selbst installiert hast. Du solltest bei eMails zukünftig vorsichtiger sein, und nicht jeden Dateianhang einfach blindlings öffnen! </font><blockquote>Zitat:</font><hr />Backdoor SubSeven Standard NetBus</font>[/QUOTE]Hast Du auch NPF, also Norton Personal Firewall installiert? Diese sorgt für derartige Meldungen, die jedoch in aller Regel keinen Trojanerbefall bedeuten. Hier wird nur aufgrund von Standardregeln einem Protscan von extern ein bestimmter Trojaner zugeordnet, und dies dann als geblockter "Angriffs-" / "Zugriffsversuch" deklariert. Das bedeutet jedoch keine Infektion. Tipp: Sichere Dein System wie bereits empfohlen ab - NPF an sich ist nur Ballast und verunsichert den User (-> deinstallieren). </font><blockquote>Zitat:</font><hr />W32SobigA@mm.enc</font>[/QUOTE]Ein weiterer Mailwurm, nichts Ungewöhnliches also. </font><blockquote>Zitat:</font><hr />Standard NetMonitor blockieren "Merkmale eines Invalid Source Adress-Angriffs aufweisen." </font>[/QUOTE]Wieder solche Meldungen der Pseudo-Firewall NPF. </font><blockquote>Zitat:</font><hr />"Änderungen an den Autostarteinträgen von Windows festgetellt."</font>[/QUOTE]Meldung von Trojanercheck 6? Änderungen an den Autostarteinträgen sind ja generell erstmal nichts Ungewöhnliches - es käme jetzt im Detail darauf an, was genau geändert wurde. </font><blockquote>Zitat:</font><hr />"Windows hat eine Sicherheitslücke festgestellt."</font>[/QUOTE]Das ist der Windwos Nachrichtendienst, bzw. Spam, den Du über diesen erhältst. Beende ihn wie folgt: http://trojaner-info.de/nachrichtendienst/index.html Installiere Dir zudem XP Antispy. </font><blockquote>Zitat:</font><hr />Was kann ich tun? Wer kann mir helfen?</font>[/QUOTE]1.) System, wie bereits empfohlen, durch Updates (Windowsupdate) auf den neuesten Stand bringen. 2.) Besonnener Umgang mit Dateien, die Du zugeschickt bekommt oder downloadest. Ausführbare Dateien in eMails z.B. sollten alle Alarmglocken läuten lassen. 3.) NAV / NPF deinstallieren, und NAV durch Kaspersky ersetzen. </font><blockquote>Zitat:</font><hr />Wie finde ich bereits eingedrungene und noch unentdeckte Trojaner?</font>[/QUOTE]1.) Poste hier mal einen Report von Trojancheck 6. Nenne zudem alle laufenden Prozesse. 2.) Mit Hilfe von Kaspersky. Edit: Nutze diese Seite zum Download der Testversion, da die Version, welche Du dort bekommst, auch für 30 Tage updatefähig, und somit auch signaturenmäßig auf den neuesten Stand zu bringen ist. Derzeit ist auch bei datsec noch das Update-Pack 5 aufgeführt, solltest Du dann zusätzlich und zwar gleich im Anschluss ohne dazwischenliegenden Neustart installieren. [ 24. Februar 2003, 12:48: Beitrag editiert von: mmk ] |
Hallo ihr drei Freaks, zunächst vielen Dank für die Infos. Ich habe soeben bei Datsec den Kaspersky fest bestellt und werde so swie vorgeschlagen verfah-ren. Ich haben einen Siemens Pentium IV mit Windows XP Homwe Edition und einen Siemens Pentium Pro mit Windows 95. Ich benutze Outlook nicht. Der BugBear saß be- reits im System bei der Erkennung und hatte ein Dutzend Dateien infiziert. Firewall ist von Norton 2003 installiert. Während Norton auch für einen Nichtfachmann gut zu verstehen ist, habe ich die Anwendung von Trojancheck nicht richtig verstanden und bin nicht sicher, ob er richtig eingestellt ist. Seine Meldungen lauteten: Trojancheck hat Änderungen an den Autostartein- trägen von Windows festgetellt. Desktop ini C:\Propramm\Gemeinsame Dateien\Micro... C:\Prgrogramm\Icrosoft Office 10\OSA oder CC Reg Vfy CC Reg vfy C:\Programme\Gemeinsame dateien\Syma... Mir geht es - um das nochmals zu sagen - nicht um die blockierten Zugriffe, sondern um even- tuell bestehende heimliche und unerkannte Inva- sionen, aufgrund derer Daten übermittelt wer- den könnten. Die anderen Trojaner wurden angeblich bei Zu- griffsversuchen abgewehrt und blockiert. Gerade weil ich die Trojaner-Infos gelesen habe, bin ich beunruhigt, weil von unerkannten Troja- nern die Rede ist, die heimlich mitlaufen und Daten übermitteln. Ich kann nicht die Adressen meiner Leser und Kunden sowie Kennwörter für Internetpräsenz usw. in die Hände Dritter fallen lassen. Freundliche Grüße K. D. Kammerer |
</font><blockquote>Zitat:</font><hr />Original erstellt von K. D. Kammerer: ... Firewall ist von Norton 2003 installiert. ...</font>[/QUOTE]ist, wie oben schon von mmk erwähnt, ein plazebo. du denkst, das du sicher bist, bist es aber nicht... als beispiel hier ein paar threads: [1] http://www.trojaner-board.de/forum/u...c;f=6;t=003888 [2] http://www.trojaner-board.de/forum/u...c;f=6;t=003843 </font><blockquote>Zitat:</font><hr />... Die anderen Trojaner wurden angeblich bei Zu- griffsversuchen abgewehrt und blockiert. ...[QB]</font>[/QUOTE]sollte kaspersky keine weiteren finden, dann sind das meistens portscan - sprich das, was in [2] gemeint ist... </font><blockquote>Zitat:</font><hr />[QB]... Gerade weil ich die Trojaner-Infos gelesen habe, bin ich beunruhigt, weil von unerkannten Troja- nern die Rede ist, die heimlich mitlaufen und Daten übermitteln. ...</font>[/QUOTE]du hast allen grund, beunruhigt zu sein... lies dir die analyse von bugbear durch: http://www.sophos.de/virusinfo/analy...2bugbeara.html vor allem der abschnitt </font><blockquote>Zitat:</font><hr />... W32/Bugbear-A öffnet außerdem Port 36794 und sendet eine Benachrichtigungs-E-Mail über SMTP an eine externe Adresse, die vertrauliche Daten über den Computer des Opfers, wie z. B. Benutzername und Kennwort, enthält. ...</font>[/QUOTE]WAS alles übertragen wurde, kann AFAIK nicht nachvollzogen werden, da der wurm ja seine eigenen mailroutinen mitbringt... [img]graemlins/teufel3.gif[/img] |
</font><blockquote>Zitat:</font><hr />Während Norton auch für einen Nichtfachmann gut zu verstehen ist, habe ich die Anwendung von Trojancheck nicht richtig verstanden und bin nicht sicher, ob er richtig eingestellt ist.</font>[/QUOTE]zu Trojancheck.6.02 Programme werden prinzipiell über Einträge in der Registry bei Systemstart (so dementsprechend eingestellt) gestartet. Diese Einträge werden bei einer Programminstallation oder -konfiguration erstellt. Auch Trojanerserver müssen sich, um ihre Aufgabe erfüllen zu können, in irgendeiner Form starten. Sie müssen sich also in die entsprechenden Registry-Schlüssel eintragen. TrojanCheck überwacht die aktuelle Registry-Einstellungen und meldet es, wenn in den einschlägigen Schlüsseln der Registry neue Einträge erstellt werden sollen und warnt somit auch vor Trojanern. Sollten also plötzlich Veränderungen in der Autostart-Sektion der Registry gemeldet werden, ohne dass man eine bestehende Anwendung hinsichtlich des Startverhaltens neu konfiguriert oder ein neues Programm installiert hat, ist dies natürlich erst einmal suspekt! Darüber hinaus starten sich einige Programme bei Systemstart (z.B. Kaspersky Antivirus unter WinXP) über den "Common Startup", d.h. sie erstellen eine Verknüpfung im Autostartordner (Bei WinXP: Explorer: All Users/Programme/Startmenue/Autostart). Die so gestarteten Programme werden nicht von TrojanCheck angezeigt. Alle Programme, die bei dem Systemstart mitgeladen werden, findet man bei WinXP hier: Start/Ausführen/, dann Eingabe: msconfig, bestätigen, /Systemkonfigurationsprogramm, Reiter: Systemstart. Man kann sich auch bei der Installation von gewollten Programmen, quasi "huckepack", einen Trojanerserver mit installieren. Programme aus dubiosen Quellen (File Sharing, "Cracks" vom Kollegen etc.) können zusätzlich zur gewollten Anwendung auch einen Trojanerserver enthalten. In dem Glauben, die von TrojanCheck gemeldeten Änderungen in der Registry seien legitim, läßt man diese vielleicht erst mal zu und installiert so den Trojanerserver. Um dies wenigstens nachträglich zu bemerken, gerade auch, wenn man nachträglich Grund zum Mißtrauen haben sollte, empfiehlt es sich, zusätzlich zur Nutzung von TrojanCheck, auch die Einträge im Systemstart mittels "msconfig" im Auge zu behalten... Zur Handhabung von TrojanCheck: TrojanCheck fragt bei Anwendungen, die sich in einen Autostartbereich der Registry eintragen wollen, ob man diese Eintragung zulassen will. Dies lässt man bei der nunmehr "aufpoppenden" Dialogbox zu oder lehnt es ab. Damit ist der eigentliche Eintrag eines Programms in der Registry erledigt. Die bei geöffneten TrojanCheck im Berich "Autostarts" angezeigten Smilies dokumentieren lediglich, ob der entsprechende Registry-Eintrag bereits in der Datenbank von TrojanCheck erfasst war. Neue Einträge sind mit einem blauen Smilie unterlegt und werden durch Markierung und Anklicken von "In Datenbank" in die TrojanCheck-Datenbank als legitime Anwendung eingetragen. Die Entfernung einer Anwendung aus der Datenbank und der anschließenden Löschung aus der Registry erfolgt durch Markieren des etablierten Eintrages mit gelbem Smilie, Anklicken von "Aus Datenbank" und der Bestätigung der Nachfrage von TrojanCheck, ob man der Löschung des entsprechenden Registry-Eintrages zustimmt. Ich hoffe, dass diese Erläuterungen einigermaßen verständlich sind. Gruß Der Hirsch [ 26. Februar 2003, 04:26: Beitrag editiert von: Der Hirsch ] |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 02:39 Uhr. |
Copyright ©2000-2025, Trojaner-Board