Hallo, habe folgendes Problem:

Hatte mir vor einer Weile einen fiesen Trojaner eingefangen "heuristik/trojan.keylogger" meldete AniVir. Habe dann an verschiedenen Orten Dateien ala "fna1040.bin" oder "fna1256.cab" usw. gefunden. Habe alles versucht, aber der Trojaner kam immer wieder. AntiVir fand den Trojaner an sich zwar nicht mehr wieder, aber diese "fna sonstwas"-Dateien tauchten immer wieder auf. Auch ein Neuaufsetzen hat nix gebracht. Da ich sowieso vorhatte mir eine neue Festplatte zu kaufen, habe ich das dann auch getan.

Und jetzt ratet was ? Obwohl ich eine niegelnagelneue Festplatte im PC habe und nach dem Widows-Update usw. bisher nur aus 2-3 Seiten war (absolute seriöse, allen gut bekannte Seiten) hatte ich nach superkurzer Zeit wieder diese Dateien auf der Platte. Ich habe auch in meiner FireWall (ZoneAlarm) komische "Attacken" beobachten können, von absolut kuriosen und teilweise ellenlangen Absenderadressen, hauptsächlich an die Ports 135-139, 445 und 1026-1027. Habe online einige Tests auf einschlägigen Seiten gemacht, die mir jedoch bestätigten, dass meine Ports "stealth" seien bzw. keine Gefahr besteht. Die Datein sind 100% Teil eines Trojaners, da ich sie vom ersten Auftauchen von eben diesem her noch kenne. Im Internet habe ich auch viele Infos gefunden, die bestätigen, dass diese "fna..."-Dateien zu Trojanern gehören. Daher habe ich jetzt 2 Fragen:

1. Wie kann irgendein Mensch (Hacker?) immer wieder diese Dateien auf meinen Rechner bringen, obwohl alles gelöscht wurde, eine neue Festplatte gekauft und keine unseriösen Seiten besucht wurden ?

2. Wie schließe ich die oben genannten Ports unter Windows 2000 ? Welche sollten sonst noch geschlossen werden ?

Wäre für jede Hilfe dankbar !

Mache mal das:
http://www.trojaner-board.de/showthread.php?t=17493

Zitat:

Und jetzt ratet was ? Obwohl ich eine niegelnagelneue Festplatte im PC habe und nach dem Widows-Update usw. bisher nur aus 2-3 Seiten war (absolute seriöse, allen gut bekannte Seiten) hatte ich nach superkurzer Zeit wieder diese Dateien auf der Platte.

Vielleicht hast Du sie beim Kopieren Deiner alten Daten mit überspielt

Waren vor der ersten Online-Verbindung sämtliche Patches installiert?

Bzgl. Ports schließen: http://ntsvcfg.de

Gruß
Yopie

Danke für die Antworten.

HijackThis habe ich benutzt, da wird aber nix gefunden.

Beim allerersten Onlinegehen mit der neuen Festplatte bin ich sofort auf die Microsoft-Seite und habe da alles nötige installiert. AntiVir und ZoneAlarm hatte ich aber schon vorher draufgemacht.

Ich habe gerade gesehen, dass diese "fna..."-Datei auch vorhin erst erstellt wurde.

Wie kann sowas sein ? Kann mir jemand sowas nur anhand meiner IP auf meinen PC packen ?

Zitat:

Zitat von hanseman

Beim allerersten Onlinegehen mit der neuen Festplatte bin ich sofort auf die Microsoft-Seite und habe da alles nötige installiert. AntiVir und ZoneAlarm hatte ich aber schon vorher draufgemacht.

Zonealarm hätte eine Infektion eigentlich verhindern müssen. Aber das Programm taugt anscheinend noch weniger, als ich gedacht habe.

Du musst vor der ersten Verbindung die Patches und Service-Packs installieren. Also mit einem sauberen Rechner vorher runterladen und auf CD brennen, z.B. die Update-Packs von Winboard.org .

Ich vermute einen stinknormalen Netzwerkwurm. Poste mal das HJT-Logfile, und führe außerdem http://www.trojaner-board.com/showthread.php?t=17492 durch, und poste die Funde.

Gruß
Yopie

Escan meldet nur eine "Alexa"-Spyware, die am IE hängt. Die scheint von Microsoft zu sein, weil die auch immer sofort nach der Installation von Windows schon mit drauf ist. Ansonsten nur 2 Error von PhotoshopElements. Das war's, nix besonderes. Unten das Logfile von HijackThis. Danke für die Mühe !

P.S.: Das mit dem Portschließen auf der angegebenen Seite habe ich irgendwie nicht verstanden. Gibt es irgendeine einfache Möglichkeit, wie man in Windows die Ports schließt ? Und wie beende ich den Client für Microsoft-Netzwerke sowie die Datei- und Druckerfreigabe ?



Logfile of HijackThis v1.99.1
Scan saved at 20:30:05, on 27.05.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\RunDll32.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Programme\OLYMPUS\CAMEDIA Master 4.1\CM_camera.exe
C:\Programme\Analog Devices\Teledat 300 USB Treiber\dslmon.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINNT\system32\wuauclt.exe
C:\Programme\SpywareBlaster\spywareblaster.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\ICQ\ICQ.exe
C:\unzipped\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\Ipswitch\WS_FTP Pro\wsbho2k0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: CAMEDIA Master.lnk = C:\Programme\OLYMPUS\CAMEDIA Master 4.1\CM_camera.exe
O4 - Global Startup: DSLMON.lnk = C:\Programme\Analog Devices\Teledat 300 USB Treiber\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1493855B-988E-4EDC-80EC-9FA8EF0B57A9}: NameServer = 217.237.148.65 217.237.148.33
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

Zitat:

Zitat von hanseman

Escan meldet nur eine "Alexa"-Spyware, die am IE hängt. Die scheint von Microsoft zu sein, weil die auch immer sofort nach der

Wenn escan jetzt schon fertig ist, dann hast du dich nicht an die Anleitung gehalten!

Zitat:

Das mit dem Portschließen auf der angegebenen Seite habe ich irgendwie nicht verstanden. Gibt es irgendeine einfache Möglichkeit, wie man in Windows die Ports schließt ? Und wie beende ich den Client für Microsoft-Netzwerke sowie die Datei- und Druckerfreigabe ?

http://ntsvcfg.de/easy/index.html
http://dingens.org

Gruß
Yopie

Heftige Attacken auf Ports wie 135, 445 oder 1026/27 kommen übrigens hauptsächlich von den vier Adressen:

1. 80.119.244.125 (Sent from TCP port 4316; Source DNS
127.244.119-80.rev.gaoland.net

2. 222.208.168.158 (Sent from UDP port 46351Source DNS unknown)

3. 61.152.198.79 (Sent from UDP port 48481; Source DNS unknown)

4. 80.118.247.52 (Sent from TCP port 2391, Source DNS
52-247-118-80.kaptech.net)

Zitat:

Zitat von hanseman

Heftige Attacken auf Ports wie 135, 445 oder 1026/27 kommen übrigens hauptsächlich von den vier Adressen:

Das ist uninteressant, wenn alle Ports geschlossen sind und alle Updates aufgespielt sind.

Gruß
Yopie

@ Yopie,

escan habe ich sofort nach dem Entdecken der kuriosen Datei durchgeführt (im abgesicherten Modus). Hat rund 1 Stunde gedauert, aber halt nix Besonderes gefunden.

Was sagst du zum oberen Logfile ? Sieht eigentlich ok aus, oder ?

Das Problem ist halt, dass diese "fna..." eine .bin Datei war und von keinem Virenprogramm erkannt wird. Auf meiner alten Festplatte war auch noch ne größere .cab-Datei, in der AntiVir den Trojaner dann erkannt hat. Diese fette .cab-Datei scheint man mir aber wohl anscheinend nicht einfach so "schicken" zu können (bis jetzt jedenfalls nicht, toi, toi, toi), trotzdem hat mich diese komische Datei und die ständigen "Attacken", die ich über ZoneAlarm von diesen komischen Adressen beobachte, beunruhigt.

Wie siehts denn aus mit der genauen Meldung von Antivir?

Antivir neigt übrigens auch so hin- und wieder zu Fehlalarmen.

Gruß
Yopie

AntiVir hat ja in diesem Fall nichts gemeldet, weil es sich um eine .bin-Datei handelte. Ich kannte die Datei jedoch von dem Trojaner, den ich auf der alten Festplatte hatte. Nur war auf dieser halt zusätzlich noch eine ca. 6,5 MB große .cab-Datei, diese war auf meiner neuen Festplatte jedoch nicht drauf. Deshalb auch keine Meldung von AntiVir. Habe die .bin-Datei einfach gelöscht und seitdem ist sie weg, aber wie gesagt, weiß ich nicht, wann die wiederkommt, da ich bei ZoneAlarm teils kuriose "Anfragen" an meine Ports beobachte.

Die Ports habe ich nun jedoch alle geschlossen. Was ich noch wissen müsste:

Wie beende ich den Client für Microsoft-Netzwerke, die Systemwiederherstellung und die Datei- und Druckerfreigabe in Windows 2000?

Danke !

P.S.: Ist das Logfile ok ?

Habe jetzt gerade erst den Ereignisdienst von Windows entdeckt und Beunruhigendes gefunden. Immer nach meiner Einwahl (bevor ich alle Ports geschlossen habe) steht folgende Meldung:

"Warnung! Die IP der Netzwerkkarte wurde automatisch durch diesen Computer konfiguriert. Die verwendete IP-Adresse ist ... ... ... ..."

Habe recherchiert und herausgefunden, dass die IP jemandem in den USA gehört.

Was soll ich davon halten ?

Haaaalllloooooooo ???!!!

Zitat:

Zitat von hanseman

Haaaalllloooooooo ???!!!

Kennst du hier jemanden, der dir eine Antowrt geben muss?
Ich könnte mir vorstellen, dass du 'ne unentdeckte Malware noch hast.
Mach bitte noch Folgendes:
1.Systemwiederherstellung abschalten
2. Dieses Bereinigungsprogramm hilft dir, den ganzen Müll aus den Temp-Ordner und Papierkorb zu entfernen.
3. Infected-Ordner des Antivirus-Programms, ggf. auch von Spybot Search & Destroy, Ad-Aware usw. leeren. Der Name des Ordners sowie Pfad sind Programm- und Benutzerabhängig. Bitte RTFM zum AV-Programm. Bei einigen Programmen (z. B. AVPE) ist diese Option nicht im Programm integriert. In dem Fall soll dies manuell erfolgen.
4. eScan genau nach Anleitung (bitte ausdrucken und aufmerksam lesen) im abgesicherten Modus laufen lassen. Log hier Posten.
Oder, wenn du nicht viel Zeit hast - Tabula rasa und neu aufsetzen. Ergebnis wird bestimmt besser.