Ich habe vor einiger Zeit mit meinen Virenscannern eine backdoor Variante entdeckt und löschen lassen, nun habe ich mir die Kerio Firewall heruntergeladen, und es tauchte bei "niedriger" und bei "Intrusions hoher Priorität" backdoor auf.

Bei niedriger Priorität "BACKDOOR DeepThroat 3.1" und "BACKDOOR Matrix 2.0".

Bei hoher "BACKDOOR win-trin00 connection attempt" = attempted admin
und
"BACKDOOR TCPDUMP/PCAP trojan traffic" = trojan activity von http://hlug.fscker.com

(Seite hab ich kontrolliert, da wird man weitergeleitet zu einer Info bei welcher gesagt wird der Server wäre mit Trojanern infiziert und down.)

Nun habe ich die Frage, sind das einfache Internet-Angriffe ohne Bedeutung die von meiner Firewall abgefangen werden, oder vielleicht sogar auch ohne kein Problem sind, oder habe ich vielleicht noch immer einen Trojaner auf dem Rechner?

Wie gesagt, ich habe 3 Virenscanner (McAfee, Antivir, Adaware) und alles ist clean laut deren Diagnose.

Außerdem könnte ein Trojaner die process idle Funktion von MS XP nutzen? Wie merke ich was bei den idle Prozessen normal läuft und was nicht? Kann ich diese Funktion auch ändern/abschalten?

Mir ist, gerade im Zusammenhang mit Emule, wenn der PC idle war er regelmäßig abgestürzt bis vor kurzem...

Hoffentlich weiß jemand Rat...danke im Voraus!

P.S.: Ich habe versucht Kerio zu updaten, dann kommt, "Bei der Updateüberprüfung ist ein Fehler aufgetreten. Bitte versuchen sie es erneut."

Ist das normal, benutzt sonst noch jemand Kerio?

Bei Kerio gibt es Links zu den entsprechenden Vorfällen, etwa diesen für BACKDOOR:

http://www.whitehats.com/info/ids106

sowie:
http://www.whitehats.com/info/ids202

http://www.whitehats.com/info/ids/152

http://www.whitehats.com/info/ids/444

etc.

U.U. ist das ja nur ein ganz allgemeiner Versuch, aber gerade wegen der Probs die ich hatte, und weil mein Rechner auch mal mit BACKDOOR infiziert war würde ichs gerne genau wissen...

Auch wie ich die idle Fkt. konfigurieren könnte.

Zitat:

Zitat von Albino II.

Ich habe vor einiger Zeit mit meinen Virenscannern eine backdoor Variante entdeckt und löschen lassen, nun habe ich mir die Kerio Firewall heruntergeladen, und es tauchte bei "niedriger" und bei "Intrusions hoher Priorität" backdoor auf.

Bei niedriger Priorität "BACKDOOR DeepThroat 3.1" und "BACKDOOR Matrix 2.0".

Bei hoher "BACKDOOR win-trin00 connection attempt" = attempted admin
und
"BACKDOOR TCPDUMP/PCAP trojan traffic" = trojan activity von http://hlug.fscker.com

(Seite hab ich kontrolliert, da wird man weitergeleitet zu einer Info bei welcher gesagt wird der Server wäre mit Trojanern infiziert und down.)

Nun habe ich die Frage, sind das einfache Internet-Angriffe ohne Bedeutung die von meiner Firewall abgefangen werden, oder vielleicht sogar auch ohne kein Problem sind, oder habe ich vielleicht noch immer einen Trojaner auf dem Rechner?

Wie gesagt, ich habe 3 Virenscanner (McAfee, Antivir, Adaware) und alles ist clean laut deren Diagnose.

Außerdem könnte ein Trojaner die process idle Funktion von MS XP nutzen? Wie merke ich was bei den idle Prozessen normal läuft und was nicht? Kann ich diese Funktion auch ändern/abschalten?

Mir ist, gerade im Zusammenhang mit Emule, wenn der PC idle war er regelmäßig abgestürzt bis vor kurzem...

Hoffentlich weiß jemand Rat...danke im Voraus!

P.S.: Ich habe versucht Kerio zu updaten, dann kommt, "Bei der Updateüberprüfung ist ein Fehler aufgetreten. Bitte versuchen sie es erneut."

Ist das normal, benutzt sonst noch jemand Kerio?

***
Mache einen Portscann auf Deinem Rechner, dann checke die Ports mit infizierten Ports ( nach Trojan List ). Hole Dir PortBlocker ( kostenlos ) dann kannst Du ggf. Ports blocken und Dein Rechner ist "clean" for angriffen. Es bringt Dir aber nix, wenn Du 8432979748397849748974823978423 Viren scanner hast, manche Viren/ BackDoors lassen sich so in Deinem Rechner verpflanzen, daß Du keine Chance hast, über einen Viren/Trojanscanner diesen Infect zu löschen.
Glaube mir ruhig, ist so!

@AlbinoII
beireits bei einem Backdoor ist von Microsoft dringends empfohlen, das BS neu aufzusetzten - egal ob du eine DFW hast oder nicht. Mehr dazu: The Ten Immutable Laws of Security.
Bei zwei oder mehr Backdoors kommt etwas anderes, als format c:\ gar nicht infrage.
@ScannerzWorld-Hackerz
..schön wäre's, wenn du TOFU sowie TUFO in der Zukunft vermeidest.

wenn du das System wieder aller Vernunft erhalten willst
(sei es das noch Daten drauf sind die du sichern willst usw. usf.)

besorg dir nen Virenscanner
(nein nicht über deinen PC runterladen)
starte im abgesicherten Modus und scanne dann die komplette Kiste
und ALLE Dateien,ganz nett ist in dem Fall Kasperski oder GDATA AVK

aber nur mal angenommen ich würde mit Trojas rumspielen, dann
hättest du momentan nen rootkit drauf bei dem die Chancen das du es findest
und sauber aus dem System bekommst eher sehr gering sind ;-)

wenn du ihn los bist (oder besser sofort wenn ein sauberer Rechner greifbar ist)wechsle sämtliche Passworte etc. die du genutzt hast, geh davon aus das sie ein anderer auch kennt

Zitat:

Mache einen Portscann auf Deinem Rechner, dann checke die Ports mit infizierten Ports ( nach Trojan List ). Hole Dir PortBlocker ( kostenlos ) dann kannst Du ggf. Ports blocken und Dein Rechner ist "clean" for angriffen.

Wie kann ich das denn machen?

Bin eben ein Laie, sorry.

Zitat:

wenn du das System wieder aller Vernunft erhalten willst
(sei es das noch Daten drauf sind die du sichern willst usw. usf.)

Das ist eben das Problem, auf dem Rechner sind für mich so viele nützliche Daten, dass ich Format C gerne vermeiden möchte, hätte es sonst natürlich schon längst gemacht...

Kann ein backdoor auch so arbeiten, dass er bei mir als Windows Messenger erscheint? So nach dem Motto "Mess. will zu port X zugreifen blabla..." selbst wenn ich ihn eigentlich deaktiviert hatte?
Oder greift Mess auch dann noch zu wenn ich ausgestiegen bin, gibts da eine Grundregel?

Würdet ihr also alle sagen das mein Rechner, nachdem wie ich es oben beschrieben habe infiziert ist? Dass das nicht bloß Andockversuche waren sondern jemand erfolgreich an meinem Rechner rumwerkt?

Bitte gebt mir auch einen Tipp bezüglich der Überprüfung bzw. Änderung der idle Tasks.

MfG

Wie kann ich eigentlich alle Tasks aus meinem Taskmanager rüberkopieren damit sich die vielleicht mal jemand ansehen kann?

@AlbinoII

Schau mal hier ob der link dir weiterhilft: http://pestpatrol.com/pest_info/de/b...pthroat_31.asp

bzw. http://pestpatrol.com/pest_info/de/m/matrix_2_0.asp

dort sind beide Typen genau beschrieben!

Frage: Hast du denn seit jeher ein AV-Programm oder erst kürzlich gesaugt?

Deine Firewall hat einen Zugriff erkannt u. diesen blockiert, dass ist immer gut!

Grüße FER

Zitat:

Zitat von Albino II.

Wie kann ich eigentlich alle Tasks aus meinem Taskmanager rüberkopieren damit sich die vielleicht mal jemand ansehen kann?

Benutze einfach HiAjckThis
Der zeigt auch noch alle Starteinträge von Windows
http://www.trojaner-board.de/51130-a...ijackthis.html

Gruß paff

Zitat:

Zitat von FER

@AlbinoII

Schau mal hier ob der link dir weiterhilft: http://pestpatrol.com/pest_info/de/b...pthroat_31.asp

bzw. http://pestpatrol.com/pest_info/de/m/matrix_2_0.asp

dort sind beide Typen genau beschrieben!

Danke!

Zitat:

Frage: Hast du denn seit jeher ein AV-Programm oder erst kürzlich gesaugt?

McAfee hatte ich immer schon, Antivir und Adaware habe ich mir erst kürzlich geholt, genauso wie die Kerio Firewall.

Übrigens bei Pestscan hab ich auch getestet, es wurde nichts, außer ein bisschen Adware die ich größtenteils entfernte, entdeckt.

Auch der BACKDOOR wurde, glaube ich zumindest, von McAfee ziemlich schnell entdeckt, darum bin ich ja noch immer nicht mal sicher ob diese Angaben von Kerio auf einen Trojaner bei mir, oder nur auf einen üblichen I-net Andockversuch hindeuten...

Kann mir das jemand sagen?