Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Magic Lantern?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 06.07.2003, 13:17   #1
Nubul
 
Magic Lantern? - Beitrag

Magic Lantern?



Hallo, ich habe ein Problem auf meinem Rechner, welches ich offensichtlich nicht lösen kann. Ich habe Grund zu der Annahme, dass irgendjemand Zugriff auf meinen Rechner hat, obwohl ich keinen Trojaner finden kann. Da werden dann (u.a) gezielt meine Sicherungsmassnahmen (AV-Programme etc) manipuliert. Teilweise recht geschickt: so wurde mir z.B. lange die Updates der Virendatenbanken nur vorgegaukelt. Backup-Programme werden teilweise so zerstört, dass selbst eine Neuinstallation nicht weiterhilft. Mit das Schlimmste: nachdem ich kurz im Netz bin (ca. 90 Sekunden) wird die Übertragungrate "gedrosselt", gerne mal auf 29B/sec o.ä.. Manchmal finde ich beim Hochfahren (allerdings nur bei erzwungenem Kaltstart) Dateien in einem "unzugeordneten cluster". Wenn ich mir die anschaue, sehe ich Sachen wie: die von mir gesuchten Seiten im Netz, eine Aufzählung meiner firewall, AV-Programm etc. Termen wie "Lowering of the DTR" (DTR = Data Transfer Rate?), in letzter Zeit aber alles verschlüsselt. Bei jedem Hochfahren will sich folgendes in die registry schreiben:
HKEY=HKEY_CLASSES_ROOT
PATH=vbsfile\shell\open\command
NAME=
DATA=
dies lasse ich regelmässig nicht zu, für mich als Newbie sieht das wie der Versuch eines buffer overflows aus.
Und nun wird's vollkommen paranoid: es ist gut möglich und sogar wahrscheinlich, dass sich ein Nachbar (hier wohnen ein paar Dunkelmänner, die für einen staatlichen Dienst, den ich hier nicht nennen will, arbeiten und sich von mir bedroht fühlen) "physikalisch" durch Anzapfen meiner Telefonleitung mit mir vernetzt haben.
Ist dies möglich? Ich habe schon x-mal alles neuinstalliert, sogar ein low-level Format getätigt, alles für die Katz. Hat irgendjemand schon mal Ähnliches gehört. Gibt es Erfahrungen mit "Predator" oder "Magic Lantern"?
__________________
.....diagonally parked in a parallel universe........

Alt 06.07.2003, 13:35   #2
Rene-gad
 
Magic Lantern? - Beitrag

Magic Lantern?



hi Nubul,
Willkommen an Board!
Ein Paar Fragen:
Was für:
1. Betriebssystem
2. AntiVirus-Prog
3. Firewall
hast du? Gibt es irgendwelche "verdächtige" Einträge im Traffic-Protokoll von FW? Kannst du die mit Whois zurückverfolgen?
Hier noch ein Paar Links, die für dich nützlich seien könnten:
PCFlank-Trojan- und Portscanner
GFI-Trojanscanner
AV-Online Scanner
StartUp-Manager

[ 06. Juli 2003, 15:15: Beitrag editiert von: Rene-gad ]
__________________


Alt 06.07.2003, 14:13   #3
Der Hirsch
 
Magic Lantern? - Beitrag

Magic Lantern?



Hi,

</font><blockquote>Zitat:</font><hr />Original erstellt von Nubul:
Und nun wird's vollkommen paranoid: es ist gut möglich und sogar wahrscheinlich, dass sich ein Nachbar (hier wohnen ein paar Dunkelmänner, die für einen staatlichen Dienst, den ich hier nicht nennen will, arbeiten und sich von mir bedroht fühlen) "physikalisch" durch Anzapfen meiner Telefonleitung mit mir vernetzt haben.
Ist dies möglich? Ich habe schon x-mal alles neuinstalliert, sogar ein low-level Format getätigt, alles für die Katz. Hat irgendjemand schon mal Ähnliches gehört. Gibt es Erfahrungen mit "Predator" oder "Magic Lantern"?
</font>[/QUOTE]Ja, klar doch. Falls du das ernst meinst, wäre vielleicht mal ein Erfahrungsaustausch mit Kato und mit Tupac570 sinnvoll.

Ansonsten: nach LowLevel-Formatierung ist Schicht im Schacht. Da überlebt nichts, wir hatten hier schonmal diese Diskussion, s. 1. Link.
Ich glaube nicht, dass deine Nachbarn dein Telefonleitung angezapft haben, es sei denn, du hättest richtig "Dreck am Stecken". Ein kleiner Autonomer, Hausbesetzer oder PDS-Mitglied ist für Geheimdienste und Staatsschützer eher uninteressant [img]graemlins/lach.gif[/img]
Sollten solche Behörden Schnüffelprogramme einsetzen, wirst du das mit deinen Bordmitteln (ZA & Co) nicht mitbekommen.

Gruß
Der
__________________

Alt 06.07.2003, 14:22   #4
Nubul
 
Magic Lantern? - Beitrag

Magic Lantern?



Hi Rene-gad,
ich benutze 98, nicht mehr SE. Als AV benutze ich AVG (ich weiss, es gibt bessere, für mich eine Kostenfrage, bin arm), Firewall sygate 4.2 prof. und Trojancheck 5. Was dauernd ins Netz will und von mir unterbunden wirdob's verdächtig ist, weiss ich nicht) nennt sich : Kernkomponente des Windows-BS kernel 32.dll und "Distributed COM Services:C:\Windows\System\RPCSS.exe". LexPPS.exe habe ich entfernt. Browser: Opera 7.11 und Firebird 0.6. Bei Opera will dann mal gerne was bei port 1024 oder 1034 raus. (nennt sich mal FADMIN - F........ oder ähnliches, immer verschieden). Ich muss es mir mal aufschreiben, mache ich nämlich ein rule, geht Opera gar nicht mehr. Gehe ich mit Firebird irgendwohin, muss ich erstmal zulassen, dass von port 53 (DOMAIN Domain Name Server) etwas an 62.225.251.16 (=Telekom, ich gehe aber nicht mit denen ins Netz) rausgeht. Unterbinde ich dies, geht nix mehr. Besonders enervierend ist das surfen Sonntags.
Gruss Nubul
__________________
.....diagonally parked in a parallel universe........

Alt 06.07.2003, 14:37   #5
Who Cares
 
Magic Lantern? - Beitrag

Magic Lantern?



Hi,
du kannst ja auch mal OnlineScanner von Trendmicro, www.RavAntiVirus.com oder mcafee freescan probieren (besser IE benutzen; Systemanforderungen beachten !!)

Vor allem RAV sollte für dein Problem etwas besser geeignet als AVG sein..

(@all: Scannt Freescan auch - so einigermaßen befriedigend wie die Desktop-Version - LZK-Dateien ?)


Alt 06.07.2003, 14:42   #6
Nubul
 
Magic Lantern? - Beitrag

Magic Lantern?



Hallo Hirsch,
selbstverständlich habe ich (zumindest momentan) keinen "Dreck am Stecken". Falls es was mit'm Dienst zu tun hat, ist das auch nicht "offiziös", sondern eher eine persönliche Sache. Zwischen den Zeilen wurde mir gesteckt: eine dieser "Ratten" hat es persönlich auf mich abgesehen, will mich hier wegmobben. Die Quälereien am PC sind da nur ein Teil. Wie ich es sehe: ein alltäglicher Nachbarschaftshader mit einem Zuträger, der beim Dienst die Pferde scheu macht, oder einen "Kollegen" bittet, ihm mit "Bordmitteln" ein bisschen zu helfen. Das Ganze ist ein halber Roman, vielleicht wird's ja auch mal einer. Aber manchmal ist die Realität so überzogen, dass man es keinem erzählen kann, klingt einfach zu unglaubwürdig und soll es ja dann auch.
Das mit dem lowlevel-format ist schon eine ganze Zeit her, vielleicht mache ich das bemnext nochmal.
Wer sich hier übrigens für die "Spielereien" der Dienste interessiert: www.totalitaer.de.
Gruss Nubul
__________________
--> Magic Lantern?

Alt 06.07.2003, 14:47   #7
Rene-gad
 
Magic Lantern? - Beitrag

Magic Lantern?



@Nubul
AVG ist kein schlechtes Programm, ich kenne auch die Profis, die es benutzen. Die Sache, dass es kein cent kostet, macht das Programm weder schlechter, noch besser (s. im Board die Tadel-Berichte von NAV, z.B.). Allerdungs würde ich den Online-Scan mit Bitdefender vorschlagen (Link s.o.), vorher Echtzeitscanner von AVG abschalten, Temp+Cache+Papierkorb leern, Registry säubern (JV16 Link s.u.), und ein Paar Tests von PCFlank (Port -und Trojan). wenn du doch nix findest - dann würde ich die Daten sichern und System neu booten, am besten - komplett format c:\ mit fdisk (die neuen Partitionen erstellen).

Alt 06.07.2003, 16:49   #8
docprantl
 
Magic Lantern? - Ausrufezeichen

Magic Lantern?



Hallo Herr Bott!
</font><blockquote>Zitat:</font><hr />Original erstellt von Nubul:
Wer sich hier übrigens für die "Spielereien" der Dienste interessiert: www.totalitaer.de.</font>[/QUOTE]VORSICHT, TROLLALARM!!!1! [img]graemlins/pfui.gif[/img]
__________________
Tugenden, subst. fem. pl. - gewisse Enthaltsamkeiten
[Ambrose Bierce, "Des Teufels Wörterbuch"]

Alt 06.07.2003, 18:19   #9
Nubul
 
Magic Lantern? - Beitrag

Magic Lantern?



@ Dr Prantl: Hallo, weder heisse ich Bott noch weiss ich, was ein Trollalarm ist. Bitte um Aufklärung.
__________________
.....diagonally parked in a parallel universe........

Alt 06.07.2003, 18:48   #10
docprantl
 
Magic Lantern? - Icon26

Magic Lantern?



In unregelmäßigen Abständen postet jemand hier derartigen Bullshit und verlinkt auch auf die von dir verlinkte Seite.
__________________
Tugenden, subst. fem. pl. - gewisse Enthaltsamkeiten
[Ambrose Bierce, "Des Teufels Wörterbuch"]

Alt 06.07.2003, 19:59   #11
Nubul
 
Magic Lantern? - Beitrag

Magic Lantern?



@ Dr Prantl: Also wenn Sie das, was ich hier anfrage als bullshit bezeichnen, sind Sie für mich halt ein Ignorant oder ein der Desinformation verpflichteter gesellschaftlicher Mitarbeiter.
__________________
.....diagonally parked in a parallel universe........

Alt 06.07.2003, 20:18   #12
docprantl
 
Magic Lantern? - Icon26

Magic Lantern?



Du bezeichnest dich als Newbie und wirfst trotzdem mit fachlichen Termini um dich. Du meinst, daß deine Datenübertragung gedrosselt wird? Wie willst du das festgestellt haben? Woher weißt du, daß jemand was in deine Registry schreibt? Warum vermutest du irgendwelche Dunkelmänner? Wie soll etwas ein LowLevel-Format überleben? Wie kommst du auf MagicLantern? Außerdem verlinkst du auf totalitaer.de... Solche Stories hatten wir hier schon zuhauf. Ein Schelm, wer diesmal Arges vermutet....

doc"ein der Desinformation verpflichteter gesellschaftlicher Mitarbeiter"prantl
__________________
Tugenden, subst. fem. pl. - gewisse Enthaltsamkeiten
[Ambrose Bierce, "Des Teufels Wörterbuch"]

Alt 06.07.2003, 20:58   #13
Der Hirsch
 
Magic Lantern? - Cool

Magic Lantern?



Hab ich's doch geahnt... [img]tongue.gif[/img]

Alt 06.07.2003, 22:45   #14
Nubul
 
Magic Lantern? - Beitrag

Magic Lantern?



Hier bringe ich jetzt mal ein Beispiel, was in diesen "unzugeordneten cluster" abgespeichert wird. Vielleicht sagt es ja irgendjemand was.

00000000 00080000 00000000 00000003 00000000 0000000000000003 0000001E
00000069 01C343F7FB8227A0 12070201 00000000 00000000 00000000 Sygate Personal Firewall Pro 4.2.872 smc
0000006A 01C343F7FBACE120 12070202 00000000 00000000 00000000 Start Sygate Personal Firewall Pro... smc
00000073 01C343F8007C4380 12070202 00000000 00000000 00000000 Sygate Personal Firewall Pro has been started. smc

12:8:36 delete trident config...
12:8:36 delete netport...
12:8:36 Netport Manager thread stopped!
12:8:36 delete Wps...
12:8:36 Disable damper...
12:8:36 Open stop event
12:8:36 Kill Timer: 1024
12:8:36 end gui thread
12:8:36 save sys config.
12:8:36 sys config has been saved.
12:9:57 STD version!!!
12:10:4 TeeferOpen Mem=1024 NIC=0000...12:10:5 Success
12:10:5 TSE is located at: D:\PROGRAMME\SYGATE\SPF\
12:10:6
============ Network Interface List =========
12:10:6 =============================================
12:10:6 TSE started.
12:10:6 Use new Config... 45177
12:10:6 Apply Config... 45177
12:10:7 ULD: uld file initialized, total: 0
12:10:8 Switch To New Location... 46359
12:10:8 Apply Config... 46359
12:10:8 ULD: uld file initialized, total: 0
12:10:8 Start TridentEngine... 46364
12:10:8 initial service success
12:10:16 STD version!!!
12:10:16 -start
12:10:16 command line has been handled
12:10:16 handle showgui event
12:10:16 create gui thread
13:35:18 STD version!!!
13:35:30 TeeferOpen Mem=1024 NIC=0000...13:35:30 Success
13:35:30 TSE is located at: D:\PROGRAMME\SYGATE\SPF\
13:35:30
============ Network Interface List =========
13:35:30 =============================================
13:35:30 TSE started.
13:35:30 Use new Config... 42237
13:35:30 Apply Config... 42237
13:35:31 ULD: uld file initialized, total: 0
13:35:31 Switch To New Location... 42759
13:35:31 Apply Config... 42759
13:35:31 ULD: uld file initialized, total: 0
13:35:31 Start TridentEngine... 42761
13:35:31 initial service success
13:35:43 STD version!!!
13:35:43 -start
13:35:44 command line has been handled
13:35:44 handle showgui event
13:35:44 create gui thread
19:14:23 STD version!!!
19:14:29 TeeferOpen Mem=1024 NIC=0000...19:14:29 Success
19:14:29 TSE is located at: D:\PROGRAMME\SYGATE\SPF\
19:14:29
============ Network Interface List =========
19:14:29 =============================================
19:14:29 TSE started.
19:14:29 Use new Config... 34314
19:14:29 Apply Config... 34314
19:14:29 ULD: uld file initialized, total: 0
19:14:29 Switch To New Location... 34716
19:14:29 Apply Config... 34736
19:14:29 ULD: uld file initialized, total: 0
19:14:29 Start TridentEngine... 34740
19:14:29 initial service success
19:14:51 STD version!!!
19:14:51 -start
19:14:52 handle showgui event
19:14:52 create gui thread
19:14:52 command line has been handled
19:14:57 Message Console fail to get system log from sylog, the log id is 7201


Wichtig wäre für mich auch mal etwas über dieses ominöse vbsfile (s.o.) zu erfahren.
__________________
.....diagonally parked in a parallel universe........

Alt 07.07.2003, 05:22   #15
Lucky
/// Helfer-Team
 
Magic Lantern? - Beitrag

Magic Lantern?



</font><blockquote>Zitat:</font><hr />Original erstellt von Nubul:

Wichtig wäre für mich auch mal etwas über dieses ominöse vbsfile (s.o.) zu erfahren.
</font>[/QUOTE]Welches vbsfile? Ich erkenne in den Logs kein VBS File?
Ausserdem ist das das normale Logfile der Sygate Firewall. Das zeigt den Start und den Beendenvorgang dieser, sofern ich das jetzt am frühen Morgen richtig erkenne.

Lucky
__________________
Kein Support per PM!

Antwort

Themen zu Magic Lantern?
arbeiten, banke, banken, data, dateien, dienst, erfahrungen, firewall, folge, folgendes, format, hochfahren, kaltstart, meinem, nenne, neuinstallation, nicht, problem, rechner, recht, registry, sachen, seite, seiten, sekunden, shell, start, trojaner, updates, zugriff




Zum Thema Magic Lantern? - Hallo, ich habe ein Problem auf meinem Rechner, welches ich offensichtlich nicht lösen kann. Ich habe Grund zu der Annahme, dass irgendjemand Zugriff auf meinen Rechner hat, obwohl ich keinen - Magic Lantern?...
Archiv
Du betrachtest: Magic Lantern? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.