|
BACKDOOR Trojaner - Firewall, idle und Emule Ich habe vor einiger Zeit mit meinen Virenscannern eine backdoor Variante entdeckt und löschen lassen, nun habe ich mir die Kerio Firewall heruntergeladen, und es tauchte bei "niedriger" und bei "Intrusions hoher Priorität" backdoor auf. Bei niedriger Priorität "BACKDOOR DeepThroat 3.1" und "BACKDOOR Matrix 2.0". Bei hoher "BACKDOOR win-trin00 connection attempt" = attempted admin und "BACKDOOR TCPDUMP/PCAP trojan traffic" = trojan activity von http://hlug.fscker.com (Seite hab ich kontrolliert, da wird man weitergeleitet zu einer Info bei welcher gesagt wird der Server wäre mit Trojanern infiziert und down.) Nun habe ich die Frage, sind das einfache Internet-Angriffe ohne Bedeutung die von meiner Firewall abgefangen werden, oder vielleicht sogar auch ohne kein Problem sind, oder habe ich vielleicht noch immer einen Trojaner auf dem Rechner? Wie gesagt, ich habe 3 Virenscanner (McAfee, Antivir, Adaware) und alles ist clean laut deren Diagnose. Außerdem könnte ein Trojaner die process idle Funktion von MS XP nutzen? Wie merke ich was bei den idle Prozessen normal läuft und was nicht? Kann ich diese Funktion auch ändern/abschalten? Mir ist, gerade im Zusammenhang mit Emule, wenn der PC idle war er regelmäßig abgestürzt bis vor kurzem... Hoffentlich weiß jemand Rat...danke im Voraus! P.S.: Ich habe versucht Kerio zu updaten, dann kommt, "Bei der Updateüberprüfung ist ein Fehler aufgetreten. Bitte versuchen sie es erneut." Ist das normal, benutzt sonst noch jemand Kerio? |
Bei Kerio gibt es Links zu den entsprechenden Vorfällen, etwa diesen für BACKDOOR: http://www.whitehats.com/info/ids106 sowie: http://www.whitehats.com/info/ids202 http://www.whitehats.com/info/ids/152 http://www.whitehats.com/info/ids/444 etc. U.U. ist das ja nur ein ganz allgemeiner Versuch, aber gerade wegen der Probs die ich hatte, und weil mein Rechner auch mal mit BACKDOOR infiziert war würde ichs gerne genau wissen... Auch wie ich die idle Fkt. konfigurieren könnte. |
Zitat:
Mache einen Portscann auf Deinem Rechner, dann checke die Ports mit infizierten Ports ( nach Trojan List ). Hole Dir PortBlocker ( kostenlos ) dann kannst Du ggf. Ports blocken und Dein Rechner ist "clean" for angriffen. Es bringt Dir aber nix, wenn Du 8432979748397849748974823978423 Viren scanner hast, manche Viren/ BackDoors lassen sich so in Deinem Rechner verpflanzen, daß Du keine Chance hast, über einen Viren/Trojanscanner diesen Infect zu löschen. Glaube mir ruhig, ist so! |
@AlbinoII beireits bei einem Backdoor ist von Microsoft dringends empfohlen, das BS neu aufzusetzten - egal ob du eine DFW hast oder nicht. Mehr dazu: The Ten Immutable Laws of Security. Bei zwei oder mehr Backdoors kommt etwas anderes, als format c:\ gar nicht infrage. @ScannerzWorld-Hackerz ..schön wäre's, wenn du TOFU sowie TUFO in der Zukunft vermeidest. |
wenn du das System wieder aller Vernunft erhalten willst (sei es das noch Daten drauf sind die du sichern willst usw. usf.) besorg dir nen Virenscanner (nein nicht über deinen PC runterladen) starte im abgesicherten Modus und scanne dann die komplette Kiste und ALLE Dateien,ganz nett ist in dem Fall Kasperski oder GDATA AVK aber nur mal angenommen ich würde mit Trojas rumspielen, dann hättest du momentan nen rootkit drauf bei dem die Chancen das du es findest und sauber aus dem System bekommst eher sehr gering sind ;-) wenn du ihn los bist (oder besser sofort wenn ein sauberer Rechner greifbar ist)wechsle sämtliche Passworte etc. die du genutzt hast, geh davon aus das sie ein anderer auch kennt |
Zitat:
Bin eben ein Laie, sorry. Zitat:
Kann ein backdoor auch so arbeiten, dass er bei mir als Windows Messenger erscheint? So nach dem Motto "Mess. will zu port X zugreifen blabla..." selbst wenn ich ihn eigentlich deaktiviert hatte? Oder greift Mess auch dann noch zu wenn ich ausgestiegen bin, gibts da eine Grundregel? Würdet ihr also alle sagen das mein Rechner, nachdem wie ich es oben beschrieben habe infiziert ist? Dass das nicht bloß Andockversuche waren sondern jemand erfolgreich an meinem Rechner rumwerkt? Bitte gebt mir auch einen Tipp bezüglich der Überprüfung bzw. Änderung der idle Tasks. MfG |
Wie kann ich eigentlich alle Tasks aus meinem Taskmanager rüberkopieren damit sich die vielleicht mal jemand ansehen kann? |
@AlbinoII Schau mal hier ob der link dir weiterhilft: http://pestpatrol.com/pest_info/de/b...pthroat_31.asp bzw. http://pestpatrol.com/pest_info/de/m/matrix_2_0.asp dort sind beide Typen genau beschrieben! Frage: Hast du denn seit jeher ein AV-Programm oder erst kürzlich gesaugt? Deine Firewall hat einen Zugriff erkannt u. diesen blockiert, dass ist immer gut! Grüße FER |
Zitat:
Der zeigt auch noch alle Starteinträge von Windows http://www.trojaner-board.de/51130-a...ijackthis.html Gruß paff |
Zitat:
Zitat:
Übrigens bei Pestscan hab ich auch getestet, es wurde nichts, außer ein bisschen Adware die ich größtenteils entfernte, entdeckt. Auch der BACKDOOR wurde, glaube ich zumindest, von McAfee ziemlich schnell entdeckt, darum bin ich ja noch immer nicht mal sicher ob diese Angaben von Kerio auf einen Trojaner bei mir, oder nur auf einen üblichen I-net Andockversuch hindeuten... Kann mir das jemand sagen? |
Kann man hpztsb01.exe eigentlich als etwas unnötiges bzw. gefährliches ansehen, dass man löschen sollte? |
Habe jetzt einen Hijack gemacht: http://www.trojaner-board.de/showthr...newpost&t=6386 |
Zitat:
Man hilft immer gerne! Der Backdoor wurde von McAffee erkannt, dass bestätigt auch dein Log - ist alles sauber. Tatsache ist aber, dass du gut daran getan hast dir eine Firewall zu saugen! Deine Firewall hat einen unbefugten Zugriff erkannt u. blockiert. Grüße FER |
Auch wenn dir FER noch zehnmal zu deiner Firewall gratuliert: viel wichtiger als die Verhinderung eines Connectversuchs mit einem Trojaner, den du bereits auf deiner Festplatte hast, ist es, alles dafür zu tun, dass du dir ein solches Programm gar nicht erst oder wieder einfängst. Dann brauchst du nämlich auch keine Firewall mehr, die dich evtl. in falscher Sicherheit wiegt. Auch 10 zusätzliche Programme helfen nichts, wenn DU die Lücken für die Trojaner durch dein Surfverhalten und die Einstellungen deines Systems selbst bereitstellst. Hast du keinen Trojaner drauf, kann man von Außen scannen und versuchen zu connecten wie man will und da deiner Aussage nach der Trojaner bereits vor diesem Vorfall entfernt wurde, ist der Block dieses "Zugriffs" durch Kerio faktisch sinnlos und nichts, wofür du eine Firewall gebraucht hättest oder was deren Installation so toll machen würde. Besser wäre eine komplette Neuinstallation und danach die Einhaltung folgender Regeln: 1. Windowsupdate regelmäßig in kurzen Abständen 2. IE (außer für das Update) und Outlook durch Alternativprogramme ersetzen, die sicherer sind und diese dann auch entsprechend konfigurieren (Java-Script deaktivieren beispielsweise oder nur dann einschalten, wenn die Seite absolut vertrauenswürdig ist) 3. Gehirn benutzen (besonders beim Surfen auf Seiten fragwürdigen Inhalts und beim Umgang mit mails) 4. Unnötige Windowsdienste deaktivieren (siehe u.a. www.dingens.org) Und ein bißchen informieren, u.a. auf diesen Seiten hier. :) Viel (Software) hilft viel, ist nicht unbedignt das beste Sicherheitskonzept. |
Zitat:
(hab leider auch keinen Brenner...) Zitat:
Zitat:
Schon mit einer Firewall kann ich auf einige Seiten schwerer oder erst wenn ich sie abschalte zugreifen (etwa Onlinebibliothekskataloge), da wären die Einschränkungen natürlich groß. Mir haben mal Leute gesagt, dass die Alternativprogramme eigentlich nicht sicherer sind, sondern bloß weniger Leute versuchen sie zu hacken, wegen der geringeren Verbreitung. Was natürlich trotzdem ein Argument bleibt, auch wenn, sollte sich jemand die Mühe machen, manche Alternativprogramme vielleicht sogar noch leichter zu knacken sind. Zitat:
Zitat:
Zitat:
Vielen Dank für die Relativierung, Du hast natürlich recht, bloß manche Dinge sind einfach ziemlich aufwendig bzw. man kommt nicht gleich drauf. Glaub aber das die Hinweise für alle nützlich sind... MfG |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:16 Uhr. |
Copyright ©2000-2024, Trojaner-Board