Supportnet / Forum / WindowsXP
HILFE BEI TROJANER IDENTIFIZIERUNG UND BEHEBUNG
Frage
Halli hallo alle zusammen,
wir haben mit einem unserer Rechner folgendes Problem:
[b]
Irgendwann nach einem Besuch im Internet und auf falschen Mausklick bekamen wir eine Warnung auf den Desktop! die sah ungefähr so aus:
[/b]
[code]
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=windows-1252">
<STYLE>TD {
FONT: 14px Arial; COLOR: white
}
</STYLE>
<META content="MSHTML 6.00.2600.0" name=GENERATOR></HEAD>
<BODY bgColor=black>
<TABLE height="100%" width="100%">
<TBODY>
<TR>
<TD align=middle>
<TABLE
style="BORDER-RIGHT: gray 1px dashed; BORDER-TOP: gray 1px dashed;
BORDER-LEFT: gray 1px dashed; CURSOR: hand; BORDER-BOTTOM: gray 1px dashed"
onclick="window.open('http://213.159.117.130/?affid=NAT-10');" height=470
cellSpacing=0 cellPadding=0 width=640>
<TBODY>
<TR>
<TD vAlign=top bgColor=black>
<TABLE width=640>
<TBODY>
<TR>
<TD width=120 rowSpan=2>
<TD><SPAN
style="FONT: bold 26px Arial; COLOR: yellow">WARNING!</SPAN></TD></TR>
<TR>
<TD><SPAN style="FONT: bold 30px Arial; COLOR: white">YOU'RE
IN DANGER!</SPAN></TD></TR></TBODY></TABLE><BR><BR>
<DIV
style="PADDING-RIGHT: 10px; PADDING-LEFT: 10px; PADDING-BOTTOM: 10px;
PADDING-TOP: 10px"><STRONG>ALL
YOU DO WITH COMPUTER IS STORED FOREVER IN YOUR HARD DISK. WHEN YOU
VISIT SITES, SEND EMAILS... ALL YOUR ACTIONS ARE LOGGED. AND IT IS
IMPOSSIBLE TO REMOVE THEM WITH STANDARD TOOLS. YOUR DATA IS STILL
AVAILABLE FOR FORENSICS. AND IN SOME CASES FOR YOUR BOSS, YOUR
FRIENDS, YOUR WIFE, YOUR CHILDREN.</STRONG><BR><BR>Every site you or
somebody or even something, like spyware, opened in your browser,
with all images, and all downloaded and maybe later removed movies
or mp3 songs - <FONT color=yellow>ARE STILL THERE</FONT> and could
broke your life!<BR><BR>
<P
style="FONT: bold 24px Arial; MARGIN-LEFT: 110px; COLOR: yellow">SECURE
YOURSELF RIGHT NOW!</P></DIV></TD></TR>
<TR>
<TD>
<TABLE cellPadding=10 width="100%" bgColor=gray>
<TBODY>
<TR>
<TD align=middle><A style="COLOR: black"
onclick="return false"
href="file:///C:/WINDOWS/desktop.html#">Removal
instructions</A></TD></TR></TBODY></TABLE></TD>
</TR></TBODY></TABLE></TD></TR></TBODY></TABLE></BODY></HTML>
[/code]
Das Bild das sich hinter diesem Quelltext verbirgt idt jetzt auf dem Desktop zu sehen.
Darüber sind dann die Desktopsymbole!!!
Wenn man dem Hinweis folgt, der bei diesem Bild angegeben ist, dann bekommt man folgende URL:
http://213.159.117.130/?affid=NAT-10
Kennt jemand von euch das Problem?
Kann uns vielleicht jemand helfen?
Meine Frau traut sich nicht mehr mit diesem Rechner ins Internet!!!
Müssen wir jetzt den Rechner ganz PLATT MACHEN???
Vielen Dank für eure Aufmerksamkeit!!!
Wir hoffen auf eure Hilfe!!!
Liebe Gruesse aus Berlin
Mig und Tini
Antwort 1 von Limbius
Ich sag mal der Server ist in Russland und hat Port 21 offen - wahrscheinlich um CODE für einen Virus/Trojan nachzuladen....
Linkey Ltd ist für den Server verantwortlich laut RIPE...
Ich würde mir einfach einen Virenscanner installieren/aktualisieren und mit HijackThis / Adawre den PC scannen - ist besser als nach Russland zu fahren ;-)
Linkey Ltd ist für den Server verantwortlich laut RIPE...
Ich würde mir einfach einen Virenscanner installieren/aktualisieren und mit HijackThis / Adawre den PC scannen - ist besser als nach Russland zu fahren ;-)
Antwort 2 von Chrno
Entweder ists Werbung, oder was ich befürchte: Spyware!
Besorgt euch am Besten sofort (falls noch nicht vorhanden):
Ein Antivireprogramm
Eine Firewall
Ad-Aware
HijackThis (zur Sicherheit)
Spybot
Lasst die Programme laufen und schaut, ob sich das Problem löst.
Besorgt euch am Besten sofort (falls noch nicht vorhanden):
Ein Antivireprogramm
Eine Firewall
Ad-Aware
HijackThis (zur Sicherheit)
Spybot
Lasst die Programme laufen und schaut, ob sich das Problem löst.
Antwort 3 von Mig und Tini
Hallo Limbius, hallo Chrno,
Vielen Dank für EURE SUPERSCHNELLE Antwort ersteinmal!!!
Ich hab schon mal von HIJACKTHIS gehört, und es schonmal besorgt, leider komme ich damit überhaupt nicht zurecht!!!
Wie kann ich dateien fixen?
und so weiter!!! Versteht Ihr was ich meine???
gibt es eine alternative Lösung???
Vielen Dank für EURE SUPERSCHNELLE Antwort ersteinmal!!!
Ich hab schon mal von HIJACKTHIS gehört, und es schonmal besorgt, leider komme ich damit überhaupt nicht zurecht!!!
Wie kann ich dateien fixen?
und so weiter!!! Versteht Ihr was ich meine???
gibt es eine alternative Lösung???
Antwort 4 von Limbius
die alternative Lösung wäre zurückschlagen...
1. Den bekannten CIDR_Adressen Exploit für ProFTPD 1.2.9. nutzen und auf den Server in Russland einen Virus/trojaner laden ;-)...
Dazu muss man allerdings Ip Adressen spoofen können damit man nicht Besuch aus Russland bekommt ;-) !
Lad dir das Programm HijackThis herunter und teste es aus.... Ich glaube in Erinnerung zu haben das man damimt aus seine Registry VORHER sichern kann...
mache das dann auch bitte ...
1. Den bekannten CIDR_Adressen Exploit für ProFTPD 1.2.9. nutzen und auf den Server in Russland einen Virus/trojaner laden ;-)...
Dazu muss man allerdings Ip Adressen spoofen können damit man nicht Besuch aus Russland bekommt ;-) !
Lad dir das Programm HijackThis herunter und teste es aus.... Ich glaube in Erinnerung zu haben das man damimt aus seine Registry VORHER sichern kann...
mache das dann auch bitte ...
Antwort 5 von Nichtsnutz
HijackThis - bebilderte Anleitung
nach "Save log" automatisch auswerten lassen
Automatische Auswertung Ihres HijackThis Logfiles
nach "Save log" automatisch auswerten lassen
Automatische Auswertung Ihres HijackThis Logfiles
Antwort 6 von Poison
Du hast scheinbar einen Trojaner oder Spyware drauf.
Falls Du nicht genau weisst was das ist, hier Infos darüber:
Alle Trojaner und RATs (Remote Administration Tool) arbeiten nach folgendem Prinzip: sie bestehen aus 2 Programmteilen, dem Server und dem Client. Der Server befindet sich auf dem PC (Host), der "ferngewartet" werden soll, der Client auf dem PC, von dem aus Kontrolle ausgeübt werden soll.
Die meisten dieser Programme enthalten auch einen Scanner, der festgelegte Adressbereiche nach aktiven Servern absucht.
Infizierungsarten
Getarnt als harmloses Programm wird die ausführbare Datei vom User selbst gestartet und der Trojaner installiert sich daraufhin auf die Festplatte und in die Registry. JEDES PROGRAMM KANN EIN POTENTIELLER TRÄGER EINES TROJANERS SEIN.
Es gibt Programme, die harmlose EXE.Dateien mit Trojanern "verbinden" d.h. zuerst wird das Trägerprogramm gestartet und anschliessend installiert sich vom User unbermerkt der Trojaner.
Mittels der Software kann der "Hacker" sogar die Ports auswählen, die der Trojaner benutzen soll, bzw. dem Programm eine beliebiges Icon zuweisen oder auch den Namen unter dem der Trojaner in der Registry "auftaucht" beliebig auswählen, was die Suche danach erschwert.
Mögliche Gefahren
Eingriffe in das System des Remote Rechners (Host)
erzwungener Neustart
Remote Rechner wird zum Absturz gezwungen
Passwort Spionage
Aufzeichnung sämtlicher Tastatureingaben (Key Logging)
Erzeugung eines Chat Fensters am Remote PC
Veränderung der Registry
ist eine Webcam am Remote PC angeschlossen, kann sie vom Client aus gestartet werden
das gleiche gilt für Audio Aufzeichnungen, sofern ein Microphon angeschlossen ist
Abspielen einer Sounddatei am Remote Computer
Schnappschuss der Bildschirmansicht
Manipulation an Dateien und Verzeichnissen
komplette Übernahme des Remote Rechners (Hijacking)
Tastatursperre des RR
Öffnen und Schliessen des CD-ROM Faches
Vertauschen der Maustaste
Umleitung des Datenverkehrs (hierbei fungiert der Remote Computer als Proxy Server, damit kann der "Hacker" unter dessen IP auf einen anderen Host zugreifen)
Überwachung und Kopie des Datenverkehrs eines Messenger Dienstes (ICQ, MSN)
Übernahme der ICQ-Identität
Abänderung des Screensavers, Desktops, Spiegelung der Bildschirmansichts des Hosts
Du solltest das Abscannen mit dem Virenscanner im abgesicherten Modus (F8 beim booten drücken) machen.
Wenn Du die infizierte Datei lokalisiert hast, dann die Systemwiederherstellung deaktivieren (Rechtsklick auf Arbeitsplatz / Eigenschaften / Systemwiederherstellung und dort die Systemwiederherstellung deaktivieren), wieder im abgesicherten Modus booten und die Datei löschen.
Wieder booten, nochmal den Scanner durchlaufen lassen und erst wenn nichts mehr gefunden wird, die Systemwiederherstellung wieder aktivieren.
Falls Du mit McAffee nichts findest, versuchs mit folgenden Programmen:
HijackThis http://www.hijackthis.de/hijackthis_198.zip
Spybot Search & destroy http://www.safer-networking.org/de/spybotsd/index.html
Weitere Infos dazu findest Du hier:
http://www.browser-hijacking.de.vu/
Wegen HijackThis: lass das durchlaufen und speichere das Ergebnis. Du kannst das Logfile dann erstmal hier auswerten lassen: http://www.hijackthis.de/ (einfach alles in die Textbox kopieren) .
Alles was dabei als verdächtig (rot gekennzeichnet) angezeigt wird solltest Du - falls Du es nicht kennst - sicherheitshalber löschen. Dazu nochmal HijackThis durchlaufen lassen und beim Ergebnis die verdächtigen Einträge mit "Fix it" entfernen lassen.
Weiters empfehle ich ich Dir folgende Programme:
Security Task Manager : http://www.neuber.com/taskmanager/deutsch/index.html
A² - Trojaner- und Spyware Scanner : http://www.a-2.org/de/software/free/
Es könnte sich aber eventuell auch um den Windows - Nachrichtendienst handeln:
Mittels des Windows -Nachrichtendienst ist es möglich, fremden Systemen unter Eingabe der IP oder eines ganzen IP-Bereiches eine Nachricht zukommen zu lassen . Eigentlich ist dieser Dienst für die interne Nachrichtübermittlung in Windows - Netzwerken gedacht, wird jedoch zunehmend auch durch Spammer missbraucht. Doch mittels eigens dafür entwickelten Programmen, ist der Nachrichtversand auch über das Internet möglich. Infos dazu und die deaktvierung des Nachrichtendienstes:
http://www.trojaner-info.de/nachrichtendienst/
Gruss Poison
Wer einen Fehler macht und ihn nicht korrigiert, begeht einen zweiten.
Konfuzius
Falls Du nicht genau weisst was das ist, hier Infos darüber:
Alle Trojaner und RATs (Remote Administration Tool) arbeiten nach folgendem Prinzip: sie bestehen aus 2 Programmteilen, dem Server und dem Client. Der Server befindet sich auf dem PC (Host), der "ferngewartet" werden soll, der Client auf dem PC, von dem aus Kontrolle ausgeübt werden soll.
Die meisten dieser Programme enthalten auch einen Scanner, der festgelegte Adressbereiche nach aktiven Servern absucht.
Infizierungsarten
Getarnt als harmloses Programm wird die ausführbare Datei vom User selbst gestartet und der Trojaner installiert sich daraufhin auf die Festplatte und in die Registry. JEDES PROGRAMM KANN EIN POTENTIELLER TRÄGER EINES TROJANERS SEIN.
Es gibt Programme, die harmlose EXE.Dateien mit Trojanern "verbinden" d.h. zuerst wird das Trägerprogramm gestartet und anschliessend installiert sich vom User unbermerkt der Trojaner.
Mittels der Software kann der "Hacker" sogar die Ports auswählen, die der Trojaner benutzen soll, bzw. dem Programm eine beliebiges Icon zuweisen oder auch den Namen unter dem der Trojaner in der Registry "auftaucht" beliebig auswählen, was die Suche danach erschwert.
Mögliche Gefahren
Eingriffe in das System des Remote Rechners (Host)
erzwungener Neustart
Remote Rechner wird zum Absturz gezwungen
Passwort Spionage
Aufzeichnung sämtlicher Tastatureingaben (Key Logging)
Erzeugung eines Chat Fensters am Remote PC
Veränderung der Registry
ist eine Webcam am Remote PC angeschlossen, kann sie vom Client aus gestartet werden
das gleiche gilt für Audio Aufzeichnungen, sofern ein Microphon angeschlossen ist
Abspielen einer Sounddatei am Remote Computer
Schnappschuss der Bildschirmansicht
Manipulation an Dateien und Verzeichnissen
komplette Übernahme des Remote Rechners (Hijacking)
Tastatursperre des RR
Öffnen und Schliessen des CD-ROM Faches
Vertauschen der Maustaste
Umleitung des Datenverkehrs (hierbei fungiert der Remote Computer als Proxy Server, damit kann der "Hacker" unter dessen IP auf einen anderen Host zugreifen)
Überwachung und Kopie des Datenverkehrs eines Messenger Dienstes (ICQ, MSN)
Übernahme der ICQ-Identität
Abänderung des Screensavers, Desktops, Spiegelung der Bildschirmansichts des Hosts
Du solltest das Abscannen mit dem Virenscanner im abgesicherten Modus (F8 beim booten drücken) machen.
Wenn Du die infizierte Datei lokalisiert hast, dann die Systemwiederherstellung deaktivieren (Rechtsklick auf Arbeitsplatz / Eigenschaften / Systemwiederherstellung und dort die Systemwiederherstellung deaktivieren), wieder im abgesicherten Modus booten und die Datei löschen.
Wieder booten, nochmal den Scanner durchlaufen lassen und erst wenn nichts mehr gefunden wird, die Systemwiederherstellung wieder aktivieren.
Falls Du mit McAffee nichts findest, versuchs mit folgenden Programmen:
HijackThis http://www.hijackthis.de/hijackthis_198.zip
Spybot Search & destroy http://www.safer-networking.org/de/spybotsd/index.html
Weitere Infos dazu findest Du hier:
http://www.browser-hijacking.de.vu/
Wegen HijackThis: lass das durchlaufen und speichere das Ergebnis. Du kannst das Logfile dann erstmal hier auswerten lassen: http://www.hijackthis.de/ (einfach alles in die Textbox kopieren) .
Alles was dabei als verdächtig (rot gekennzeichnet) angezeigt wird solltest Du - falls Du es nicht kennst - sicherheitshalber löschen. Dazu nochmal HijackThis durchlaufen lassen und beim Ergebnis die verdächtigen Einträge mit "Fix it" entfernen lassen.
Weiters empfehle ich ich Dir folgende Programme:
Security Task Manager : http://www.neuber.com/taskmanager/deutsch/index.html
A² - Trojaner- und Spyware Scanner : http://www.a-2.org/de/software/free/
Es könnte sich aber eventuell auch um den Windows - Nachrichtendienst handeln:
Mittels des Windows -Nachrichtendienst ist es möglich, fremden Systemen unter Eingabe der IP oder eines ganzen IP-Bereiches eine Nachricht zukommen zu lassen . Eigentlich ist dieser Dienst für die interne Nachrichtübermittlung in Windows - Netzwerken gedacht, wird jedoch zunehmend auch durch Spammer missbraucht. Doch mittels eigens dafür entwickelten Programmen, ist der Nachrichtversand auch über das Internet möglich. Infos dazu und die deaktvierung des Nachrichtendienstes:
http://www.trojaner-info.de/nachrichtendienst/
Gruss Poison
Wer einen Fehler macht und ihn nicht korrigiert, begeht einen zweiten.
Konfuzius
Antwort 7 von Poison
Zitat:
Falls Du mit McAffee nichts findest, versuchs mit folgenden Programmen
Falls Du mit McAffee nichts findest, versuchs mit folgenden Programmen
Ich meinte natürlich einen beliebigen Virenscanner ;-)
Gruss Poison
Wer einen Fehler macht und ihn nicht korrigiert, begeht einen zweiten.
Konfuzius
Antwort 8 von pete6915
Meine Member Forums Kollegen haben im Grunde genommen schon alles sehr gut erklärt.
Da Du ein Win-XP System hast, so empfehle ich Dir trotzdem dieses kleine Tool herunterzuladen, und Dein "Pünktchen" in "Einzelner Computer" zu setzen. Den Rest macht dieses Tool automatisch.
Dein Computer wird erst einmal "dichtgezimmert" (Ports), in der Win-Verwaltung/Dienste. Also, was Du normalerweise mühselig manuell machen müsstest, dass macht dieses kleine Tool automatisch für Dich, es schaltet die überflüssigen Dienste in der Verwaltung/Dienste ab, damit nicht mehr so viele Ports geöffnet sind.
http://www.dingens.org/
Gruss Pete
Da Du ein Win-XP System hast, so empfehle ich Dir trotzdem dieses kleine Tool herunterzuladen, und Dein "Pünktchen" in "Einzelner Computer" zu setzen. Den Rest macht dieses Tool automatisch.
Dein Computer wird erst einmal "dichtgezimmert" (Ports), in der Win-Verwaltung/Dienste. Also, was Du normalerweise mühselig manuell machen müsstest, dass macht dieses kleine Tool automatisch für Dich, es schaltet die überflüssigen Dienste in der Verwaltung/Dienste ab, damit nicht mehr so viele Ports geöffnet sind.
http://www.dingens.org/
Gruss Pete