Ich habe da mal eine Frage an die Experten und zwar:

Können Viren und/oder Trojaner (und ähnliches Zeug) auch auf den PC kommen, wenn ich keinen explizten Download starte?
Damit meine ich, wenn ich die Virus-datei z.B. nicht öffne, in Form eines Attachments einer email beispielsweise. Oder wenn ich - im IE auf Ziel speichern unter... klicke.
Mir ist schon klar, dass das Surfen immer ein Download ist.

Abhilfe oder 99%ige Sicherheit schafft vermutlich nur eine firewall bzw. ein AV-Programm, oder?

Die Suchfunktion ergab da leider nix aussagekräftiges!

Schon mal vielen Dank für die AWs! ;)

wenn du ein ungepatchtes system hast, reicht es bei einigen schädlingen,
wenn du online bist... - blaster war da ein gutes beispiel, sasser ist ein
aktuelles.

nicht einmal ein aktueller virenscanner hilft dir da, nur eine firewall und
natürlich ein auf aktuellestem stand gepatchtes betriebssystem.

CU,
HAL9000

Sieht man z.B. die Aktivität von Trojanern oder Viren, wenn man im XP oder Win2000 den Task-Manager mit Strg-Alt-Enf aufruft? :confused:
Das da halt dann eine exe.-datei läuft, oder so....

Original geschrieben von judma
Sieht man z.B. die Aktivität von Trojanern oder Viren, wenn man im XP oder Win2000 den Task-Manager mit Strg-Alt-Enf aufruft? :confused:
Das da halt dann eine exe.-datei läuft, oder so....
im prinzip ja, aber nicht immer direkt, weil sich einige tarnen...

du musst aber wissen, wonach du suchst, weil sehr viele prozesse laufen,
und die wenigsten wissen, was jetzt zum system gehört und was sich
unerlaubterweise eingeschlichen hat.

wenn du einen verdacht hast, dann von den virenherstellern die programme
für akutmaßnahmen downloaden (z.b.: mcafee's stinger) und über das system
laufen lassen.

das system patchen, virensignaturen aktualisieren, ad-blocker software
laufen lassen und das system manuell scannen (viren, ad-ware). dann
sollte es wieder sauber sein...

CU,
HAL9000

dazu kann ma nur mehr eins sagen (was aber schon oft gesagt wurde): firewalls, virenscanner und antivirenprogramme müssen nicht immer was kosten sondern sind auch gratis im web zu finden! ;)

schau dir mal diesen artikel bzw workshop auf chip.de an:
http://www.chip.de/artikel/c_artikel_8806005.html?tid1=26113&tid2=0
alles freeware und im normalfall ausreichend. 100%-ige sicherheit gibt´s mit diesen software-mitteln nicht, aber für den normaluser sollt´s ausreichen.

vergiss firewalls etc, a nicht-linux rechner is nu immer das sicherste.

a erster schritt, wär den ie nichtt zu benutzten...


aber zur frage: ja, leider. der letztens (wos den einen deutschen verhaftet hatten) war der erste, der sich rein über direktverbindungen weiterverbreitet hatte, also nicht über mail o.ä. wie bis jetzt immer der fall war...

Original geschrieben von x_sL!p_x
vergiss firewalls etc, a nicht-linux rechner is nu immer das sicherste.

wie gsagt, wenn du mir das ganze aufsetzt (ein freund von mir macht das schon für sich seit einer woche bei sich zaus :rolleyes: :rolleyes: ), und dann auch immer als support zur verfügung steht nehm i sofort linux! :D

Es soll ja auch solche Programme geben, die emails an alle im Adreßbuch gespeicherten Leute schickt.
Ist das dann unabhängig vom jeweiligen Emailprogramm (Outlook [Express], Eudora...) oder sind gewiße Emailprgramme "anfälliger" für solche Art von Viren (o.ä.)?

im prinzip von allen möglich, aber outlook is am anfälligsten da von microsoft

100%-ige sicherheit gibt´s mit diesen software-mitteln nicht

100%ige Sicherheit gibt NIE auch wennst ein Professionelles Produkt einsetzt !! Netmal nicht-surfen is 100% sicher .. aber das wird jetzt philosophisch :D

Ein frisch aufgestztes System ist immer offen wie ein Scheunentor :( egal ob Linux oder Windows.

Ein Windows System ohne Patches, und Firewall würd i nie mehr ans Inet hängen, weil viele Homeuser zig Viren & Würmer auf ihren Rechnern haben und damit das (Provider-)Netz verseuchen (AON is ganz schlimm :( ) ohne das sie es wissen, oder mitbekommen, außer "das Rechner halt bissl langsam is". ;)

Die XP-Interne Firewall zu aktivieren is schon mal ein guter Anfang und wahrscheinlich besser als eine 3rd-Party Software (ZoneAlarm, Kerio, Tiny) und alle Requests durchzulassen, weil ma sich net ganz sicher ist, was da anklopft ;). Wer sich aber eine Firewall zusätzlich installiert, sollte sich die Anleitung genau durchlesen, und am besten von außen NIX reinlassen

Bei Antiviren software net vergessen regelmäßig die Virendefinitionen Upzudaten ;)

hallo!

ich bin zwar kein computerexperte, da ich jedoch in letzter zeit einige probleme mit meinem pc hatte, kenn ich mich mittlerweile auch schon ein bissl mit trojanern etc aus...

da gibt's so einige ganz nützliche programme, die dein system auf alles mögliche überprüfen - und die auch ziemlich sicher viel "mist" auf deinem pc finden:
zb ad-aware: http://www.chip.de/downloads/c_downloads_8833064.html
hijack this: http://www.chip.de/downloads/c_downloads_11353576.html
(zeigt dir, welche programme etc. so bei dir laufen (ev. auch dialer etc.))
und dann noch spyboot search & destroy oder auch den cw shredder...(hab jetzt leider die www.adresse nicht - aber bei google solltest das gleich mal finden)

alles ganz nützliche programmchen, muss ich sagen... :)

jo, dann noch einen schönen tag!

lg sandra

Original geschrieben von WarEagle
Die XP-Interne Firewall zu aktivieren is schon mal ein guter Anfang und wahrscheinlich besser als eine 3rd-Party Software (ZoneAlarm, Kerio, Tiny) und alle Requests durchzulassen, weil ma sich net ganz sicher ist, was da anklopft ;). Wer sich aber eine Firewall zusätzlich installiert, sollte sich die Anleitung genau durchlesen, und am besten von außen NIX reinlassen

was hast du gegen zonealarm pro??? :confused: :confused: :confused: is doch super das ding, und einstellen kann ma auch so gut wie alles!!

ahja, hier kann ma schaun wie dicht seine firewall is: http://security.symantec.com/

Original geschrieben von EineDrahra
ahja, hier kann ma schaun wie dicht seine firewall is: http://security.symantec.com/

Tolles Ding, das nur mit IE, NS und Safari rennt. What the hell is Opera? So was geht ma echt am Geist.

Hilft zwar nicht wirklich aber ich hab seit ich mitn Combjuda arbeit noch nie an Virus oder dergl. ghabt.

Kaufts Euch halt an Mac!!! ;)

Original geschrieben von EineDrahra
was hast du gegen zonealarm pro??? :confused: :confused: :confused: is doch super das ding, [/url]

gar nix !! ... wollte nur sagen nur weil ma a (Marken-)Firewall installiert is das System no net sicher, wenn ma net genau weiß welche Ports ma aufmacht oder dicht macht. ;)

So, jetzt habe ich mir so ein Antivirus/-trojaner Proggi am PC installiert und das funzt anscheinend ganz gut. Melded alle paar Minuten, dass sich da ein "backdoor"-Programm durch die schmale Telefonleitung einschleichen will... :D

Was für ein Programm hast du denn?

Original geschrieben von roadrunner82
Was für ein Programm hast du denn?

Ein russisches! :D

Die Russen wußten immer schon, wie man Spione elimiert! Nennt sich "Kaspersky Anti-Virus Personal". :D

Sucht der nur nach Viren oder auch nach adware und tracking-cookies? Weil alle paar Minuten ein Virus is schon ein bisserl viel. ;)

Original geschrieben von roadrunner82
Sucht der nur nach Viren oder auch nach adware und tracking-cookies? Weil alle paar Minuten ein Virus is schon ein bisserl viel. ;)
Der durchsucht alles, was da durch die Leitung kommt. ;)

In Verbindung mit Firefox oder Mozilla a guate G'schicht (bis dato) ;)

Aso. Weil sonst wärs schon ein bisserl viel. Is so ja auch noch viel.

... mit ner gscheiten software kann dir nicht viel passiern und wennst noch ne firewall hast (egal ob hardware oder software firewall) dann bist relativ sicher - jedoch wird man nie einen sicherheitsstatus von 100% erreichen können .....

bezüglich den trojanern - ich hatte schon trojaner auf der platte nur durchs surfen im i-net - denn die meisten browser speichern daten (html, jpg, gif) lokal ab; der ie browser speichert die daten standard-mäßig auf "\Temporary Internet Files\Content.IE5\" ab. Der ordner "Content.IE5" ist meistens versteckt und beinhaltet weitere vier ordner in denen die files gespeichert werden.

Einige wahnsinnige, programmiern die trojaner in den html code und da die html datei vom browser lokal abgspeichert wird, hast den trojaner auf der festplatte ..... die meisten viren programme erkennen den fehler (sofern du die auto-protection aktiviert hast - norton antivirus) .... hab mir noch nie nen trojaner genauer angschaut (vom code her), aber es gibt einige trojaner die vermehren sich von selber durch nen scheduler task, dieser startet sich meistens von alleine.

Man kann aber lokal abgespeicherte daten löschen, indem man unter 'Internet Options' auf 'Delete Files' klickt - man kann auch unter 'Internet Options', oben auf 'Advanced', in diesem fenster auf 'Security' die option 'Empty Temporary Internet Files folder when browser is closed' aktivieren - dann werden die daten automatisch nach dem schließen des browsers gelöscht.

lg ca.avr|downhill

An unusual method is used to infect victim machines. Web servers are compromised using a JavaScript Trojan, Trojan.JS.Scob.a. It is not yet clear whether the servers have been compromised via a new vulnerability, or an already documented one.

When Internet Explorer is used to view a site on an infected server, the Trojan will take control of the victim machine, and redirect the browser to a site containing a PHP script. This is done using an unknown vulnerability in Internet Explorer. A version of Backdoor.Padodor (.w, .x, .y, or .z) will then be installed on the victim machine. This spy program enables full remote control over victim machines.

Most versions of Padobor contain the line 'Coded by HangUp Team' or 'Coded by HT', leaving no doubt as to the author's identity.

Wollte mal wieder den Thread aus gegebenen Anlaß ausgraben und zwar: immer wenn ich im BB unterwegs bin, öffnet sich von meinem AV-Programm ein PopUp-Fenster, dass mir die Mitteilung gibt, dass ein "Backdoor-Programm" versucht, ins System einzudringen. Ist das ein Virus? Ein Trojaner? Sonst was?
Was kann es machen? Gefährlich/ungefährlich, lästig?

Original geschrieben von judma
... Was kann es machen? Gefährlich/ungefährlich, lästig?
backdoor ist sicher nicht ungefährlich, aber mir ist so was noch nie
passiert beim surfen im bb. eher klopft da von wo anders wer bei dir
an... - hat sicher nix mit bb zu tun.

firewall installieren, dann ist ruhe... :)

CU,
HAL9000

Original geschrieben von HAL9000
firewall installieren, dann ist ruhe... :)

Nun, hatte ich. Muß ich aber komplett abdrehen, sonst geht das I-net net....:(
Also für die Fisch. :mad:

Bin somit auf ein AV-Programm ausgewichen, dass eben auch die ganze Nicht-Viren findet. Und das, meiner Meinung nach, sehr gut. ;)

Original geschrieben von judma
Nun, hatte ich. Muß ich aber komplett abdrehen, sonst geht das I-net net....:(
Also für die Fisch. :mad: ...
:confused: wie das travnicek? kann ja nicht sein.

und ein virenscanner alleine kann nie all das abfangen, was eine firewall
blockiert. also schau, dass du beides laufen hast... :)

CU,
HAL9000

Original geschrieben von HAL9000
:confused: wie das travnicek? kann ja nicht sein.

und ein virenscanner alleine kann nie all das abfangen, was eine firewall
blockiert. also schau, dass du beides laufen hast... :)

CU,
HAL9000

War aber leider so!

Aber, ich bin auf meinem anderen PC 2 Jahre ohne irgendein Virenprogramm oder Firewall problemlos gefahren. Es gab nie ein Problem.

Jetzt habe dort 2 Betriebssysteme installiert, einerseits XP home ed. und andererseits Win95, mit dem ich surfen tu'. Und das funzt echt :toll:, Win 95 auf einem 2,6 GHz Rechner >> fasten your seatbelts...:D

Original geschrieben von judma
.......immer wenn ich im BB unterwegs bin, öffnet sich von meinem AV-Programm ein PopUp-Fenster, dass mir die Mitteilung gibt, dass ein "Backdoor-Programm" versucht, ins System einzudringen. .......

Könnte das mit den Werbebanners zusammenhängen (die ja von einer anderen Site u. damit Domain kommen)? Die legen u.a. ja Cookies ab bzw. wollen die aktualisieren. Vielleicht ist das Prog. da etwas undifferenziert und nennt das alles "Backdoor" (eh klar, prinzipiell ist das ja so eine Aktivität - vielleicht indizert das der Scanner dann, wenn sich von einer adneren Domain "noch was" tut).

Original geschrieben von Bernd67
Könnte das mit den Werbebanners zusammenhängen (die ja von einer anderen Site u. damit Domain kommen)? Die legen u.a. ja Cookies ab bzw. wollen die aktualisieren. Vielleicht ist das Prog. da etwas undifferenziert und nennt das alles "Backdoor" (eh klar, prinzipiell ist das ja so eine Aktivität - vielleicht indizert das der Scanner dann, wenn sich von einer adneren Domain "noch was" tut).
Ich habe alles, was von Tripple.at (das ist doch der Banner) gesperrt.

Habe auch den IE in den Einstellungen so geändert, dass er immer brav fragt, ob ich ein Cookie haben will oder net.;):D

Original geschrieben von judma
Ich habe alles, was von Tripple.at (das ist doch der Banner) gesperrt.

Habe auch den IE in den Einstellungen so geändert, dass er immer brav fragt, ob ich ein Cookie haben will oder net.;):D

vielleicht reagiert der Scanner früher (wenn sowas möglich ist), da er etliches auf einer anderen Ebene merkt (und die Applikation erst später, da es erst "durch" sein muß - ich denke da an TCP Ports, die doch ein Stockwerk tiefer unten sind im OSI Modell... wen ich mich richtig erinnere).

dazu müßte man jetzt wissen, wie das ganze technisch aufgebaut ist.

Original geschrieben von judma
Habe auch den IE in den Einstellungen so geändert, dass er immer brav fragt, ob ich ein Cookie haben will oder net.;):D

Also wennst den IE als Standardbrowser verwendest, dann würd ich mir keine Sorgen um die Cookies machn - die sind halb so gfährlich und stellen nicht wirklich ein sicherheitsrisiko da - ich würd mir viel mehr Sorgen um die ActiveX Elemente machn.

Hab meinen Browser so konfiguriert, dass er bei jedem ActiveX und bei jedem PlugIn um erlaubniss fragt.


ActiveX ist das main-problem beim Microsoft Internet Explorer.

Aber keine sorge, bald kommt der Internet Explorer 7.0 raus - basiert auf Netscape/Mozilla!!!

Original geschrieben von ca.avr|downhill

Aber keine sorge, bald kommt der Internet Explorer 7.0 raus - basiert auf Netscape/Mozilla!!!

und das neue windows kommt unter der GPL Lizenz raus? :D ;)

also geplant ist es:

http://www.mozillazine.org/talkback.html?article=3034
http://gemal.dk/archives/000040.html

http://www.html-world.de/news.php?show=322


mal sehn was draus wird ;)

*gg* sachen gibts... :D

kann aber nur ein hoax sein...

als ich bin der meinung, das jeder der ADSL, sDSL, oder sonstiges DSL, T1,T2, .... hat:

jeder dieser sollte zuhause mind. eine linuxrouter/firewall, S-NAT/D-NAT, Contentproxy, portblocker,.. am laufen haben....

dazu reicht ein alter rechner (Pentium III 300MHz, 128MB-Ram, 8GIG-HD) ohne peripherie... also nur 1 netzwerkkarte zum internen hub/switch, oder direkt zum eigentlich Arbeitscomputer. Eine Netzwerkkarte zum DSL-Modem.

Dann schaut man auf www.astaro.com... dort gibts ein fertiges packet, für den heimuser gibts eine gratis lizenz!!!, zum runterladen... das brennt man auf cd.. installiert das ganze. konfiguriert das ganze! (deutsche Manual gibts auf www.astaro.org) und man hat einen günstigen Router zusammengebastelt, und wenn man schon alle Bauteile ghabt hat, dann kostets gar nichts mehr.... bis vielleicht linuxtaugliche NICs (Netzwerkkarten) die kosten aber in der Regel ab 10 Euro.

wer fragen hat kann mich gerne fragen... habe seitdem keine probleme mehr mit diesen würmern usw... natürlich habe ich auch noch in meinem netzwerk einen antivirus-server der immer auf updates überprüft. auf allen clientrechnern hab eich auch eine kleine windows-firewall am laufen, die davor schützt das ich spezielle programme auf den windowsrechnern vom internet "trennen" kann.

Hier ein Screenshot meines LANs (zu 90% bereits realisiert):

Netzwerk (http://www.jousch.com/galerie/album03/localnet_lan_plan.jpg)

Verbreitung erfolgt über Suchmaschinen
Schädling zwang Google auch in Österreich in die Knie
"MyDoom" kehrt zurück: Neue Variante im Anmarsch

Ein so genannter Internetwurm hat Experten zufolge die Funktion von Internet-Suchmaschinenen beeinträchtigt. Der Wurm sei anscheinend auch für den zweitweiligen Ausfall der Suchmaschine Google in den USA und einigen Ländern Europas verantwortlich. "Die jüngste Version von MyDoom, die verstärkt auf Mailboxen eingelaufen ist, benutzt die Suchmaschinen, um sich weiter zu verbreiten", teilte der US-Sicherheitsforschungsdienst SANS mit.

Einige Suchmaschinen-Betreiber hätten sich über eine Beeinträchtigung der Leistung ihrer Großrechner beklagt. Der Wurm MyDoom hatte Anfang Februar bereits weltweit für Aufregung gesorgt, als er unter anderem die Web-Seiten der US-Softwarefirma SCO lahm gelegt hatte.

Experten hatten eine deutliche Verlangsamung der Performance bei verschiedenen Internet-Seiten festgestellt, als deren Ursache sie Viren-Attacken oder anders geartete Angriffe auf das Internet nicht ausgeschlossen hatten.

Bin Laden als trojanisches Pferd


"Selbstmord-Video" ist altbekannter Trojaner

Virenspezialisten warnen vor einem Aufguss des IRC-Backdoor-Trojaners "Hackarmy", der seit Jänner 2004 sein Unwesen treibt.
Neu aufgekocht wird der Trojaner durch eine Vielzahl von Postings, die zu einem Download des Schädlings ermuntern.

In Newsgroups und Message-Boards sind Tausende von Meldungen zu finden, die behaupten, dass CNN-Journalisten Anfang der Woche den erhängten Terroristenführer Osama Bin Laden entdeckt hätten. Die Meldungen verweisen auf eine Website, von der eine Datei mit den vermeintlichen Fotos heruntergeladen werden kann.

Die genaue Bezeichnung des Trojaner ist "Troj/Hackarmy
-A", so Sophos.



Bagle-Wurm mit tierischem Anhang: "Cat",


Neue Bagle-Variante .ai schaltet den Virenscanner ab
PLUS: Was die Mutationen Bagle.AB und .AF anrichten

Eine weitere Mutation des Bagle-Wurms ist im Umlauf. Auffälligste Charakteristika von Bagle.ai sind "tierische" Attachements, die der Wurm im Gepäck führt. Die Namen der Dateianhänge können entweder "Cat", "Dog", "Doll" oder "Fish" lauten.

Bagle.ai ist ein Massen-Mailer mit integrierter SMTP-Engine und durchstöbert infizierte Rechner nach E-Mail-Adressen. Zur weiteren Ausrüstung des Wurms gehört ein Remote-Access-Programm. Verschickt wird das Schadprogramm mit unterschiedlichen Attachements, wobei es sich vereinzelt auch um Passwort-geschützte Zip-Files handeln kann. Die Passwörter findet der User praktischerweise gleich im Nachrichtentext.

Bagle.ai bietet sich selbstständig zum Tausch via Peer-to-Peer-Netzwerke an und kopiert sich dazu in freigegebene File-Sharing-Ordner. Weiters verfügt der Eindringling über das Know-how Desktop-Virenscanner zu beenden um sich dadurch für die Viren-Scan-Engine "unsichtbar" zu machen.


Carinth Board (http://www.carinth.united-boards.net/board/main.php?sid=1e8ed1b337aa73fb21d093a6cad98f13)

@ Jousch.Com

Puh, ziemlich aufwendig, für den "normalen" PC-User schon zu komplex. Aber du hast schon Recht, nur so gehts. Einen Extra-Rechner "vorschalten"


Security-SW ist schön und gut, bietet aber keinen 100%igen Schutz, solange man zb XP oder den IE verwendet, die von Haus aus große Lücken haben.

Gefahr geht ebenso von Shareware/Freeware aus. Diese bieten oft nützliche Funktionen, können aber auch schädliche Funktionen beherbergen (Festplatten auf bestimmte Dateien überprüfen, Passworte auslesen, usw.).

...poste ich mal wieder in den Thread rein und zwar. Seit kurzem geht mein I-net sehr, sehr langsam, weil viel mehr Daten rausgehen, als reinkommen. Ich vermute mal, dass da irgendein Wurm oder sowas sich eingeschlichen hat und das trotz AV-Programm und Firewall. :mad::aerger:
Der Unterschied zw. eingehenden und ausgehenden Daten ist ziemlich gravierend. Man sieht, dass permanent Daten gesendet werden, auch wenn ich net poste oder so!

Ich habe anbei ein Foto vom Task-Manager (Win 2000) reingestellt und da wundert es mich, was da alles läuft. :rolleyes: Insgesamt 26 Prozesse!
Anm. es war nur der IE offen, Kaspersky AV läuft, die Firewall (die muß ich leider sehr stark einschränken in ihrer Tätigkeit, weil ich mich sonst gar net in I-net einwählen kann), die LAN-Verbindung (fürs I-net)

Vor einigen Tagen liefen unter den selben Bedingungen noch max. ein Drittel der Anwendungen. :eek:

Nun meine Frage: die meisten dieser Trojaner und ähnlichem Klump wird ja beim Systemstart mitgestartet, ist aber net im Autostart drin, sondern - so vermute ich - in einem Registry-Code. Ist meine Annahme da richtig? Wenn ja, müßt es genügen, wenn ich das Programm aus dem Registry-Zweig für Autostart rauslösche oder? :confused:

Was kann ich noch machen? PC neu formatieren (schon wieder)?

Mich ärgert es nur, weil ich einerseits das System immer up to date halte (alles Updates von Microsoft sind oben), andererseits seit kurzem mit AV und Firewall arbeite (zuvor bin ich jahrelange ohne irgendein solches Utility ausgekommen und das I-net ging schneller, detto der PC und ich hatte nie irgendein Problem, dass in diese Richtung ging) und jetzt mehr Ärger habe, als zuvor! Zugeben, ich hatte vor Win 98 drauf, brauche meinen Heim-PC ja nur zum I-net surfen (BB posten :D) und für sonst nix!

Hallo Mathias!

Mir fällt mal diese "keyhook.exe" auf......ist ein Backdoor!!!!!!!!!!

http://www.pestpatrol.com/pest_info/de/b/backdoor_bo_plugin_keyhook.asp

Original geschrieben von Berni
Hallo Mathias!

Mir fällt mal diese "keyhook.exe" auf......ist ein Backdoor!!!!!!!!!!

http://www.pestpatrol.com/pest_info/de/b/backdoor_bo_plugin_keyhook.asp
Ok, gut, was mache ich jetzt? :confused:

Habe es zwar im Task-Manager beendet, nur das löst das Problem net!

Auch wenn es die Tastatureingaben abfängt, bringt's ihm net viel, ausser dass er meine Eingabe im BB mitverfolgt......:aetsch::p

So, bin auf der angegebenen Website gewesen und das Programm hat 3 verdächtige Cookies gefunden, die ich gelöscht habe.

Aber, was mir da im Task-Manager spanisch vorkommt, ist, dass ein und das selbe Programm 2 oder 3 Mal dort drin erscheint. z.B. svchost.exe explorer32.exe

Des is faul..... :mad:

Original geschrieben von Berni
Hallo Mathias!

Mir fällt mal diese "keyhook.exe" auf......ist ein Backdoor!!!!!!!!!!

http://www.pestpatrol.com/pest_info/de/b/backdoor_bo_plugin_keyhook.asp
So, ich habe das Programm, dass sich im Registry Ordner "Run" (ist wohl der REG-Autostart) rausgelöscht und auch im Ordner C:\WINNT\system32 habe ich das Programm Keyhook.exe (in der Beschreibung steht "SiS Compatible Super VGA Keyboard Daemon") entfernt.

Damit sollte einem von X Würmer/sonst. Klump der Garaus gemacht worden sein, oder? :confused:

Ein einziges Problem ist aber noch geblieben und zwar zeigt Kaspersky AV folgende Meldung, die übrigens regelmäßig kommt!

Was soll ich machen? Löschen lassen, selber löschen, sonstige Vorschläge?

a so a verwurmter Steirer ;) ....

die "sistray" ist lt. Symantec auch ein Trojaner....
http://securityresponse.symantec.com/avcenter/venc/data/trojan.prova.html

Probier die Dinger mal mit Adaware, Spybot, Hijackthis zu entfernen...

was komisch ist eigentlich müsste die Dinger Dein Kaspersky finden. Bist sicher das er noch richtig läuft, und die Updates gemacht wurden?? Hab vor kurzem einen PC unter meinen Fittichen gehabt wo ein Trojaner den Norton komplett lahmgelegt hat....

mit F-Prot hab ich dann so ungefähr 300 verseuchte Dateien gelöscht, und 6 Viren/Trojaner/Würmer gekillt.....

F-Prot rules :D

Original geschrieben von Berni
a so a verwurmter Steirer ;) ....

die "sistray" ist lt. Symantec auch ein Trojaner....
http://securityresponse.symantec.com/avcenter/venc/data/trojan.prova.html

Probier die Dinger mal mit Adaware, Spybot, Hijackthis zu entfernen...

was komisch ist eigentlich müsste die Dinger Dein Kaspersky finden. Bist sicher das er noch richtig läuft, und die Updates gemacht wurden?? Hab vor kurzem einen PC unter meinen Fittichen gehabt wo ein Trojaner den Norton komplett lahmgelegt hat....

mit F-Prot hab ich dann so ungefähr 300 verseuchte Dateien gelöscht, und 6 Viren/Trojaner/Würmer gekillt.....

F-Prot rules :D

Habe ich grade entfernt, aus der registry und aus dem Ordner ...\system32
De sitzen olle do drin.... :mad:
Na wortet's! :s:

Original geschrieben von judma
Ein einziges Problem ist aber noch geblieben und zwar zeigt Kaspersky AV folgende Meldung, die übrigens regelmäßig kommt!

Was soll ich machen? Löschen lassen, selber löschen, sonstige Vorschläge?

LÖSCHEN!!!!

Original geschrieben von Berni
LÖSCHEN!!!!

Scho geschehen, wie auch der sistray!

Kann man den Ordner ..system32 net umbennnen, denn die Programme haben es scheinbar auf den absehen.
Wenn er anders heißt, dann dürfte das Problem wohl entschärft sein.... :rolleyes: :confused:

geh auf
GRC.com (http://www.grc.com) und mach mal einen Portscan "ob Du noch Dicht bist"

---->SHIELDSUP heißt der Scan....(alle Ports scannen lassen!!)

hi judma,

ich hab auch Kaspersky AV, dazu Kerio Firewall.

Dann noch Adaware, Spybot. und "a squared 2"

Das geht recht gut.
Ich verwende Firefox (mozilla) und Thunderbird (mozilla mail) als browser und mail.

Das Problem bei MS Produkten ist halt, das sie so weit verbreitet sind und somit primär Viren und Co dafür gemacht werden.

Jede mail mit Anhang dessen Absender ich nicht kenne wird gleich gelöscht. Jeder download vorm öffnen auf Viren untersucht.

Und trotzdem fand letztens wieder ein Trojaner zu mir. Kaspersky hat ihn aber gefunden und weg is er.
Wichtig is immer alle Programme am neuesten Stand zu halten. Ich update jeden Tag alle Programme, Kaspersky macht das selber alle 3 Stunden.

Kaspersky ist finde ich das beste AntiVIren PRogramm. ICh hatte vorher AntiVir (freeware) dann Norton Antivir und die beiden fanden nicht das alles was die Russen fanden :) Alte Spione eben :D

Original geschrieben von traveller23
hi judma,

ich hab auch Kaspersky AV, dazu Kerio Firewall.

Dann noch Adaware, Spybot. und "a squared 2"

Das geht recht gut.
Ich verwende Firefox (mozilla) und Thunderbird (mozilla mail) als browser und mail.

Das Problem bei MS Produkten ist halt, das sie so weit verbreitet sind und somit primär Viren und Co dafür gemacht werden.

Jede mail mit Anhang dessen Absender ich nicht kenne wird gleich gelöscht. Jeder download vorm öffnen auf Viren untersucht.

Das mache ich eh!

Kaspersky AV dated sich alle paar Stunden up, dann verwende ich Mozilla (normalen, Firefox, Thunderbird). Ausschließlich fürs BB nehme ich den IE 6.0, da die Anzeige merklich besser ist! ;)

Dass ich rigoros alle email attachments lösche, ist für mich selbstverständlich, mit Ausnahme angekündigter Emails + Attachment! Diese Vorgehensweise hat übrigens meinen PC jahrelange virusfrei gehalten (und das ohne irgendein AV-Programm, Spyware oder so a Klump). Dafür halt Win 98, der PC ist aber gegangen wie die Sau! :eek:



Trotzdem danke erstmals für die Hilfe, wenngleich mir da im Taskmanager noch immer zuviele Programme aktiv sind und nach wie vor sehr viel Daten den PC ohne Grund verlassen! :mad:
Besonders stutzig macht mich folgenden: svchost.exe läuft gleich 3x, explorer32.exe 2x.... :confused:

So, den Würmern und sonstigem Unrat am PC geht's jetzt gehörig an den den Kragen! Gleich 8 Spyware-Programme (die net nur Spyware, sondern vieles andere auch finden) haben das System gecheckt und da kam was ans Tageslicht.... :eek: :eek:

Die hamma gleich razzeputz gelöscht und siehe da, plötzlich braus' ma wieder durch Netz mit Heispid! :p :jump:

Original geschrieben von judma
Besonders stutzig macht mich folgenden: svchost.exe läuft gleich 3x, explorer32.exe 2x.... :confused:
svchost ist ein name eines generic host process
ausserdem ist svchost ein service, der über dynamic-link libraries (DLLs) rennt



info svchost:

man findet die svchost-dienste in der registry unter:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\Cu rrentVersion\Svchost

die anwendungen bzw. die dienste sind als value in REG_MULTI_SZ angeführt (man kann selbst dienste starten bzw. löschen - jedoch nicht zu empfehlen)



wintasks 4 professional:

WinTasks 4 Professional ist ein tool mit dem man tasks verwalten kann - recht hilfreich wenn viele tasks laufen und man keinen überblick mehr hat

link: http://www.liutilities.com/products/wintaskspro/



info svhost:

wichtig: svchost ist nicht gleichzusetzen mit svhost!!!!

svchost ist wie oben schon erwähnt ein generic host process und läuft unter windows (ist ein windows service)

svhost ist jedoch eine attacke bzw. ein teil eines virus - falls svhost als task läuft, sofort löschen!!!!

Nein, es läuft svchost.exe und das 3x!

Original geschrieben von judma
Nein, es läuft svchost.exe und das 3x!

ok - dann passt alles, dass svchost drei mal läuft ist normal - bei mir läuft der prozess 4x, je nach art der dienste die unter windows rennen

bei mir rennt svchost als LOCAL SERVICE, NETWORK SERVICE und 2x als SYSTEM



ich wollt oben nur mal für alle verdeutlichen, dass svhost eine attacke ist, weil die meisten den kleinen unterschied übersehn

falls du als betriebsystem winxp pro hast, dann kannst unter DOS den befehl tasklist /svc ausführen

mit tasklist /svc werden alle dienste eines prozesses angezeigt

Original geschrieben von ca.avr|downhill
falls du als betriebsystem winxp pro hast, dann kannst unter DOS den befehl tasklist /svc ausführen

mit tasklist /svc werden alle dienste eines prozesses angezeigt
Nein, habe Win2000! ;)

Original geschrieben von judma
Nein, habe Win2000! ;)
aufjedenfall sind die dienste in der registry aufgelistet oder mit 'nem tool wie WinTasks 4 Professional

also bei meinem Win2000 Rechner in der Arbeit rennt des svchost a 4x!!(Netzwerk!!!)

kann mich aber dumpf errinnern das irgendein Wurm auch mit einer svchost in den Tasks zu finden war :confused:

wor des net da Blaster????? :confused: :(

Original geschrieben von Berni
also bei meinem Win2000 Rechner in der Arbeit rennt des svchost a 4x!!(Netzwerk!!!)

kann mich aber dumpf errinnern das irgendein Wurm auch mit einer svchost in den Tasks zu finden war :confused:

wor des net da Blaster????? :confused: :(
svchost kann durchaus 4x laufen, je nach dienst


ich kenn nur einen blaster wurm und zwar den W32.Blaster.Worm
soviel ich weiß rennt dieser wurm nicht unter dem task svchost - er führt sich selbst aus indem er in der registry unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run den wert windows auto update=msblast.exe hinzufügt

W32.Blaster.Worm wurde am 11. August 2003 entdeckt und der wurm nützt haputsächlich den tcp port 4444, bei den applikationen DCOM RPC den tcp port 135 und bei TFTP den udp port 69

der wurm greift nur diese system an:

Microsoft Windows NT 4.0
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003

hab nachgegoogelt s'war der W32 Welchia B Wurm....

bei den ganzen Würmereien der letzten Zeit kein Wunder mit der Verwirrung :confused:

Original geschrieben von Berni
also bei meinem Win2000 Rechner in der Arbeit rennt des svchost a 4x!!(Netzwerk!!!)

kann mich aber dumpf errinnern das irgendein Wurm auch mit einer svchost in den Tasks zu finden war :confused:

wor des net da Blaster????? :confused: :(

na.. der wurm war sCvhost.exe ... nicht svChost.exe.
schaut aufn ersten Blick allerdings wirklich aehnlich aus.
Und gewesen wars der Gaobot...

Thompson

Original geschrieben von Thompson
na.. der wurm war sCvhost.exe ... nicht svChost.exe.
schaut aufn ersten Blick allerdings wirklich aehnlich aus.
Und gewesen wars der Gaobot...

Thompson


stimmt, im gegensatz zu svchost sind svhost und scvhost sind attacken

scvhost ist ein angriff eines wurms der unter diesen namen bekannt ist:
W32/Agobot-AV, Backdoor.Agobot.3.gen, W32/Gaobot.worm.gen, W32.HLLW.Gaobot.gen, W32/Agobot-BB, WORM_AGOBOT.BB

er verwendet hauptsächlich die tcp ports 135, 445, 13659 und hats auf die dateien, eines mit einfachen login und password geschützten netzwerkes, abgesehn

er läuft auch unter diesen files:

Scvhost.exe
WincfgM32.exe
Winhlpp32.exe
Bla.exe

So, brauche wieder die kompentente Hilfe der BBer!

Auf meinem PC hat sich wieder irgendwas eingenistet. Permanent gehen Daten raus ohne dass ich was tue! :mad: :mad:

Anbei ein Screenshot! Vielleicht kann mir jemand sagen, was da nicht hingehört?! Ich habe I-Explorer, Mozilla Thunderbird offen, mehr net. Und der PC sendet und sendet...

Kaspersky AV auf dem letzten Stand, sowie Ad-Aware sind installiert und haben das System schon abgesucht, einen Haufen gefunden, alles gelöscht und noch immer sendet er! :(

Ich sag's euch, am anderen PC habe ich gor kein Virenprogramm u.ä. oben und der macht seit Jahren kein Problem und auf diesem fahre ich mit Win2000 Prof. und der spinnst alle paar Monate.:aerger:


HELP NEEDED!!!!!!!!!!!!!!!!!!!!!!!!

Original geschrieben von judma
... HELP NEEDED!!!!!!!!!!!!!!!!!!!!!!!!
kümmere dich mal um den dntus26.exe -> klick (http://www.dameware.com/support/kb/article.asp?ID=DW100005)

CU,
HAL9000

@ judma
Für Win 2000 gibts bereits das Service Pack 4. Schon installiert ??
Schließt eine Vielzahl von Sicherheitslücken.

Persönlich entzieh ich vielen Viren einfach die Grundlage sich zu installieren und auszuführen in dem ich bei den Internetoptionen unter Sicherheit alle Punkte mit ActiveX und Java Script deaktiviere.

Diese Einstellung hebe ich nur kurzfristig bei vertrauenswürdigen Seiten ( Bikeboard :D usw. ) auf, und dann auch nur um in Beiträgen Smiles einzufügen. Ansonsten läuft noch ein Activ Port Scanner - Trojancheck 6 ( Freeware) - Sygate Personal Pro Firewall und ein Virenprogramm.
Dazu noch ein DVD Image Backup wenns mal doch wer schafft.
Paranoia läßt grüßen :f:

lg, GO EXECUTE

Original geschrieben von GO EXECUTE
... Paranoia läßt grüßen :f: ...
aber das konto, mit dem du arbeitest hat administrative rechte, oder... ;)

CU,
HAL9000

Original geschrieben von HAL9000
kümmere dich mal um den dntus26.exe -> klick (http://www.dameware.com/support/kb/article.asp?ID=DW100005)

CU,
HAL9000
Schon gefunden! Nur er läßt sich net löschen/deaktivieren! Liegt im Verzeichnis "C:\WINNT\dntus26.exe" und wie lösche ich den. Immer die Meldung: kann nicht gelöscht werden, Quelldatei geöffnet...:s:

Original geschrieben von judma
... kann nicht gelöscht werden, Quelldatei geöffnet...:s:
eh klar... - läuft ja auch noch ;). hast du dir den verlinkten artikel durchgelesen?
(wozu mache ich mir eigentlich die arbeit... :rolleyes: ;))
mit dem löschen dieser einen dateil ist es nicht getan...

CU,
HAL9000

Original geschrieben von HAL9000
eh klar... - läuft ja auch noch ;). hast du dir den verlinkten artikel durchgelesen?
(wozu mache ich mir eigentlich die arbeit... :rolleyes: ;))
mit dem löschen dieser einen dateil ist es nicht getan...HAL9000 So, alles rausgelöst, wie es beschrieben ist, PC sendet noch imma! :( :mad:

Original geschrieben von judma
So, alles rausgelöst, wie es beschrieben ist, PC sendet noch imma! :( :mad:
dreh mal alles auf der firewall für ausgehend ab (hast überhaupt eine
installiert? lt. taskliste nicht), dann sollten die entsprechenden meldungen
kommen, wenn ein programm raus will...

CU,
HAL9000

Original geschrieben von HAL9000
dreh mal alles auf der firewall für ausgehend ab (hast überhaupt eine
installiert? lt. taskliste nicht), dann sollten die entsprechenden meldungen
kommen, wenn ein programm raus will... Firewall kann ich nicht installieren, weil dann funzt das I-net net mehr... :(
Habe da schon u.a. einen PC-Spezialisten gehabt, der hat einige FW durchprobiert, aber keine verträgt sich mit dem I-net...:s:

Original geschrieben von HAL9000
aber das konto, mit dem du arbeitest hat administrative rechte, oder... ;) CU,HAL9000

Lieber nicht. Be my "Guest" reicht fürs surfen. ;)

lg, GO EXECUTE

maximaler schutz:

hardware firewall oder. router mit integrierter firewall
dann eine gscheite software firewall ala mcafee
alle ports sperren die du nicht brauchst!!
cookies generell nicht zulassen, und nur falls du sie für eine seite brauchst, dann temporär zulassen
regelmäßig mit diverse tools (viren, spy, ..) das system cheken

Original geschrieben von judma
Firewall kann ich nicht installieren [...] keine verträgt sich mit dem I-net...:s: das gibt's ned !!!

Original geschrieben von Roox
das gibt's ned !!! Doch, das gibt's. Ich muß die FW komplett abdrehen sonst gibt's kein Einwählen und auch wenn ich die FW erst einschalte, wenn PC schon online, ist's gleich aus!:(

Wer erinnert sich noch an Sasser aus dem Vorjahr?

Der Erfinder/Programmierer des besagten Virus steht seit Di vor Gericht, zu befürchten hat er wenig bis nix!

Der ganze Bericht (http://www.orf.at/050705-88754/88755txt_story.html)!

Hier ein tolles Video zum Download, das zeigt wie Softwarefirewalls einfach ausgeschaltet oder umgangen werden von Trojanern.

Videolink von einem Vortrag des ChaosComputerClub (http://archiv.ulm.ccc.de/chaosseminar/200412-pfw/cs-200412-pfw_video.mp4)

hier noch 2 Links um sein System halbwegs dicht zu bekommen:

http://www.ntsvcfg.de/

Windows-Dienste abschalten (http://www.dingens.org/)

Inhalt des Videos in Kurzfassung: :D
Anfang: Kurzeinführung OSI, IP, UDP, TCP

ab Minute 6: Was soll eine PF leisten

ab Minute 12: Angriffe von Außen
-Self DoS auf Norton Personal Firewall, IDS ausgetrickst -> DNS down
-Bufferoverflow in ISS Blackice, Witty-Wurm (warum ist eine
vergrößerte Codebasis schlecht)
-Dienste konfigurieren -> www.ntsvcfg.de Dingens.org

ab Minute 13: Angriffe von Innen (ohne SYSTEM/Adminrechte)
-Windowsmessages
-Autobestätigung von Personalfirewallsicherheitsabfragen
-PFW tunneln mit Fernsteuerung des IE (viel höher entwickelt als das
Demo von Volker Birk)
-Privilege Escalation via shatter attack (leider kein P O C)
-NPF soll vertrauliche Information schützen, das Gegenteil ist der
Fall
-"Stealth"
-Fazit: PFW kann ihre Aufgabe nicht erfüllen, erzeugt neue
Sicherheitslöcher, verändert Systemverhalten, bremst das System aus
-PF überfordert Nutzer

Ab Minute 70:
Q&A

ich überlege mir einen Security system zu kaufen

derzeit verwende ich Antivir und Adaware beides freeware
doch irgendwie plagt mich die unsicherheit, dass es doch nur freeware ist un dich vielleicht schon verseucht bin....

G-Data 2007 oder Kaspersky v6.0 ???

mein rechner ist schon ein alter blechhaufen (5 Jahre) daher langsam -kaspersyky soll schnell und resourcenschonender sein. g-Data hat eine bessere firewall.

was ratet ihr ??

danke
:wink:

AntiVir kannst vergessen!
Hatte ich auch bis vor kurzen weil viele davon begeistert sind.
Hab dann aber mal die Firewall gewechselt und nicht schlecht geschaut was da plötzlich alles raus will!

Kaspersky Onlineverion getestet und siehe da 2 Würmer, 1 Trojaner und 616 infizierte Dateien am Rechner den ein tagesaktuelles AntiVir nicht mal entdeckt hat! :spinnst?: :k:

AntiVir kannst vergessen!
Hatte ich auch bis vor kurzen weil viele davon begeistert sind.
Hab dann aber mal die Firewall gewechselt und nicht schlecht geschaut was da plötzlich alles raus will!

Kaspersky Onlineverion getestet und siehe da 2 Würmer, 1 Trojaner und 616 infizierte Dateien am Rechner den ein tagesaktuelles AntiVir nicht mal entdeckt hat! :spinnst?: :k:



na super :f: :k: :f:
dankschee

avg -> http://www.grisoft.de/doc/1
+
kerio -> http://www.chip.de/downloads/c1_downloads_13010113.html

na ja hab früher kaspersky ghabt aber mein rechner rennt mit antivir schneller

avg -> http://www.grisoft.de/doc/1
+
kerio -> http://www.chip.de/downloads/c1_downloads_13010113.html

danke -kenn beide nicht...hmmm.sind auch freeware

avg prof gibts auch zum runterladen...

kerio ist freeware


mal testen :wink:

Macht Norton den PC wirklich so langsam? Ich hab den seit 2 Jahren oben aber irgendwie geht er mir schon am A....!

Beim rausschicken der Mails braucht er so lange weil er alles hundert mal prüft! Obwohl die selben Mails vor 2 Sekunden als sie reinkamen ja schon überprüft wurden!

die gesamten software pakete sind allein angewendet zu nichts zu gebrauchen. mein tipp:

maximaler schutz:

hardware firewall oder. router mit integrierter firewall
dann eine gscheite software firewall ala mcafee
alle ports sperren die du nicht brauchst!!
cookies generell nicht zulassen, und nur falls du sie für eine seite brauchst, dann temporär zulassen
regelmäßig mit diverse tools (viren, spy, ..) das system cheken

hört sich seltsam an, aber auch als i-net user hat man verpflichtungen. wie kommen jährlich hunderte firmenserver dazu, sich erpressen zu lassen etc, bloß weil der durchschnittsuser zu blöd/zu faul ist, seine kiste vor missbrauch zu schützen?

zur erklärung: warum sind so viele durchschnittsbürger von malware etc betroffen? keine sau interessiert was du&ich am pc haben.
hauptziel ist es, eine große zahl an infizierten rechenrn als "armee" zu verwenden, um massenangriffe (vorallem eben gegen unternehmen) starten zu können.

jemand hat mal gemeint, die einzige sichere methode sei 1cm luft zwischen kabel & netzwerkkarte ;) aber spaß beiseite: ich möchte an uns alle apellieren, weniger sorglos mit dem medium internet umzugehen. der allgemeinheit, aber auch unser selbst wegen :toll:

im prinzip bei der firewall....deny from all -> alles sperren. und dann die ports öffnen die du brauchst.

nicht allow from all, und dann alle ports zumachen die dir "gerfährlich" erscheinen.