Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Hab ich einen Trojaner oder nicht

Maik (Anonym) / 4 Antworten / Baumansicht Nickles

hab Atguard aktiviert, beim einwählen ins Netz Blockt Atguard sofort,
folgende Einträge stehen unter anderem im Eventlog:

Rule " Implicit block rule" blocked (62.158.60.64, Backdoor-g-1).
Details:
Inbound TCP connection
Local adress,service is (62.158.60.64, Backdoor-g-1)
Remote adress,service is (62.224.20.213 ,2796)
Process name is "N/A"


Rule "Default Block Back Orifice" blocked (62.158.60.64,Back-Orifice).
Details:
Inbound UDP packet
Local adress,service is (62.158.60.64,Back-Orifice)
Remote adress,service is (171.218.25.120,1030)
Process name is "N/A"

Jetzt meine Fragen:
Hab ich einen Trojaner an Board oder nicht, was bedeuten die IP-Adressen und kann ich heraus finden wer versucht auf meinen Rechner zuzugreifen ???

Können eigentlich die Angriff Versuche Durch dringen wenn ich mit dem
T-Onlinedecoder meine E-mails abhole????

Ich Danke allen die mir Helfen können schon im voraus für die bemühungen.

bei Antwort benachrichtigen
Carrie Maik (Anonym) „Hab ich einen Trojaner oder nicht“
Optionen

Nope, kein Trojaner, achte darauf = nur wo du in den logs unter Details outbound (!) packets siehst, handelt es sich um einen Trojaner (heisst der Verbindungsversuch geht von deinem PC aus), alles andere sind lediglich Versuche/Portscans (!) von ausserhalb.
----nein, die Versuche koennen deine anderen Verbindungen absolut nicht gefaehrden, da das damit nichts zu tun hat, das ist ungefaehr so als wuerde ein Einbrecher im Flur eine Tuer Nr.31337 probeweise anfassen, waehrend du an einer voellig anderen Tuer (sagen wir Nr.1025) im anderen Stock rausgehst, in den Briefkasten gegenueber siehst und sie wieder hinter dir verrammelst, und das was der "Angreifer" sehen koennte -wenn er wuesste wie- reicht nicht um in eine solche Verbindung einzudringen (er sieht bestenfalls noch das Klappen der Tuer, aber noch nichtmal was du getan hast, ein Angreifer sieht immer sehr wenig (und doch zuviel)) ---was nicht heisst dass es nicht theoretisch (!!!) moeglich waere sich in so eine Verbindung einzumischen (indem man sich zB als Briefkasten tarnt :)bzw als dein Gegenueber) aber realistisch gesehen wird das kaum jemand schaffen, und dein Angreifer ist ohnehin nur ein harmloser Tueranfasser, also keine Panik.
---->die IP Adressen (local=du, remote=dein gegenueber) kannst du zB ueber Nslookup zu Hostnamen aufloesen (auch unter win erhaeltlich), dann hast du in der Regel das zustaendige Providernetz und koenntest dich beschweren (ist aber bei portscans IMHO unnoetig und ohne Rechtsgrundlage). seeya_Carrie

bei Antwort benachrichtigen
Maik (Anonym) Nachtrag zu: „Hab ich einen Trojaner oder nicht“
Optionen

Herzlichen Dank für die Antwort, jetzt bin ich aber beruhigt.

Frohe Ostern
Maik

bei Antwort benachrichtigen
Manuela Maik (Anonym) „Hab ich einen Trojaner oder nicht“
Optionen

Du könntest noch zusätzlich checken, ob sich ein unerwünschter Gast eingenistet hat.

Ich zitiere mal (aus meinem Internet-Skriptum):

Meist wählt ein Trojaner eine der zahlreichen Möglichkeiten, um beim Systemstart geladen zu werden. Es gibt auch Trojaner, die aktiv werden, sobald eine Netzverbindung besteht. Es ist jedenfalls nützlich zu wissen, welche Wege ein Trojaner einschlagen kann, um automatisch gestartet zu werden.
· Autostart-Ordner
Diese Möglichkeit führe ich nur der Vollständigkeit halber an, weil sie die bekannteste ist. Genau deswegen wird kein Trojaner sich dort eintragen.
· WIN.INI
Gefährlich sind Zeilen, die mit „load=“ oder „run=“ beginnen. Besonders raffinierte Trojaner tragen sich nicht direkt hinter dem „=“-Zeichen ein, sondern fügen zahlreiche Leerzeichen dazwischen ein, damit nicht auf den ersten Blick erkennbar ist, daß in dieser Zeile noch etwas steht. Falls ein horizontaler Scrollbalken existiert, bis ganz nach rechts blättern und kontrollieren.
· SYSTEM.INI
Eine Eintragung erfolgt unter „shell=“. Üblicherweise steht dort „explorer.exe“. sobald sich dort weitere Eintragungen befinden, wird es verdächtig.
· AUTOEXEC.BAT
Wird wegen des hohen Bekanntheitsgrades kaum von Trojanern benutzt.
· CONFIG.SYS
Wenn sich ein Trojaner als Treiber tarnt, trägt er sich hier ein. Sehr selten, weil schwer zu programmieren.
· WINSTART.BAT
wird beim Hochfahren von Windows ebenfalls ausgeführt. Kaum bekannt, daher anfällig.
WININIT.INI
Muß sich nicht auf jedem System befinden. Am besten eine leere Datei dieses
Namens anlegen und schreibschützen.
· PROGMAN.INI
Wird aus Kompatibilitätsgründen zu Win3.1 beim Start verarbeitet.
· CONTROL.INI
Bis jetzt kein Fall bekannt, es wäre aber denkbar, daß ein Trojaner diese Datei
nützt.
· Registry
Es gibt 8+1 Möglichkeiten.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
Den letzten Eintrag gibt es nur bei Mehrbenutzersystemen.


WIN.INI, AUTOEXEC.BAT, CONFIG.SYS und SYSTEM.INI kann man editieren,
indem man Start/Ausführen/sysedit eingibt. Bei Manipulationen jeglicher Art ist immer äußerste Vorsicht geboten. Fehler in diesen wichtigen Systemdateien können dazu führen, daß Windows nicht mehr hochfährt. Die anderen Dateien bzw. die Registry muß man „per Hand“ überprüfen.

bei Antwort benachrichtigen
Housemaster Maik (Anonym) „Hab ich einen Trojaner oder nicht“
Optionen

Hi!
Wenn du ganz sicher gehen willst, hol dir das Programm "TheCleaner".
Erkennt über 1000Trojaner. Sind nur 1,15MB
http://www.netfx.net/dsi/cleaner3.exe

bye
Housi

bei Antwort benachrichtigen