Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Trojanisches Pferd - wie loswerden?

RolandS / 16 Antworten / Baumansicht Nickles

Ich nutze Win98 SE und Norton Internet Security. Es kommt sporadisch vor, dass sich mein PC über Modem automatisch und nicht gefragt irgendwo hineinwählt. Normalerweise nutze ich über DFÜ-Verbindung den MSN-Zugang (call by call), wobei ich aber das Passwort erst eingeben muss, damit das Modem wählt. Norton meldet sich bei der selbständigen Einwahl nicht, wohl aber bei einer bestehenden, über MSN normalen Verbundung, mit "Standard Backdoor / Subseven" entdeckt und "62.54.3.187" wird blockiert, weil hierüber ein Zugriff auf meinen PC versucht wird. Wie kann ich das Zeugs wieder loswerden, ohne den PC neu zu installieren, bzw. verhindern, dass sich der PC über das Modem automatisch irgendwo einklingt (außer das Modem auszuschalten - mache ich sowieso)? Gibt es eine Möglichkeit diese Aktivitäten automatisch zu protokollieren, sodass ich auch weiss, wer oder was über welche Telefonnummer sich wohin einwählt?

bei Antwort benachrichtigen
Harry Hunger RolandS „Trojanisches Pferd - wie loswerden?“
Optionen

Was den "Standard Backdoor/Subseven" angeht, so findest du in diesem Thread eine Erklärung.

Was die selbstständige Einwahl angeht: Verstehe ich das richtig, dass von ganz alleine das DFÜ-Einwahlfenster aufgeht, dass MSN Passwort eingegeben wird, das Modem die klassischen Einwahlgeräusche macht und dann rechts unten in der Taskleiste das typische "Mit dem Internet verbunden" Symbol erscheint? Kannst du das mal genauer beschreiben?

Im Arbeitsplatz unter DFÜ-Netzwerk solltest du bei bestehender Verbindung erkennen können über welche Telefonnummer diese läuft.

bei Antwort benachrichtigen
wolf1960 Harry Hunger „Was den Standard Backdoor/Subseven angeht, so findest du in diesem Thread eine...“
Optionen

Das Modem wählt sich hörbar ein, ohne dass sich der Bildschirminhalt ändert und - zack, erscheint das Verbindungssymbol in der Taskleiste. Die Eintragungen in der DFÜ-Verbindungen sind unverändert.

bei Antwort benachrichtigen
Brezel RolandS „Trojanisches Pferd - wie loswerden?“
Optionen

Hi Wolfgang,
Geh mal zu http://www.ants-online.de/
und suche nach dem Programm "ANTS 2.1", das ist ein kostenloser Trojanerscanner der dein System sehr schnell untersucht.
Wenn Du genau weisst welchen Trojaner Du hast suche mit google o.ä.
nach Infos über diesen und wie Du ihn richtig entfernst.
vielleicht hast DU dir auch einen 0190dialer eingefangen?
Wirklich sicher ist aber nur die Neuinstallation des BS.
Mache Dir vor allem Gedanken darüber woher Du den Trojaner hast und warum Du ihn Dir installiert hast. Soll heissen - jede Fremdsoftware, egal ob vom Kumpel oder aus´m www VOR der Installation nach Viren/Trojanern untersuchen.
Wie Du siehst kann Norton oder wer/was auch immer Dich nicht vor Schadsoftware schützen, dass kannst Du nur selbst durch entsprechendes Verhalten tun.
Der Weg kann ja nicht sein, Schäden zu beheben, sondern Schäden zu vermeiden.

CU, Brezel

bei Antwort benachrichtigen
wolf1960 Brezel „Hi Wolfgang, Geh mal zu http://www.ants-online.de/ und suche nach dem Programm...“
Optionen

Ich habe gar keine KumpelSoftware. Dafür habe ich fünf Rechner im Netz, über die meine family spielt, wobei einer den Zugang ins Internet bietet und die anderen über die Internetverbindung von Windows diese ins Internet nutzt. Sohnemann war im net unterwegs, um mich mit cheats mal wieder übers Ohr zu hauen, und - seitdem habe ich diesen Fremdkörper irgendwo im System.

bei Antwort benachrichtigen
Brezel wolf1960 „Ich habe gar keine KumpelSoftware. Dafür habe ich fünf Rechner im Netz, über...“
Optionen

Du solltest deine Familie über die Gefahren des Netzes und den entsprechenden Umgang damit aufklären. Insbesondere über den Umgang mit Downloads.
Ein Trojaner oder Virus installiert man in der Regel selbst, das "passiert" nicht irgendwie mystisch oder so.
Dies soll kein Vorwurf oder eine Hochnäsige Bemerkung sein. Es ist einfach eine Tatsache.
Eine Personal Firewall kann eben auch nicht wirklich schützen, wenn man selbst unvorsichtig ist, sie kann bestenfalls über Vorgänge informieren. Diese Vorgänge muss man dann noch entsprechend deuten können, kann man das nicht (was die Regel ist) passiert folgendes: Sobald man irgendwas von "port-xxx" + "backdoor" liest glaubt man, man hätte einen Trojaner oder einen Hackerangriff und gerät in Panik. Meist ist es jedoch nur ein portscann der als solches völlig ungefährlich ist.
Irgendwann hat man´s dann verstanden und ignoriert diese Meldungen, dann braucht man diese Software aber eigentlich auch nicht.

Der Schlussatz meines ersten postings ist die Basis für grösstmögliche Sicherheit.
Ein Virenscanner ist dann am Sinnvollsten, wenn man neue Dateien VOR der Installation scannt.
Hast Du dir schon ANTS-2.1 installiert? Wenn ja, welches Ergebniss brachte der Scanner?

Wenn diese automatische Verbindung steht, doppelklicke mal auf das Verbindungssymbol, dort steht doch normalerweise "Verbunden mit...".
Ich hoffe es ist kein Dialer, sonst wirst Du das spätestens an der nächsten Telefonrechnung bemerken.

CU, Brezel

bei Antwort benachrichtigen
wolf1960 Brezel „Du solltest deine Familie über die Gefahren des Netzes und den entsprechenden...“
Optionen

Hi Brezel,

danke für die ausführliche Darstellung, die ich überhaupt nicht hochnäsig, sondern wirklich gut finde. Ich habe mittlerweile auch ANTS 2.1 installiert, es hat aber nichts gefunden, was Deine Ausführung über einen normalen Portscan bestätigen könnte.

Durch den Einsatz von dem Programm "0190 Warner", welches jede DFÜ-Verbindung protokolliert, erfuhr, dass die Einwahl wahrscheinlich keine 0190er TelNummer ist, sondern die Einwahl über meine Standardverbindung von MSN, allerdings, was ich nicht verstehe, ohne ein Passwort zu nutzen.

Seitdem wir die automatische Aktualisierung vom Norton-Antivirus-Paket abschalteten, wählt sich auch nichts mehr selbständig ins Netz. Da prüfe ich noch.

Mittlerweile haben wir alle zusammen die Chance genutzt, um an diesem konkreten Beispiel, Verhaltensregeln im Umgang mit dem Internet abzusprechen. Auch ein Vorteil der jetzigen Situation.

Zusammengefasst wählt sich im Moment nichts mehr selbständig ein und wir registrieren zwar die Portmeldung, sehen es aber gelassen und tun so, als sei nichts passiert.

bei Antwort benachrichtigen
-IRON- RolandS „Trojanisches Pferd - wie loswerden?“
Optionen

Mal abgesehen von den Kommentaren meiner Vorredner ist die Meldung deiner tollen Firewall

Wer Trolle toleriert, toleriert Lügen.
bei Antwort benachrichtigen
wolf1960 -IRON- „Mal abgesehen von den Kommentaren meiner Vorredner ist die Meldung deiner tollen...“
Optionen

Es ist wirklich schwer, unabhängig von der Werbung das Richtige zu finden. Um so wertvoller sind da Tips, wie dieser - Danke.

bei Antwort benachrichtigen
wolf1960 RolandS „Trojanisches Pferd - wie loswerden?“
Optionen

Ich habe über die Newsletter von computer-security.de auf das Suchwort "subseven" folgenden Eintrag erhalten. Ich will mal schauen, ob er hilft.


Neues Trojanisches Pferd: Backdoor.Bionet.318
Geschrieben am 25.06.2001, 10:46:52 von gemfire

Alias : -
Kategorie : Trojanisches Pferd
Infektionsgröße : variiert
Schaden : ermöglicht fast komplette Kontrolle

Backdoor.Bionet.318 ist ein bösartiges Backdoor Trojan und verhält sich ähnlich wie SubSeven, NetBus und BackOrifice. Es erlaubt Angreifern von außerhalb mit einem Steuerprogramm das Herunterladen von Dateien, Suchfunktionen, Passwortdiebstahl und andere gefährliche Aktionen. Wenn es das erste Mal ausgeführt wurde, installiert sich das trojanische Pferd im "WindowsSystem"-Verzeichnis. Der Dateiname ist dabei durch den Angreifer beliebig konfigurierbar. Folgender Registry-Key wird dabei mehrfach hinzugefügt:

HKEY_LOCAL_MACHINESoftwareGCIBioNet 3

Lösung : Aktuelle Virenscanner erkennen und entfernen den Virus. Registry, Win.ini und System.ini sollten manuell bereinigt werden.

bei Antwort benachrichtigen
wolf1960 Nachtrag zu: „Ich habe über die Newsletter von computer-security.de auf das Suchwort subseven...“
Optionen

Ants und Norton Antivirus finden nichts. Wahrscheinlich ist es wirklich an der Zeit, mich intensiv mit einer Firewall und deren Arbeitsweise auseinanderzusetzen.

bei Antwort benachrichtigen
Harry Hunger RolandS „Trojanisches Pferd - wie loswerden?“
Optionen

Was die automatische Einwahl betrifft, könnte dir YAW eine Antwort geben. Das Programm überwacht sämmtliche DFÜ-Verbindungen. Auch der von Bretzel schon empfohlene ANTS kann dir vielleicht helfen, da er viele Dialer erkennt. Bei fünf Rechnern die die ganze Familie nutzt kann man sich leicht was Fangen.

Wenn der Rechner sich wirklich selbstständig einwählt, dürfte da eine im Hintergrund aktive Task verantwortlich sein. Der PrcView zeigt dir alle an. Wenn du mit seinen Angaben nichts anfangen kannst, Poste mal alle aktiven Tasks hier.

bei Antwort benachrichtigen
wolf1960 Harry Hunger „Was die automatische Einwahl betrifft, könnte dir YAW eine Antwort geben. Das...“
Optionen

Ich habe 0190-Warner von http://www.wt-rate.com installiert. Der protokolliert die DFÜ-Verbindung und es stellte sich heraus, dass sich der PC zwar ohne mein Passwort einwählt, aber - weiss zwar nicht wie - die MSN-Verbindung nimmt. Also keine fremde Nummer.
Zudem habe ich ANTS installiert und auf Trojans prüfen lassen, aber - es findet nichts.
Ich werde es mal mit YAW und PrcView versuchen - Danke.

bei Antwort benachrichtigen
Harry Hunger wolf1960 „Ich habe 0190-Warner von http://www.wt-rate.com installiert. Der protokolliert...“
Optionen

Dann würde ich bei der automatischen Einwahl auf eine Autoupdate-Funktion einer installierten Software bei dir schließen, zum Beispiel des Virenscanners, des eMailprogramms oder irgend ein Norton Produkt (die machen so was öfters).
Grüße, Harry

bei Antwort benachrichtigen
wolf1960 Harry Hunger „Dann würde ich bei der automatischen Einwahl auf eine Autoupdate-Funktion einer...“
Optionen

Hallo Harry,

genauso scheint es auch zu sein. Seitdem ich bei Sohnemanns PC das automatische Update abschaltete, wählt sich auch nichts mehr selbständig ein.

Danke - wolf1960

bei Antwort benachrichtigen
UKS RolandS „Trojanisches Pferd - wie loswerden?“
Optionen

Hi Wolfgang,

ich empfehle dir das Programm "ZoneAlarm". Damit ist es möglich sämtliche Programme, die sich ins Web einwählen wollen zu kontrollieren. Auf http://www.trojaner-info.de/ gibt es dazu eine deutsche Anleitung. Der Vorteil von ZoneAlarm ist, daß alle 65000 Ports des Computers überwacht werden. Viele andere Programme überprüfen nur Standard-Ports. Der Onlinescanner von ZoneAlram meldet die jede Aktivität (auch mit Programm-Name). Du kannst dann entscheiden, ob das Programm Zugang zum Web bekommt oder nicht.
Das Trojanerproblem ist damit natürlich noch nicht gelöst - aber vieleicht hilft dir ja der o.g. Link.

bei Antwort benachrichtigen
wolf1960 UKS „Hi Wolfgang, ich empfehle dir das Programm ZoneAlarm . Damit ist es möglich...“
Optionen

Hallo UKS!

Danke für den Tip. Ich habe viel über ZoneAlarm gelesen und glaube mittlerweile, dass es wohl das beste Programm zum Einrichten einer firewall sein soll. Da kommt auch die deutsche Anleitung gerade recht.

Wolfgang

bei Antwort benachrichtigen