Trojaner aktiv?

A

Anonymous

Seit kurzem blockiert die DSL-Verbindung, und zwar immer dann, wenn Outpost eine Verbindung zu bender*optel-media*de (vorsichtshalber geändert) anzeigt, egal, ob explorer, ebaytoolbar oder icq gestartet sind. Gehe ich dann in Outpost über "Regel erstellen" auf das Feld "DNS", wird dort als letzte Zeile angezeigt "back orifice trojan program".

AntiVir und AdAware haben nichts gefunden. Spybot kann zwei Dateien in \temp nicht lesen, die können auch nicht gelöscht werden. Eine <blank>.exe in der registry (\run, \runservices) war nicht zu finden.

Über ISDN gelang Update von AntiVir beim dritten Anlauf, bei DSL wird ganz schnell blockiert.

Gelegenheit für einen Trojaner gab es, bei Benutzerwechsel (W98) blieb Outpost schon mal hängen und war dann eine zeitlang abgeschaltet. Auch AntiVir war plötzlich mal aus.

Ist Outpost bzw. die Sicherheit beim IE 6.0 zu hoch eingestellt? Mit welchem Programm schaffe ich Klarheit? Ist das hinzukriegen ohne neu zu formatieren?
 
Schalte mal Outpost ab und überprüfe die DSL Verbindung:

http://www.winfaq.de.vu/OperatingSystems/Windows/Windows_2000/tcpip/tcpip_nav.asp

Prüf auch mittels 'netstat -a', ob Verbindungen zu Servern bestehen, die verdächtig sind. Das sind zB solche, deren IP sich per NSLOOKUP nicht zu einem lesbaren Namen auflösen lassen.

Danach solltest du im Taskmanager nachsehen, ob verdächtige Prozesse laufen und diese ggfs beenden und aus der Registry löschen.

Infos zu Back Orifice

http://vil.nai.com/vil/content/v_10229.htm

Außerdem ist IMHO der Einsatz eines Breitband-Routers mit Gateway und Firewallfunktion zu empfehlen (Kostenpunkt: Verdrahtet ca 50 EUR, Wireless ca. 120 EUR). Der kann nämlich so konfiguriert werden, dass der grobe Internetmüll schon 'vor der Tür weggekehrt' wird'. Man kann auch ausgehende Verbindungen damit managen, so dass man IMHO gar keine Personal Firewall mehr benötigt. Hardwarelösungen sind auch zuverlässiger als Softwarelösungen.
 
Counselor schrieb:
Außerdem ist IMHO der Einsatz eines Breitband-Routers mit Gateway und Firewallfunktion zu empfehlen
Zum Vergrößern anklicken....
Ich nutze den Draytek Vigor sowohl über Funk als auch per Kabel - ohne lange nachgelesen zu haben, geht das damit? Kann der die "Bremse" gewesen sein?

Habe die Tipps noch nicht umgesetzt, war noch nicht dran am Rechner: Sieht das nach Back Orifice aus?

Was hat der bender... auf meinem Rechner verloren, warum hängt der da immer zwischen?
 
Eine kurze Nachforschung zur Bender-Url:

Der Server ist bei
http://www.blars.org/errors/block.html
http://www.dnsstuff.com/tools/ip4r.ch?ip=62.146.38.54

mit Code 32 gelistet. Möglicherweise nutzt er Mail-Relay Exploits, dh er mißbraucht möglicherweise deinen Rechner zum Spammen.
Außerdem ist das ein Alias für h**p://wxw.optelmedia.dx.

Untersuche daher mal, ob bei dir der Port 25 offen ist. Falls ja, sofort schliessen.

Hier noch ein Workshop zur Absicherung eines Wireless LAN:

http://www.vnunet.de/testticker/Mobile/article.asp?ArticleID=20030521507&Ref=pc-direkt
 
Hilfeee!!!

Nach einer kurzen Nacht: Es klappt immer noch nicht, nur ISDN geht. Hat's nur mich erwischt?

Der screenshot zu bender... sieht so aus:
 

Anhänge

  • bender1.jpg
    bender1.jpg
    140,5 KB · Aufrufe: 302
Bender2

Und mein Rechner versucht ständig die Signale der Außerirdischen abzufangen:
 

Anhänge

  • bender2.jpg
    bender2.jpg
    99,2 KB · Aufrufe: 341
Kontaktsuche - bender3

Und ständig will einer mit meinem Rechner flirten, bei DSL geht's noch schneller:
 

Anhänge

  • bender3.jpg
    bender3.jpg
    69,1 KB · Aufrufe: 279
Langsam voran

So, jetzt habe ich auf einer alten Festplatte neu installiert, und benders müssen draußen bleiben. Das Horchen und der Begriff "back orifice" sind zwar immer noch da, aber alles problemlos mit gewohntem Tempo, keine Versuch mehr, auf die bender-Seite zuzugreifen. Am Router oder dem Provider lag's damit ja wohl nicht.

Ich will aber trotzdem die große Platte nicht neu formatieren. Welches Programm könnte noch helfen?
 
AUPDRUN.EXE ist das Autoupdate Feature der Outpost Firewall. Der UDP Port 53 ist normalerweise für die Namensauflösung der Rechner im Internet zuständig.
 
Hallo,

zunächst administrativ:
Ich konnte mich hier leider nicht registrieren, es gab jedes Mal ein:

Could not find email template file :: admin_notification
DEBUG MODE
Line : 111
File : /xxx/xxx/xxxxxxxx/xxxxx/xxxxxx/emailer.php

Deshalb ausnahmsweise mal als Gast :-?

Gehe ich dann in Outpost über "Regel erstellen" auf das Feld "DNS", wird dort als letzte Zeile angezeigt "back orifice trojan program".
Zum Vergrößern anklicken....

Was genau meinst Du damit bzw. wo hast Du die Zeile gefunden?
Ich frage deshalb so explizit, weil meine Wenigkeit derjenige ist, der die OP 2.1 Ressourcen übersetzt hat und ich hoffe mal nicht, da ist uns was durchgerutscht. Falls ja, müsste das schleunigst korrigiert werden.

Nächste Frage:
Du schreibst, Outpost läuft auf Win98. Welche Outpost Version? 2.1 oder die Free? Falls 2.1, kann das Hängenbleiben schon mal passieren, wenn die ODBC Bibliotheken in einer älteren Version installiert sind (die bei der Installation von OP 2.1 installiert bzw. aktualisiert werden müssen). In dem Fall bleibt OP beim Zugriff auf das Log-System schon mal gerne stehen.
Falls es die Free-Version ist, schreib mir bitte noch die exakte Fehlermeldung, falls eine angezeigt wird (oder bleibt OP einfach nur stehen bzw. deaktiviert sich?)

Was meinst Du mit "bender*optel-media*de"?

Gruß Uwe (firewallinfo.de)
 
@ uwe

Das mit "back orifice.:." steht in der Reihenfolge oben auf dem screenshot "bender1.jpg". Nach Aufklappen des "+" (rechte Maustaste)Regel erstellen; "DNS" anklicken; letzte Zeile im Fenster.

Auf meiner Neueinrichtung ist das immer noch da, es klappte aber.

Bin jetzt besuchshalber auf einem anderen Rechner mit XP, da sieht das genauso aus, wenn Outpost gestartet ist.

Ich nutze Outpost als download von der Seite www.bsi-fuer-buerger.de (1.0)
 
Ok, das steht in der Tat in der Port-Auswahl und mir ist gerade sehr unbegreiflich, warum. Gut, ich kläre diesen Punkt direkt mit dem Agnitum Beta-Team. Dafür hätte ich schon sehr gerne eine griffige Erklärung.

Was diese Download-Version von bsi für Bürger betrifft, scheint sie nicht mehr vorhanden zu sein. Da wird aktuell was von einer Schwachstelle berichtet, die ich nicht nachvollziehen kann und prüfe das noch.
Angeboten wurde da aber offensichtlich Version 1.0. Die ist völlig veraltet.
Ich weiß leider immer noch nicht, welche Version bei Dir installiert ist. Schau bitte mal im Outpost Hauptfenster im Menü "Hilfe" im Menüpunkt " Über Outpost Firewall". Da wird die Versionsnummer angegeben.

So wie sich Dein Screenshot hier zeigt, hast Du eine von den älteren Versionen erwischt, warum auch immer die bei bsi angeboten wurde. Lass uns das bitte klären, welche Version Du künftig benutzen möchtest und dann wirst Du als erstes eine aktuelle Version laden und installieren. Die Datei AUPDRUN.EXE ist in der Tat das Update-Tool und das greift mit absoluter Sicherheit nicht auf "bender.optel-media.de" zu sondern auf den Agnitum Update-Server. Weiß der Teufel, was da bei Dir passiert aber das bekommen wir schon rund :)

Also nochmals zusammengefasst:

Welche Version benutzt Du zur Zeit?
Welche Version willst Du nutzen (Free 1.0, 2.0 oder 2.1)?

Danach schauen wir dann weiter.

Gruß Uwe
 
Blue_the_hunter schrieb:
Die Datei AUPDRUN.EXE ist in der Tat das Update-Tool und das greift mit absoluter Sicherheit nicht auf "bender.optel-media.de" zu sondern auf den Agnitum Update-Server.
Zum Vergrößern anklicken....
War Zufall, dass der screenshot die AUPDRUN.EXE getroffen hat! War der zehnte Versuch oder so. Bei den neun vorher war die Meldung mit den benders schon weg, bevor ich über Regel erstellen usw. zum shot kam. Die benders waren immer da, sie schreckten auch vorm Forum nicht zurück; ich konnte eingeben, was ich wollte. Wurde alles geblockt.

Bevor hier irgendjemand sich zu Unrecht in Misskredit gebracht sieht: Ich halte durchaus für möglich, dass am PC oder am Router irgendeine Einstellung falsch war. Aber die benders kannte hier vorher keiner.
 
Hi,

nein, ich zumindest fühle mich nicht diskreditiert. Ich arbeite eigentlich in einem anderen Forum und wurde hier auf die Seltsamkeiten mit Outpost aufmerksam gemacht und weil ich Outpost mit sehr viel Herzblut "supporte", wollte ich natürlich helfen. So kam das zusammen 8)

Ich habe trotzdem bereits mal eine Anfrage an Agnitum geschickt. Ich kenne dort einige Leute recht gut und bekomme meist schnell eine Antwort. Insbesondere die Option "BackOrifice" in der Port-Auswahl möchte ich schon ganz gerne erklärt haben. Ich weiß natürlich, das BackOrifice von einigen Leuten auch ganz gerne als normales "Remote-Access-Tool" für die Administration von Rechnern benutzt wird (häufig von amerikanischen Usern und die sind vielfach im Beta-Forum vertreten), orakele ich jetzt mal, die Option wurde bewußt eingebaut. Das möchte ich aber offiziell bestätigt haben.

Aber zurück zu den Problemen....
Ich würde wirklich mal diese seltsam reagierende Version deinstallieren und dann eine von der Agnitum Homepage laden unter:

Free-Version 1.0
h**p://www.agnitum.com/download/outpost1.html

Aktuelle Pro-Version 2.1
h**p://www.agnitum.com/download/outpostpro.html

Deutsches Handbuch (PDF)
h**p://www.agnitum.com/download/Benutzer-Handbuch.pdf

Was "bender" betrifft, schau doch bitte mal in Deine HOSTS Datei, ob da möglicherweise was umgelenkt wird. Die ist zu finden im Verzeichnis:

Windows98
Im Windows Hauptordner und nennt sich HOSTS.SAM

Windows 2000/XP
/WINDOWS\system32\drivers\etc und nennt sich einfach nur HOSTS

Manche Spyware setzt mitunter dort ihre DNS Einträge hinein, um den Benutzerverlauf zu protokollieren. Da sollte an und für sich eigentlich nur ein:

127.0.0.1 localhost

enthalten sein. Alles andere kann gelöscht werden. Am besten würde ich die HOSTS Datei dann direkt mit einem Schreibschutz versehen, damit nichts mehr unbemerkt dort eintragen kann.

Gruß Uwe
 
@ Uwe

Bitte Verständnis - ich bin im Moment mit Passworten sparsam und logge mich erstmal nirgends ein: Du hast Email über die Webseite. Wenn nicht angekommen, bitte hier mitteilen.

Dann bin ich ein Stück weiter: Ich habe "optel-media" in Windows als Suchbegriff eingegeben und siehe da, Meldung von AntiVir, gab's gestern noch nicht, in den Temoprary Internets:

freenet[2].html und noch eine andere Datei, die index[2]html, als AntiVir die speichern sollte, stürzte der Rechner ab, enthalte den Trojaner

TR/Script.JS.Now.2

Juhu, ich bin mal ganz vorne dabei, wenn's Schädlinge gibt, mein letzter war ein Bootvirus vor drei Jahren!!!

Meine neuen Freunde: www.computerhilfen.de/hilfen-17-25615-0.html

Vorsicht: wer danach googelt, ich hab's getan, eine Seite mit irgendwas von freenet aufgerufen, jetzt hängt meine große Festplatte wieder.

Dazu als Hintergrund: In meiner Not habe ich mich für die 30 Stunden von freenetdsl angemeldet. Wahrscheinlich hat sich der Trojaner gleich eine der neuen Dateien gegriffen.

Ich weiß nicht, ob dieser Trojaner etwas mit den benders zu tun hat, aber das sieht ja alles ganz interessant aus. Aber wenn das mein Problem ist, dann hat das nichts mit freenet zu tun - oder doch, ich habe mich vor meinem Kontakt zu den benders über das freenet-Angebot informiert?
 
@ Uwe

Ach, dickes Lob an Outpost. Wenn dort die Blockierung nicht aufgefallen wäre, würde ich wahrscheinlich heute noch frei und fröhlich mit den benders kommunizieren. Ob ich da wohl ein Image meiner Festplatte kriegen könnte?
 
So, jetzt ist der Trojaner weg, jetzt läuft alles wieder super auf der großen Festplatte, ob's das wohl war?

Outpost ist auch wieder ganz friedlich, nichts zu sehen von einer bender...-Webadresse.

Und wer immer jetzt durch mein Problem mit Outpost verunsichert ist: Outpost hat's nur an den Tag gebracht. Gerade wo ich dieses hier schreibe, ist nur ein IE-Fenster offen, angezeigt unter den Outpost-Verbindungen nur mit "explorer.exe", dahinter nur Sternchen, wo vorher bender.optel..... stand (siehe oben bender1.jpg).

Und wenn ich dann über rechte Maustaste, Regel erstellen pp. die Fenster wie oben öffne, steht da immer noch das gleiche von back orifice. Dürfte wohl so sein, wie Uwe schrieb, dass das programmtechnisch so dargestellt wird, aber keine Unruhe auslösen muss. Wenn doch, wird Uwe das sicher schreiben.
 

Anhänge

  • ohnebender1.jpg
    ohnebender1.jpg
    122,3 KB · Aufrufe: 290
Warnung -- Warnung --- Warnung

Vorsicht!!!

Habe eben versucht, die ganz normale freenet-Seite www. freenet. de zu laden, indem ich das per Hand in die Adresszeile eingegeben habe - sofort meldete sich AntiVir und wies auf den Trojaner hin!!

Da gibt's ein echtes Problem - entweder wurde freenet was untergejubelt, oder die haben versehentlich in einem Script die Signaturen des Trojaners untergebracht.

Bei meinen neuen Freunden in Computerhilfen.de wird über Fehler bei AntiVir gemutmaßt, laut freenet; aber andere Virenscanner entdecken den Trojaner inzwischen auch.

Hat schon jemand die beanstandete Datei untersucht?
 
Zurück
Oben