Hilfe, habe den Bundestrojaner?

  • geschlossen
  • Problem

  • snakebite
  • 5408 Aufrufe 40 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • snakebite schrieb:


    Noch besser: Meine Sygate Firewall und die dazugehörigen Dienste schalten sich ab, wenn ich mich mit dem Internet verbinde! Ohne Internetverbindung läuft die Firewall! ISt diese jedoch einmal Aufgebaut worden lässt sich Sygate auch nicht mehr manuel starten.

    @all:
    Ich bleibe dabei, da stimmt was nicht!

    @snakebite:
    Bitte lade dir CurrPorts!
    Starte das Prog, drücke CTRL + A (alles wird markiert) und klicke auf das kleine Disketten-Symbol oben links!
    Speichere das Log ab und poste es hier (ist es zu gross, bitte irgendwo hochladen und den Link posten).
    Achja, bitte im CODE-Tag posten!

    Mfg

    EDIT:
    Achja:
    schaut euch mal das an:

    hxxp://www.bundestrojaner.net/inhalt-bundestrojaner-gratis-download-3.html


    Das ist ein Scherz, falls du es noch nicht gemerkt hast!
    Es werden nur Bilder angezeigt!
    Siehe Download - Bundestrojaner bei freenet.de
    Lies und verstehe den wichtigen Satz:
    Diese Software ist ein Scherz!

  • akuta schrieb:


    versuch mal gmer

    Bitte dies noch nicht tun! (Grund siehe unten)

    der findet alles.

    Gmer ist ein reiner RootkitScanner, d.h. er sucht nicht nach Viren, sondern nach versteckten Treibern/Dateien/Regs.
    Gmer ist sicherlich ein gutes Programm, wird hier aber (noch) nicht benötigt.
    Ich würde vorschlagen, dass wir hier ein wenig strukturierter vorgehen, d.h. nicht einfach alle Sicherheitstools die es auf der Welt gibt zu installieren, sondern gezielt nach den Problemen suchen (hier: Unerwünschte Kommunikation)
    Deshalb warte ich auf den CurrPorts-Log.

    Mfg

  • Hm, Ineedhelp!2nd, hast du einen Vergleich zu einer "unbefangenen" Sygate-Installation? Vielleicht schalten sich die Dienste usw. immer ab - werden als solches angezeigt. Ich glaube ansich nicht an einen trotz aller Scans nicht erkannten Virus, der unentdeckt die FW killt und nach Hause telefoniert. Lasse mich aber gerne eines besseren belehren und hätte dann auch gerne eine Kopie. ;)

    Können wir nach CurrPorts einen Mitschnitt des Traffics haben?

  • Alles passierte in der REIHENFOLGE, wie ab dem zweiten Absatz beschrieben!

    Das wird mir jetzt eh keiner glauben! Fuck... Ich kam mit der alten Installation von Windows plötzlich nicht mehr in das Internet. Verändert habe ich nichts. Ich war online, alles funktioniert und plötzlich ging gar nichts mehr (auf dem Bild habe ich die Leitung deaktiviert):




    Der Rechner lief ja noch eine Weile. Dann bin ich in den Keller runter und als ich zurück gekommen bin war ein grauer, 10 cm breiter, 5mm dicker, horizontaler Strich in der Mitte des Bildschirms zu sehen. Ich versuchte alles Mögliche zu beenden, doch dann verwandelte sich der Strich in ein spiegelverkehrtes Swastika und unter diesem stand irgendetwas in hebräischer Schrift!? Daraufhin fuhr mein Rechner wie von Geisterhand herunter!

    Der Rechner lies sich nicht mehr hoch fahren. Die Fehlermeldung während des Bootprozesses habe ich vergessen. Irgendwas mit kein..., oder so?

    Ich formatierte die Festplatte (zwangsweise, Reparatur-CD oder abgesicherter Modus gingen auch nicht), bei der zweiten zog ich das Stromkabel und den Sata Anschluss heraus. Ich installierte 12 Stunden herum, traute mich nach der Installation von Kis 8.0 wieder in das Internet und Peng nach ca. 1 Stunde fand wieder eigenartiger Datenverkehr statt:


    Und, nein der Listenport bei bitcomet ist nicht an, weil es noch gar nicht installiert wurde.


    Ich bekomme Packetchen aus Italien, China, Süd-Korea, den Usa... was geht?! Hiermit gecheckt Whois - IP Address - Domain Name Lookup.


    Ich mache gar nichts, alle Programme sind geschlossen. Der Datenverkehr nimmt bei den einzelnen Posten zu!

    Hier das CurrPorts log file, leider in einem Moment wo wenig los war. Unten sind die unknown Geschichten interessant.
    RapidShare: Easy Filehosting

    Das sagt Gmer:

  • tut mir leid snakebite,

    aber irgendwie kann ich mir das so garnet vorstellen. du ziehst ne komplett saubere version von windows drüber, installierst kis und nach 10 minuten kriegst du ne swastika auf dein bildschirm?

    wie soll das denn bitte gehen? ich nehm an du bist eine privatperson mit dynamischer ip. wie sollte der angreifer denn gerade dich immer wieder und wieder finden?

    poste doch mal die netzwerk log von deinem kis. wenn wirklich kritischer netzwerkverkehr innerhalb dieser stunde passiert sein sollte, dann müsste man den ja ausfindig machen können. andere möglichkeit deine windowsinstallations ist korrumpiert? ich nehme an du benutzt eine originale und hast keine von irgendwelchem hebräischen servern geladen :)

    aber da du nach der neuinstallation nicht mehr auf anfangs zitierter seite warst (hxxp://www.bfed.dk/), denke ich könnte man eine verbindung zu dieser ausschließen, oder?

    lg empy
    Mein Profillink
    Was nicht geht, geht einfach nicht.

  • Ich denke, da ist nichts!
    Der Rechner lief ja noch eine Weile. Dann bin ich in den Keller runter und als ich zurück gekommen bin war ein grauer, 10 cm breiter, 5mm breiter, horizontaler Strich in der Mitte des Bildschirms zu sehen. Ich versuchte alles Mögliche zu beenden, doch dann verwandelte sich der Strich in ein spiegelverkehrtes Swastika und unter diesem stand irgendetwas in hebräischer Schrift!? Daraufhin fuhr mein Rechner wie von Geisterhand herunter!

    Bzw. da war etwas (vermutlich ein Backdoor) und durch die notwendige Neuinstallation ist dein Sys nun sauber.
    Schon die Tatsache, dass nun keine Daten mehr raus gesendet werden, spricht gegen einen Befall des Systems!
    Ein bisschen Traffic ist völlig normal, auch ausgehender kann OK sein.

    Mache trotzdem einen Scan mit Deckard’s System Scanner (DSS) gemäss Anleitung und poste das Log.
    1. Schließe alle Anwendungen
    2. Starte das Programm
    3. Wenn der Scan abgeschlossen ist wird sich ein Notepad mit dem Inhalt der main.txt öffnen.
    4. Ein weiteres Logfile, die extra.txt liegt im Verzeichnis c:\Deckard\SystemScanner\extra.txt
    5. Kopiere den Inhalt der beiden Logfiles in diesen Thread, bitte CODE-Tag


    Was Deckards System Scanner macht:

    1. Es Erstellt einen System Wiederherstellungspunkt
    2. Es säubert die temporären Dateien, Downloaded Program Files, Internet Cache Dateien und es leert den Mülleimer auf allen Laufwerken


    Mfg

  • muss ein Rootkit sein

    Also ich galbube geh mal so vor:
    Neu Starten
    im Bootmenü F8 drücken
    Installations CD rein
    Neu installieren
    Dann hast du ein Sauberes System:D :o

    Da wo bei Gmer Type Steht

    da hätte ich mal die beiden wo bei Type Code stheht gelöscht

    MfG

  • Jojo24 schrieb:

    Da wo bei Gmer Type Steht

    da hätte ich mal die beiden wo bei Type Code stheht gelöscht


    Nein! Nicht löschen!!!
    Die Einträge sind legitim und gehören zu Kaspersky!
    Bitte nicht solche Tips posten, wenn man keine Ahnung hat. Lieber nichts dazu sagen als solche Tips mit evt. verheerenden Folgen zu geben.

    muss ein Rootkit sein

    Und woher kommt diese Sicherheit? Nur weil gmer etwas "findet"?
    Ich beginne an einem Befall zu zweifeln...

    @snakebite
    Um ein Rootkit dennoch auszuschliessen, bitte mit Blacklight scannen und den Log posten!
    Wichtig:
    Während dem Scan nichts am PC machen und vorher alle Programme schliessen!

    Also ich galbube geh mal so vor:
    Neu Starten
    im Bootmenü F8 drücken
    Installations CD rein
    Neu installieren
    Dann hast du ein Sauberes System

    Wenn du mal genauer lesen würdest, hättest du gesehen, dass snakebite das alles schon gemacht hat!

    Mfg

  • Der Trojaner, sollte er auf der zweiten Platte sitzen, kann sich ja nicht nach einer Neuinstallation von selbst wieder aktivieren. Entweder wurde da ein Programm gestartet oder eine Datei geöffnet, irgendeine Operation. Falls das nicht der Fall war, kommt es halt doch übers Netzwerk.

  • Leutz, Leutz,
    ein paar hier halten bei Ihren Tipps die fundamentalsten Dinge
    bei der Bereinigung bzw. dem Check eines verdächtigen Systems nicht ein :D

    Sofern Du wirklich mit den div. hier schon genannten Tools bzw. deren "Meldungen" (logs) nicht absolut klar kommst,
    und das sieht mir wirklich danach aus ;)
    Finger weg...oder lass einen Freund oder Fachmann dran, der etwas davon versteht
    Zudem
    solltest Du bei einem Neuaufsetzen wirklich alle Vorsichtsmaßnahmen AUCH wirklich genau beachten :)

    Sprich:
    Du kannst meist nicht - es sei denn, Du weisst ganz genau, was Du tust :D - ein defektes System intern säubern,
    sofern Du nicht ABSOLUT sicher bist, dass sowohl neu zu installierende Software sowie angeschlossene Hardware wirklich OK bzw. nicht infiziert ist.

    Das kannst Du aber eigentlich nur über einen definitiv sauberen, abgesicherten 2.PC erreichen :D

    Bzgl. Neuaufsetzen
    Hier zur Installation evtl. einen modifizierten (angeschlossenen) Router und/oder verseuchte Platten bzw. unsichere "gebrannte" CD's zu benutzen ist immer sehr fragwürdig und lässt immer so einiges an Fragen offen ;)

    Da hier zudem fundamentale - zum Teil hier auch schon eingeforderte - Rechner und Systemdetails und entsprechende Logs fehlen, kann hier fast jeder nur wild herum spekulieren.

    Apropos...
    wenn Du nicht absolut sicher bist, WAS Du da überhaupt installierst (hast), solltest Du dabei auch den Monitor im Auge behalten :D....bzgl. mal zwischendurch in den Keller gehen :weglach:

    Vorausgesetzt, Du installierst nur def. saubere Software auf funzender Hardware - aber ohne Netanbindung ! und/oder zusätzliche Platten - sind Deine Fehlerbeschreibungen so nämlich definitiv eigentlich nicht möglich.

    greetz
    muesli

    PS.
    "Selbstständiger" Datenverkehr ist je nach installierter SW bzw. deren Einstellungen "normal" *g*
    Und ....Bundesdeutsche Holzpferde...laufen so bestimmt nicht *bg*

  • Hey,du bist viel ärmer dran,ich habe mal für eine Security Firma einen PC mit direkter ohne Firewall Internet Verbingung ans Netz gehängt ,die gleichen IP Standorte,die fast die gleichen IPs und ein Hacker aus Fernost!!!!
    Problem,über de Besuch von Seiten z.b. vx.netlux.** kriste Viren gratis ,:weg:

    Angriffstechnikdes Hackers: Virus einspielen der PC und Router Firewall deaktievert,
    Dann Mist mit de PC machen ,z.b.nen Stro draus machen:eek: und dann den PC zu gehacktem verarbeien,ich hab den TestPC 3 Tage dauerlaufen lassen ,Kaspersky :9342 Dateien mt Virus und etc. anderem Zeug ,
    Festpatte formatten ?:( Nö,MBR und da die Firewall aus ist und der haker dein ip hat ,wird dein pc gleich wieder zerhackt ,also per linux live cd booten,schauen was mit der router firewall ist und dann den MBR löschen und neu schreiben,am beseten einfach mal linux installn,grub in mbr schreiben lassen und fertig!Windows drauf und dann mlsehen!

  • Gerade wenn man nicht sicher ist, was los ist, sollte man sich um so mehr überlegen, wie man weiter vorgeht.

    Leider ist es oft so, daß man sich erst dann Gedanken darüber macht, wenn das Kind bereits in den Brunnen gefallen ist. Zu einem gescheiten Anti-Schädlings-Konzept gehört zweifelsohne die Prävention.

    Was macht man im Fall der Fälle, spätestens, wenn alles andere nicht mehr hilft? Richtig, das Betriebssystem neu aufsetzen. Dazu benötigt man ein garantiert virenfreies Betriebssystem. Wenn man nicht sicher ist, dann überprüft man die CD auf einem 'sauberen' System (Zweit-PC, Freund, Arbeitskollege). Ohne solch einen Datenträger ist alles weitere Murks. Nur, wenn man sicher ist, daß man sich beim Installieren keinen weiteren Schädling ins Haus holt, ist eine Installation überhaupt sinnvoll. Dazu gehört übrigens auch, daß man saubere Treiber benutzt, oder man installiert sie erst später.

    Wichtig ist auch, daß der PC keine Verbindung zu anderen Datenquellen hat, insbesondere nicht zum Internet. Also vor der Installation den Netzwerkstecker ziehen. Denn was nützt die beste Installation, wenn beim automatischen Update durch den i-Explorer ohne Sicherheitsupdates im Hintergrund wie durch ein offenes Scheunentor Schädlinge ins Haus geholt werden?

    Also, die Updates holt man erst später, wenn's geht von CD. Bevor man ins Internet geht sollte man für alle Fälle ein Image von C: machen. Zum Beispiel mit Norton Ghost oder Acronis TrueImage. Dann hat man im Fall der Fälle nicht mehr viel Arbeit. Ach ja, bevor ich's vergesse, bevor man ins Internet geht noch schnell Firefox oder Opera von CD installiert, mit dem i-Explorer tut man sich keinen Gefallen.

    Die Wiederherstellungspunkte bei Windows kann man getrost vergessen, die nehmen eh nur unnötig Platz weg. Wenn man ein gescheites Image hat, dann sind sie ohnehin nicht nötig.

    Nach der Prävention folgt die Pflege des Systems. Wenn man regelmäßig ein neues Image macht, dann hält sich der zeitliche Aufwand in Grenzen, falls etwas passiert.

    Schwieriger ist es mit den Daten. Wer garantiert einem, daß ein Schädling sich nicht dort eingenistet hat? Wenn man zu 100 Prozent sicher sein will, dann muß man auch die Datenpartition(en) vollständig plattmachen. Das ist meist nicht nötig, kann aber in einzelnen besonders hartnäckigen Fällen dennoch erforderlich sein.

    Wenn ich zum Beispiel einen 'Bundestrohaner' schreiben würde, dann würde ich (ohne hier programmtechnisch ins Detail zu gehen) mit Sicherheit dafür sorgen, daß er sich (auch) außerhalb der Betriebssystems-Partition einnistet und über kurz oder lang wieder in Erscheinung tritt. Machbar ist das mit ausreichenden Programmierkenntnissen durchaus.

    Letzten Endes heißt das, daß selbst ein neu aufgesetztes System kompromittiert sein kann.

    Es ist also der Spagat zwischen 100 Prozent sicher, aber keine Daten auf der einen Seite und alle Daten noch da, aber dafür weniger Sicherheit. Wie man sich dabei entscheidet muß natürlich jeder mit sich selbst ausmachen.

    P.S. Woher nimmst du eigenrlich die Sicherheit, daß es ein 'Bundestrojaner' ist, wenn du nicht einmal weißt, ob überhaupt ein Schädling im Spiel ist? Traffic allein ist keinerlei Indiz dafür.
    Aktuell zum 70. Jahrestag:
    Auschwitz war sicher nur die Folge berechtigter Ängste gegen die Juden.
    Damals war es die Verjudung, heute ist es die Islamisierung, welche uns Angst macht.
    Eigentlich müssten sich diese Leute bei uns dafür entschuldigen.