Home » Allgemeines Security Forum » Eine unglaubliche Geschichte! Bitte um euren Rat! » Themenansicht
Eine unglaubliche Geschichte! Bitte um euren Rat! |
||
|---|---|---|
| #0
| ||
|
21.08.2005, 23:09
Member
Beiträge: 32 |
||
 
|
|
|
|
22.08.2005, 01:19
Member
 Beiträge: 4730 |
#2
Die Zugriffe sind vermutlich normale Portscans, die harmlos sind. Es sind überdies auch viele infizierte Rechner in sogenannten BotNets zusammengeschlossen, die immer weiter versuchen, andere PCs im Internet zu infizieren. Um diese Zugriffe auszuschließen, kann ich nur empfehlen, einen Router zwischen Deinen PC und das DSL-Modem zu setzen. Der Router sollte entsprechende Anfragen filtern und blockieren. Achte darauf, dass der Router mit einer guten Firewall ausgerüstet ist - Linksys empfiehlt sich hier (OpenSource Firmware auf Linux-Basis).
__________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
|
|
|
|
22.08.2005, 02:19
Member
Themenstarter Beiträge: 32 |
#3
Hi, danke für den Tipp. Ich habe ja vor kurzem meinen Anbieter gewechselt und mir folgendes Gerät gekauft:
http://www.avm.de/FRITZBox_Fon/service/index.html Eine Fritz-Fon-Box 5050. Die kann man als DSL-Router nutzen. Ich nutze sie jedoch als normales DSL-Modem, weil es bei der Einrichtung als Router immer Probleme gab. Meintest du sowas mit "Router zwischenschalten" ? Da ist so ein Sicherheitsprogramm mit eingebaut. Heißt glaube ich "Fritz Web Protect" oder so. Scheint eine Art interne Hardware-Firewall zu sein. Was deine Vermutung betrifft, dass es sich dabei um normale Portscans handelt, muss ich dich wohl leider enttäuschen. Das haben mir schon viele gesagt, aber sobald ich einen Port öffne, habe ich 'nen Trojaner drauf. Es sieht so aus, als dass ich tatsächlich ständig mit Trojanern bombadiert werde. Das ist echt zum k..... Keine Ahnung in was für ein Netzwerk ich da reingeraten bin und vor allem wie. Wie gesagt, es begann alles mit dem Trojaner damals. Weiß leider nicht, welche Infos die da über mich herausgefunden haben, aber weder ein Wechsel der Festplatte, noch ein neuer PC mit neuem Betriebssystem, noch ein Wechsel des DSL-Anbieters haben Abhilfe geschaffen. Ich weiß wirklich nicht, woran es sonst noch liegen kann. Und das obwohl ich ja schon seit langen nicht mehr wirklich surfe. Frage nur noch Mails ab und bin in 2-3 Antiviren-Foren unterwegs, um vielleicht irgendwann mal eine Lösung zu finden. Was mich jedoch auch interessiert: Wie können andere PCs, die garantiert nicht infiziert sind, im Internet über offene Portsi infiziert werden? Ich dachte immer, dass man sich erst auf irgendeinem Weg (Besuch einer Seite, Download einer Datei usw.) erstmal selbst infizieren muss. Viele Grüße, lomer Dieser Beitrag wurde am 22.08.2005 um 02:53 Uhr von lomer editiert.
|
|
|
|
|
|
|
22.08.2005, 08:29
Member
Beiträge: 3306 |
#4
Ernsthafter Rat: Probier dich mal an einem anderen Betriebssystem, wenn du in Ruhe online gehen willst und ein Sicherheitsfanatiker bist. Wenn du schon einen neuen PC kaufst um Malware loszuwerden, kannst du auch gleich ein neues OS mitnehmen oder einen Mac kaufen.
__________ Bitte keine Anfragen per PM, diese werden nicht beantwortet. |
|
|
|
|
|
|
22.08.2005, 08:37
Member
 Beiträge: 669 |
#5
Mich würde auch mal ein HijackThis-Log interessieren ... denn ehrlich gesagt glaube ich nicht das hier die 'Angriffe' unbedingt von außen kommen müssen, noch dazu würde mich interessieren was da angeblich so alles läuft. Ich halte eher eine der folgeden Möglichkeiten für wahrscheinlicher:
1. Das System ist nicht vollständig gepatcht und bietet daher Sicherheitslücken (es gibt immer mehr Würmer die sich ohne eigenes Zutun installieren, nur eine Sicherheitslücke im System und eine bestehende Internetverbindung sind nötig) 2. Du benutzt irgendein Programm/Daten (vielleicht von USB-Sticks, CDs), welche du bei all deinen Installationen wieder auf den Rechner gepackt hast. Dies könnte die Infektionsquelle sein 3. Jemand hat physischen Zugang zu deinem Rechner (Familie, Freunde die den Rechner mitbenutzen und vielleicht ohne dein Wissen unbeabsichtigt was aufspielen) __________ "life's a bitch, turn around and she'll backstab you for a buck." |
|
|
|
|
|
|
22.08.2005, 13:28
Member
Themenstarter Beiträge: 32 |
#6
@ asdrubael
Da könntest du recht haben @ MAlkesh Ich weiß, die ganze Geschichte hört sich unglaublich an und niemand will mir so richtig glauben, aber es ist tatsächlich so. Die Programme, die ich immer wieder installiere, hatte ich schon längst vor dem damaligen Trojaner auf CD und auch zusätzlicher Scan der CDs hat kein Ergebniss gebracht. Alles in Ordnung. Physischen Zugang einer 2.Person kann ich 100% ausschließen. Das System ist vollständig gepatcht. Benutze Windows 2000 und installiere schon vor dem ersten Onlinegehen (auf die Microsoft-Seite zum Updaten) das SP 4, die Firewall und ein AntiViren-Programm. Wie gesagt, es hört sich unglaublich an, ist aber zu meinem Pech so. Anscheinend bin ich auf irgendeinem Wege in ein Hacker-Netzwerk gelandet und komme da nicht mehr raus. Woran diese Leute allerdings erkennen, wann ich immer online bin, ist mir allerdinsg ein Rätsel, ich habe ja schon wirklich alles ausgetauscht. Kann man sowas wie einen "Hardware-Trojaner" durchs Netz schicken? Und ich dachet immer, sowas fängt man sich immer nur auf irgendwelchen unseriösen Seiten ein... |
|
|
|
|
|
|
22.08.2005, 13:34
Member
Beiträge: 669 |
#7
Poste mal bitte ein HijackThis-Log, manche User haben es außerhalb der Hijack-Foren vielleicht nicht so gern, aber mich würde es wirklich brennend interessieren was auf deiner Kiste so läuft bzw. ob man in dem Log überhaupt was erkennen kann. So verzwickt wie das klingt würde ich nämlich nicht ausschließen, dass dein Logfile absolut sauber aussieht.
__________ "life's a bitch, turn around and she'll backstab you for a buck." |
|
|
|
|
|
|
22.08.2005, 14:41
Member
Themenstarter Beiträge: 32 |
#8
In der Tat ist mein HijackThis-Logfile immer sauber. Das ist ja der Witz daran. Aber HijackThis ist ja auch kein Allheilmittel. Es gibt vieles, was man damit nicht sehen kann. Anbei das Logfile. Danke für die Hilfe.
Logfile of HijackThis v1.99.1 Scan saved at 14:37:25, on 22.08.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\ZoneLabs\vsmon.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\RunDll32.exe C:\WINNT\System32\sistray.EXE C:\WINNT\System32\keyhook.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\system32\internat.exe C:\Programme\Analog Devices\Teledat 300 USB Treiber\dslmon.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\unzipped\hijackthis_199\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ... O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [SiS Tray] C:\WINNT\System32\sistray.EXE O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINNT\System32\keyhook.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: DSLMON.lnk = C:\Programme\Analog Devices\Teledat 300 USB Treiber\dslmon.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - .../windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124575698343 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - .../microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1124575688656 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe EDIT: Sorry, habe noch eine Zusatzfrage. Habe gerade gesehen, dass ich im temporären Ordner andauernd solche Dateien habe: ~DF6313.tmp usw. Alle sind jeweils 32kb groß. Weiß vielleicht jemand was das genau für Dateien sind? Könnten sie im Zusammenhang mit den Zugriffen stehen? Immer habe ich diese Dateien nämlich nicht auf dem Rechner, hauptsächlich wenn die Zugriffe recht stark sind. Dieser Beitrag wurde am 22.08.2005 um 14:52 Uhr von lomer editiert.
|
|
|
|
|
|
|
22.08.2005, 18:29
Member
Beiträge: 4730 |
#9
Zitat dass ich im temporären Ordner andauernd solche Dateien habe: ~DF6313.tmp usw. Alle sind jeweils 32kb groß. Weiß vielleicht jemand was das genau für Dateien sind?Diese Dateien wirst Du auf jedem Windows-XP Rechner vorfinden. Bei mir sind sie allerdings 16 KB groß (könnte auch daran liegen, dass Du vielleicht kein NTFS, sondern ein FAT32-Dateisystem verwendest). Die ZoneAlarm-Firewall ist allerdings nicht ganz so gut wie ihr Ruf. Ich würde stattdessen die Sygate-Firewall (http://www.sygate.de) verwenden. __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
|
|
|
|
22.08.2005, 20:19
Member
Themenstarter Beiträge: 32 |
#10
Naja, ich hab' Windows 2000 drauf mit NTFS. Existieren diese Dateien dort normalerweise auch?
|
|
|
|
|
|
|
22.08.2005, 20:47
Member
Beiträge: 228 |
#11
moin zusammen;
klingt alles sehr merkwürdig und hoch interesannt. erstaml paar fragen dazu: kann es sein dass du mit dem IE im netz unterwegs bist? gibt es für den IE nicht schon ein SP2 ? wie siehts mit dem firefox oder mozilla aus? ausserdem kennst du den troijancheck von detektei-SES. installier dass mal und schau ob sich was tut an deinem system wenn ein angriff eintreffen sollte? wo hast du das sp4 her für windows2000, hast du es downgeladen oder dir ne cd von microsoft besorgt? hast du eine spezielle hardware vom pc zur telefondose installiert?, denn dass mit dem Hardware-Troijaner meine ich hätte ich schon irgendwo mal gelesen so und das klingt vieleicht jetzt blöde bischen aber wie siehts mit dem windows98Se system aus, wenn du es mit dem mal versuchen würdest (ja ich hör meine kritiker schon; entschuldigt bitte; aber wenns zur findung hilft und dann noch funtzt) achja wenn du dein system neu installierst, machst du eine neupartitionierung deiner platte auch und formatierst diese dann? sind lauter mögliche ursachen um sich eventuell was einzufangen oder auch div unannehmlichkeiten fern zu halten. aber sowas wie oben beschrieben ist wirklich ein albtraum. musste es paarmal lesen um mir ein bild davon zu machen. werde den thread beobachten interessiert mich obs ne lösung gibt, oder ob noch wer nen vorschlag dazu hat? hoffe doch. mfg fake __________ Teile dein Wissen, denn das ist der einzige Weg Unsterblichkeit zu erlangen (Dalai Lama) |
|
|
|
|
|
|
22.08.2005, 22:53
Member
 Beiträge: 890 |
#12
@lomer
Zitat Frei zur Nutzung" (sinngemäße Übersetzung) fand klickte ich auf die Überschrift...und...AntiVir schlug plötzlich an, dass ich einen Backdoor-Trojaner auf dem Rechner hätte.Ohne Angaben, wie Name des Schädlings und genaue Lokalisierung, ist es sinnlos darüber zu schreiben. Zitat Hatte der Typ, der den Thread erstellt hatte oder wer sonst, doch tatsächlich einen Trojaner hinter der Überschrift versteckt, so dass man sich den Trojaner einhandelt sobald man draufklickt.Eher unwahrscheinlich. Immerhin wäre es theoretisch sowohl bei aktivierten ActiveX und bei Verwendung des IE als auch beim Zulassen von Java-Applets unabhängig vom verwendeten Browser möglich. Zitat Nun gut, sofort mit AntiVir gelöscht, offline gegangen und nochmal Luke Filewalker drüberlaufne lassen, der dann noch einen Keylogger fand.Ein Backdoor und ein Keylogger, beide versteckt hinter einen Link dürfte auch die Phantasie eines skruppellosen Webmasters sprengen. Zitat Denn ab diesem Moment habe ich bis zum heutigen Tag keine Ruhe mehr und kann nicht mehr ohne Angst online gehen, auch während ich diese Zeilen schreibe.Elementares Wissen über die Funktionsweise deines Betriebssystems und der eingesetzten Software hätten dich von dieser Angst längst befreien können. Google oder die Boardsuche wären dir dabei hilfreich gewesen. Sicherheitsfanatiker werden nicht an der Anzahl ihrer Schutzprogramme gemessen  Zitat Innerhalb von Sekunden hatte ich hunderte von Zugriffen und zwar von ganz kuriosen Adressen aus Rußland, der Ukraine, den USA und von sonst wo noch. Ellenlange, total komische Absender.Wenn man schon eine Firewall einsetzt sollte man auch in der Lage sein Logfiles zu deuten und auszuwerten. Zitat und siehe da: Ein Trojaner befand sich im innern der .cab-Datei. Verdammt, trotz des Neuaufsetzen des Systems war wohl irgendwas übriggeblieben. Da mir das Alles zu unsicher war, kaufte ich mir einfach eine neue Festplatte...System neu aufsetzen, bedeutet formatieren. Außerdem solltest Du dir Gedanken machen wie diese Datei auf deinen Rechner gelangen konnte. Zitat 2 Tage später hatte ich wieder eine .cab-Datei inkl. Trojaner auf dem Rechner.Da ist sogar Ajax sprachlos  Zitat Neuen PC gekauft, bei meinem DSL-Anbieter neue Zugangsdaten besorgt und da ich bis dahin noch nie Probleme mit sowas hatte, brauchte ich bis zu dem Zeitpunkt auch nicht extra meine Ports schließen lassen oder mit einem eingeschränkten Benutzerkonto online gehen. Das habe ich dann erstmal geändert. Alle Ports geschlossen, unbenötigte und evtl. gefährliche Windows-Dienste beendet und eingschränktes Konto eingerichtet. Firewall und AntiViren-Programm installiert.Das hört sich schon ganz vernünftig an. Etwas Positives haben deine Erlebnisse dann doch bewirkt Zitat Drei mal dürft ihr raten was passiert ist? Genau, die Zugriffe aus Rußland, Ukraine, USA usw sind immer noch da.Die Absender-Adressen nennen sich "dial.343rc.hackers-hell.ru" , "gwg.acces.as9105.com" oder "49.64.119-80.rev.gaoland.net" und sonst wie. Gerade dieser letzte Anbieter taucht immer wieder auf, immer wieder mit verschiedenen Absendern. Es scheint als dass dieses "rev.gaoland" ganze Hacker-Nester beheimaten würde.Jetzt mußt Du dich noch ein wenig mit der Funktionsweise deines Betriebssystems und deiner Firewall vertraut machen und der Schleier wird sich lösen Zitat Dann, nach einer Weile, als ich per FTP-Programm meinen Webspace nutzte und dadurch wohl kurzzeitig der FTP-Port geöffnet wird, hatte ich, ja, ihr könnt es euch denken, einen Trojaner-Ordner auf meinem PC.Wer aktives FTP benutzt sollte auch wissen wie er seine Freigaben schützt. Zitat D.h. diese ätzenden Adresse, die die ganze Zeit auf meinen PC zugreifen wollen, sind anscheinend nicht nur bloße Scans oder "Antworten" von irgendwelche Seiten, nein, anscheinend wird mit jeden Zugriff, den ich in der FireWall sehe, versucht mir Trojaner unterzujubeln.Anfragen an deinen Rechner, egal ob bösartig oder auch nicht, kommen nur dann an wenn ein offener Port dies ermöglicht und ein aktiver Dienst hinter dem offenen Port die Anfrage entgegennimmt. Ansonsten wäre die einzige spürbare negative Erscheinung eine Verlangsamung des Rechners. Diese Verlangsamung wird von der Firewall verursacht die alle Anfragen, unabhängig davon ob erlaubt oder nicht, ob sie ankommen würden oder auch nicht, analysiert, blockt und in die Logfiles vermerkt. Dies kostet nämlich zusätzlich Ressourcen. Zitat Darf ich nie wieder online gehen? Bin ich an einen Super-Hacker bzw. an einen Super-Trojaner gelangt, der sich in meiner Telefonsteckdose festgesetzt hat?Weder, noch Siehe meine obige Ausführungen. Übrigens dein HijackThis-Logfile ist sauber. Die .tmp -Dateien stammen womöglich von einem deiner Programme. Hat mit der Sache nichts zu tun, bloß Neugierde meinerseits: Du schreibst daß Du kürzlich einen neuen PC gekauft hast. War da Win2k vorinstalliert ? Zitat Was mich jedoch auch interessiert: Wie können andere PCs, die garantiert nicht infiziert sind, im Internet über offene Portsi infiziert werden?Das sind banale Fragen deren Antwort mit minimaler Eigeninitiative im Internet oder hier auf dem Board leicht zu finden sind. Zitat Was deine Vermutung betrifft, dass es sich dabei um normale Portscans handelt, muss ich dich wohl leider enttäuschen. Das haben mir schon viele gesagt,...Nichts wissen aber notfalls alles besser zu wissen ist kein guter Ansatz. Zitat Kann man sowas wie einen "Hardware-Trojaner" durchs Netz schicken?Nein, aber ich befürchte Du hast noch eine sehr lange Lektüre vor dich. Gruß Ajax |
|
|
|
|
|
|
23.08.2005, 00:58
Member
Themenstarter Beiträge: 32 |
#13
@ fake
Hi, nein, bin mit dem Firefox unterwegs und das SP4 hab' ich von der Microsoft-Seite. Eine spezielle Hardware zwischen PC und Telefonanschluss benutze ich nicht, aber von sog. Hardware-Trojanern habe ich neulich auch gelesen. Jemand hatte sich irgendeine Hardware bei ebay geholt worin ein kleines aber feines Programm versteckt war. Die Leute werden immer dreister. Win 98 wäre evtl. interessant, da ich ja auch nicht mit meinem PC spiele, sondern nur zum Schreiben und für's Internet nutze. Mal schauen, aber wo bekommt man das heute noch? @ Alex Mit Neuaufsetzen meinte ich Formatieren. Brachte trotzdem nichts. Ja, tatsächlich ein Backdoor UND ein Keylogger gleichzeitig. Die Welt ist schlecht... Sorry, aber was soll ich mit deinen "Ratschlägen" ala " Jetzt mußt Du dich noch ein wenig mit der Funktionsweise deines Betriebssystems und deiner Firewall vertraut machen und der Schleier wird sich lösen" oder " Das sind banale Fragen deren Antwort mit minimaler Eigeninitiative im Internet oder hier auf dem Board leicht zu finden sind.", anfangen? Trotzdem danke für deine Antworten. Dieser Beitrag wurde am 23.08.2005 um 01:02 Uhr von lomer editiert.
|
|
|
|
|
|
|
23.08.2005, 09:02
Member
Beiträge: 4730 |
#14
Offene Ports (kurze Erklärung):
http://board.protecus.de/t1485.htm __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
|
|
|
|
23.08.2005, 09:03
Member
Beiträge: 3306 |
#15
Zitat Sorry, aber was soll ich mit deinen "Ratschlägen" ala " Jetzt mußt Du dich noch ein wenig mit der Funktionsweise deines Betriebssystems und deiner Firewall vertraut machen und der Schleier wird sich lösen" oder " Das sind banale Fragen deren Antwort mit minimaler Eigeninitiative im Internet oder hier auf dem Board leicht zu finden sind.", anfangen?Das heißt wenn du mit Windows arbeiten möchtest kommst du nicht drum herum viele Sachen rund um das Thema Security zu lernen. Der Lohn der unzähligen Stunden Mühen ist dann irgendwann mal ein halbwegs sicheres Betriebssystem das man "nur" noch regelmäßig patchen muss. Seit das Internet so eine hohe Verbreitung gefunden hat ist Windows nicht mehr "anschalten und glücklich sein" sondern "anschalten und Malware einfangen", kannst dich ja mal im Hijackthis-Forum ein bisschen umsehen. Natürlich kannst du die Zeit auch gleich darauf verwenden dich mit einem alternativen Betriebssystem vertraut zu machen, aber das hab ich ja oben schon erwähnt. __________ Bitte keine Anfragen per PM, diese werden nicht beantwortet. |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Ja, ich habe HijackThis, AntiVir, eine Firewall, Spybot und Spywareblaster, escan, AdAware und was es sonst noch gibt, auf meinem System oder habe sie in der Vergangeheit ausprobiert. Nie wurde etwas gefunden, auch nicht bei meiner manuellen Suche, und auch nicht beim Durchsehen von Experten. Trotzdem habe ich diese...Zugriffe. Aber lest selbst:
Hm...wo soll ich anfangen. Es begann vor ca. einem 3/4 Jahr...
Ich war gerade dabei mir meine Homepage zu basteln und war in verschiedenen Webmaster-Foren unterwegs, um nach Tipps und freien HP-Elementen zu suchen. Dabei war ich u.a. auch in englischsprachigen Foren unterwegs. Ich hatte dann ein ganz interessantes Forum gefunden, in dem die Leute ihre HPs vorstellten und Grafiken etc. frei zur Verfügung stellten. Leider weiß ich nicht mehr den Namen der Seite. Als ich dann eine interrresante Thread-Überschrift mit dem Titel "Hier ein paar Design-Vorschläge von mir. Frei zur Nutzung" (sinngemäße Übersetzung) fand klickte ich auf die Überschrift...und...AntiVir schlug plötzlich an, dass ich einen Backdoor-Trojaner auf dem Rechner hätte. Hatte der Typ, der den Thread erstellt hatte oder wer sonst, doch tatsächlich einen Trojaner hinter der Überschrift versteckt, so dass man sich den Trojaner einhandelt sobald man draufklickt.
Nun gut, sofort mit AntiVir gelöscht, offline gegangen und nochmal Luke Filewalker drüberlaufne lassen, der dann noch einen Keylogger fand. Den auch gelöscht und anschließen mein komplettes System neu aufgesetzt, da ich ein ziemlicher Sicherheitsfanatiker bin. Soweit so gut...dachte ich...
Denn ab diesem Moment habe ich bis zum heutigen Tag keine Ruhe mehr und kann nicht mehr ohne Angst online gehen, auch während ich diese Zeilen schreibe.
Seit diesem Tag geschieht bei mir nämlich Folgendes:
Ich benutze ZoneAlarm als Firewall, welche mir ermöglicht zu sehen, von welchen Adressen denn so Zugriffe auf meinen PC stattfinden. Bis zu besagtem Zeitpunkt als ich mir diesen Trojaner einhandelte, waren es "normale" Zugriffe von den meisten Seiten, die ich halt so besuche. Dabei handelt es sich um ganz normale, recht bekannte Seiten und nicht um irgendwelche Schmuddelseiten. Die Zugriffe waren also ganz normal und auch die Anzahl von Zugriffen war sehr gering. Aber das Alles änderte sich schon bald...
Als ich meinen PC also neu aufgesetzt hatte und nach einer Weile wieder online ging, kam mir mein PC irgendwie langsam beim surfen im Internet vor und als ich in meine Firewall blickte, dachte ich, ich sehe nicht richtig. Innerhalb von Sekunden hatte ich hunderte von Zugriffen und zwar von ganz kuriosen Adressen aus Rußland, der Ukraine, den USA und von sonst wo noch. Ellenlange, total komische Absender. Nun ja, dachte ich mir, was juckt es mich. Die können von sonstwo herkommen und das wird schon irgendwann wieder aufhören. Falsch gedacht...
Die Zugriffe hörten auch nach einigen Tagen nicht auf und nach ziemlich eine Woche hatte ich plötzlich eine .cab-Datei auf meinem PC. Hm, dachte ich mir, woher der wohl kommen mag. AntiVir und escan drüberlaufen lassen und siehe da: Ein Trojaner befand sich im innern der .cab-Datei. Verdammt, trotz des Neuaufsetzen des Systems war wohl irgendwas übriggeblieben. Da mir das Alles zu unsicher war, kaufte ich mir einfach eine neue Festplatte...
Ein Tag später. Festplatte eingebaut, Windows und erstmal nur das Nötigste installiert, online gegangen (noch keine Seite besucht!!!) und verdammt noch mal...die Zugriffe waren immer noch da. Ich war ziemlich verunsichert, dachte mir aber, mit einer neuen Festplatte wird schon alles in Ordnung sein. 2 Tage später hatte ich wieder eine .cab-Datei inkl. Trojaner auf dem Rechner. Ich hatte einen dermaßen dicken Hals, das sich meinen PC fast vor die Wand geworfen hatte. Ich besuche keinerlei unseriöse Seiten und habe ein Surfverhalten, dass ich als sehr sicher bezeichnen würde. Naja, ich wollte mir in nächster Zeit eh einen neuen PC kaufen und schlug nun aufgrund des Problems schon ein paar Wochen früher zu.
Neuen PC gekauft, bei meinem DSL-Anbieter neue Zugangsdaten besorgt und da ich bis dahin noch nie Probleme mit sowas hatte, brauchte ich bis zu dem Zeitpunkt auch nicht extra meine Ports schließen lassen oder mit einem eingeschränkten Benutzerkonto online gehen. Das habe ich dann erstmal geändert. Alle Ports geschlossen, unbenötigte und evtl. gefährliche Windows-Dienste beendet und eingschränktes Konto eingerichtet. Firewall und AntiViren-Programm installiert.
Drei mal dürft ihr raten was passiert ist? Genau, die Zugriffe aus Rußland, Ukraine, USA usw sind immer noch da. Die Absender-Adressen nennen sich "dial.343rc.hackers-hell.ru" , "gwg.acces.as9105.com" oder "49.64.119-80.rev.gaoland.net" und sonst wie. Gerade dieser letzte Anbieter taucht immer wieder auf, immer wieder mit verschiedenen Absendern. Es scheint als dass dieses "rev.gaoland" ganze Hacker-Nester beheimaten würde. Aber die anderen Adressen sind auch nicht besser. Die Zugriffe gehen auch nicht auf normale Ports, sondern nur an Ports, worauf keine normale Seite zugreifen würde: FTP, SMTP, HTTP, NAME, IMAP, ICMP, Ssh usw. Also es wird ganz gezielt nach Schwachstellen gesucht.
Ich wußte einfach nicht mehr woran es liegen konnte. Es blieb nur noch meine Zugangssoftware und mein DSL-Anschluss. Alles andere hatte ich ausgewechselt, teilweise mehrmals. Mittlerweile war ich nur noch im Internet, um meine Emails abzufragen, weil ich mich ansonsten zu nichts mehr traute. Dann, nach einer Weile, als ich per FTP-Programm meinen Webspace nutzte und dadurch wohl kurzzeitig der FTP-Port geöffnet wird, hatte ich, ja, ihr könnt es euch denken, einen Trojaner-Ordner auf meinem PC. D.h. diese ätzenden Adresse, die die ganze Zeit auf meinen PC zugreifen wollen, sind anscheinend nicht nur bloße Scans oder "Antworten" von irgendwelche Seiten, nein, anscheinend wird mit jeden Zugriff, den ich in der FireWall sehe, versucht mir Trojaner unterzujubeln. Ich brauche gar nicht auf irgendwelche Seiten gehen. Es reicht völlig aus, dass ich mich ins Internet eingewählt habe und schon geht's lustig los: Zugriffe, Zugriffe, Zugriffe...
Nun, dachte ich mir. Außer meiner Zugangssoftware und dem DSL-Anschluss blieb, wie bereits erwähnt, nicht mehr übrig. Vielleicht hat irgendein Hacker durch den Trojaner damals irgendwelche Daten über die Software oder den Anschluss herausgefunden und weiß nun immer, wann ich online bin. Wobei ich bezweifle, dass es immer nur einer ist. Die Adressen kommen ja von überall her. Sieht aus, als ob ich in ein "lustiges" Netzwerk gekommen wäre.
Wie auch immer, ich habe nun meinem DSL-Anschluss bei meinem bisherigen Anbieter gekündigt und bin gewechselt. Habe nun völlig neue, andere IPs und gehe über einen anderen Anbieter online.
Und ja, die Zugriffe sind immer noch da und ich bin mit meinem Latein am Ende.
System neu aufgesetzt, neue Festplatte, nur noch emails abfragen, trotzdem Zugriffe, neuer PC, neue Windows-Version, neuer Anbieter...ich weiß wirklich nicht mehr weiter.
Darf ich nie wieder online gehen? Bin ich an einen Super-Hacker bzw. an einen Super-Trojaner gelangt, der sich in meiner Telefonsteckdose festgesetzt hat? Ich weiß, das klingt alles unglaublich und ich habe sowas selbst noch nie erlebt oder gehört. Bitte helft mir !!!