Habe ich einen Trojaner Auf meiner Platte ??? |
||
---|---|---|
#0
| ||
16.01.2003, 20:24
Member
Beiträge: 66 |
||
|
||
16.01.2003, 22:02
Member
Beiträge: 209 |
#2
Welche IP?
Es wird immer die eigene und die des "Angreifers" gelistet! Sprich "Lokal Adress" is deine und "Remote" die des ...naja... Angreifers. Hast du die Win Firewall aktiv? Dann stammt die Meldung garantiert von da. um sicher zu gehn lade die ma Anti-Trojan runter www.anti-trojan.net/at.asp?l=en&t=download __________ /* whitehouse.css */ #GeorgeWBush { position:absolute; bottom: -6ft; } |
|
|
||
16.01.2003, 22:03
Member
Beiträge: 209 |
#3
Ps: und updaten nicht vergessen
__________ /* whitehouse.css */ #GeorgeWBush { position:absolute; bottom: -6ft; } |
|
|
||
16.01.2003, 22:25
Member
Themenstarter Beiträge: 66 |
#4
Hi,
danke für die antwort :-) Also ich hab NIS 2003 Installiert. Wenn ich mir dann die warmeldunden anschaue, komm wie schon gesagt, folgende Meldung: __________________________________________________________________ Ein Computer mit der IP-Adresse: XXX.XXX.XXX.XXX hat Informationen gesendet, die Merkmale einen "Invalid Destination IP Adresse-Angriffs" aufweisen __________________________________________________________________ Anti-Trojan, habe ich gestern schon laufen, lassen, aber der hat nichts gefunden ?!? Was meinst du soll ich den updaten ??? Anti-Trojan oder was ??? Cleaner |
|
|
||
16.01.2003, 22:58
Member
Beiträge: 813 |
#5
Wenn du einigermaßen sicher gehen willst, ob du einen Trojaner draufhast, dann scanne dein System mal mit KAV (Testversion bei www.datsec.de ) oder einem anderen Scanner mit der KAV-Engine. Dazu müsstest du aber (zumindest zeitweise) NIS deinstallieren, um Komplikationen zu vermeiden.
Alternativ (bzw. ergänzend) solltest du dir die Autostart-Einträge mal anschauen. Dafür eignet sich z.B. Trojancheck (www.trojancheck.de) Ach so... "Ein Computer mit der IP-Adresse: XXX.XXX.XXX.XXX hat Informationen gesendet, die Merkmale einen "Invalid Destination IP Adresse-Angriffs" aufweisen" Das ist so eine von diesen "tollen" Warnmeldungen von NPF, die ich meine, Evil... __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? Dieser Beitrag wurde am 16.01.2003 um 22:59 Uhr von forge77 editiert.
|
|
|
||
17.01.2003, 15:13
Member
Beiträge: 209 |
#6
@forge77
Zitat Das ist so eine von diesen "tollen" Warnmeldungen von NPF, die ich meine, Evil... Falsch, zeigt mir immer die Lokale und die Remote IP an @spufy Ja Anti-Trojan updaten! Übrigens ist Anti-Trojan einer der besten Scaner @all Nicht nur den Autorun überprüfen da nur dort die "billigen" Trojaner stehen HKey_Classes_Root\batfile\shell\open\command (Wert sollte "%1" %* sein) \comfile\ "%1" %* \exefile\ "%1" %* \htafile\ "%1" %* \piffile\ "%1" %* HKey_Local_Machine\Software\Classes\batfile\shell\open\command "%1" %* \comfile\ "%1" %* \exefile\ "%1" %* \htafile\ "%1" %* \piffile\ "%1" %* Aller anderen Einträge sollten mit skepsis betachtet werden. Notfalls löschen aber ACHTUNG beim löschen und "%1" %* MUSS stehen bleiben! Diese Regeinträge gelten nur für XP __________ /* whitehouse.css */ #GeorgeWBush { position:absolute; bottom: -6ft; } Dieser Beitrag wurde am 17.01.2003 um 15:18 Uhr von Evil editiert.
|
|
|
||
17.01.2003, 15:21
Member
Beiträge: 209 |
#7
Sorry wird nicht so dargestellt wie ich mir das dachte...
Bei Unklarheiten einfach nochmal nachfragen, sorry nochmal __________ /* whitehouse.css */ #GeorgeWBush { position:absolute; bottom: -6ft; } |
|
|
||
17.01.2003, 17:25
Member
Beiträge: 813 |
#8
Zitat Falsch, zeigt mir immer die Lokale und die Remote IP an So meinte ich das nicht. Es ging mir darum, dass diese "Warnung" vor einem Angriff aller Wahrscheinlichkeit nach völlig unsinnig ist, weil gar kein Angriff verübt wurde. Und das ist bei nunmal NPF kein Einzelfall. Siehe hierzu auch: http://board.protecus.de/t1786.htm http://www.chip.de/community_events/chip-foren/thread.html?bwthreadid=327894 http://spotlight.de/zforen/sec/m/sec-1038768531-17433.html Zitat Übrigens ist Anti-Trojan einer der besten Scaner Würde ich nicht unterscheriben... Das Prog kennt nicht sonderlich viele Trojaner und es hat keine Unpack-Engine (für gepackte oder gecryptete Trojaner.) Wieso meinst du, es sei einer der besten AT's? Die von dir angegebenen Registry-Schlüssel werden selbstverständlich vom o.g. "Trojancheck" überprüft. __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? |
|
|
||
17.01.2003, 17:37
Member
Beiträge: 209 |
#9
Natürlich bei mir hat ein gepackten Trojaner gefunden (in ner ZIP)
Warum nich viel Trojaner? Sind immerhin über 9000 registriert und die Registery scant er auch durch, zwar nich via Deapscan, aber er macht es __________ /* whitehouse.css */ #GeorgeWBush { position:absolute; bottom: -6ft; } |
|
|
||
17.01.2003, 18:25
Member
Beiträge: 209 |
#10
Wär auch mal interessant die ersten 3 stellen der IP zu erfahren, da man da auch erkennt obs ein AOL, Telekom etz. User ist
__________ /* whitehouse.css */ #GeorgeWBush { position:absolute; bottom: -6ft; } |
|
|
||
17.01.2003, 19:51
Member
Beiträge: 813 |
#11
Zitat Natürlich bei mir hat ein gepackten Trojaner gefunden (in ner ZIP) Ich meine nicht packen in Form von "archivieren" (zip, rar, ace,...), sondern in Form von "laufzeitkomprimieren" (UPX, ASPack, WWPack32,...) Diese Packer sind wesentlich "gefährlicher" als Archive, weil die gepackten Dateien direkt ins RAM ausgepackt werden. Ein AV-Monitor, der den Virus/Trojaner nicht in gepackter (oder verschlüsselter) Form erkennt, kann die erfolgreiche Ausführung deshalb nicht verhindern (anders als bei Archiven.) Schau dir mal folgende Seite zu dem Thema an: http://return.to/scheinsicherheit Und schreib auch, wie sie dir gefällt. Die Seite ist noch im Aufbau, deshalb sind wir sehr an Verbesserungsvorschlägen interessiert... __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? Dieser Beitrag wurde am 18.01.2003 um 16:41 Uhr von forge77 editiert.
|
|
|
||
18.01.2003, 16:13
Member
Beiträge: 209 |
#12
@forge77
Ja jetzt weis ich was du meinst, alles klar! Hmm... welche Seite, oder bin ich blind???! __________ /* whitehouse.css */ #GeorgeWBush { position:absolute; bottom: -6ft; } |
|
|
||
18.01.2003, 16:43
Member
Beiträge: 813 |
#13
Sorry, Evil, du bist nich blind... aber ICH bin blöd, das ist mal sicher.
Hab die Seite in meinem letzten Post jetzt verlinkt. __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? |
|
|
||
18.01.2003, 17:24
Member
Beiträge: 209 |
#14
Hat nichts mit blöd zutun, kann ja ma passieren !
Ist sehr interessant, das Funktionsprinzip ja das gleiche wie Stealthviren (meines Wissens nach)! Ist das richtig? Ist auch sehr interessant was sich Programmierer solcher Trojaner einfallen lassen, wenn sie Langeweile haben! Nicht ausgelastet die Leute. Hab da aber noch eine andere sehr wage Theorie... __________ /* whitehouse.css */ #GeorgeWBush { position:absolute; bottom: -6ft; } |
|
|
||
18.01.2003, 22:21
Member
Beiträge: 813 |
#15
Hmm, ich weiß nicht genau, was du mit Stealth-Viren meinst. Dem folgenden Link nach zu urteilen, ist es jedoch etwas ganz anderes:
http://members.blackbox.net/hp_links/21/nikolaus.rameis/virus/typ-tech.htm (diesmal nicht vergessen... ) Der Packer/Crypter-Thematik kommt der Punkt "Selbstverschlüsselung" schon näher. Allerdings ist hier (zumindest bei Trojanern) das eigentliche Problem, das der Schädling nicht(!) vom Trojaner-Programmierer, sondern vom "Anwender" (Skript-Kiddie) mit UPX o.ä. gepackt bzw. verschlüsselt wird. Dadurch können im Prinzip beliebig viele Varianten eines Trojaners erstellt werden, die ein AV-Scanner nicht ohne weiteres erkennen kann. Bisher haben nur wenige AV-Hersteller einen einigermaßen befriedigenden Lösungsansatz für das Problem verwirklicht. Näheres dazu findet man bei "Scheinsicherheit". __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? Dieser Beitrag wurde am 18.01.2003 um 22:22 Uhr von forge77 editiert.
|
|
|
||
ich hab ein kleines Problem. Gestern habe ich meine Freundin an mein PC gelassen (ich rate euch, ich würde es lieber lassen) die hat aus merkwürdigen Gründen die Firewall ausgemacht. Nach dem ich wieder kam, meinte sie, dass da irgendwelche nachrichten waren. Dann meinte sie, da schau mal. Tatsächlich, da kammen von ausen Nachrichten. Da merke ich das die Firewall aus ist.
Seit dem kommt immer diese Nachricht:
________________________________________________________________
Ein Computer mit der IP-Adresse: XXX.XXX.XXX.XXX hat Informationen gesendet, die Merkmale einen "Invalid Destination IP Adresse-Angriffs" aufweisen
________________________________________________________________
Häm, was soll ich damit anfangen ??? Und das die IP-Adresse gehört mir, das bin ich ?!? Ich verstehe garnichts mehr :-( Achso, OS ==> W2K und Firewall ==> NIS 2003.
Kann mir mal einer helfen ???
Danke schon mal im voraus
Spufy