Habe ich einen Trojaner Auf meiner Platte ???

#1 Tag Leute,

ich hab ein kleines Problem. Gestern habe ich meine Freundin an mein PC gelassen (ich rate euch, ich würde es lieber lassen) die hat aus merkwürdigen Gründen die Firewall ausgemacht. Nach dem ich wieder kam, meinte sie, dass da irgendwelche nachrichten waren. Dann meinte sie, da schau mal. Tatsächlich, da kammen von ausen Nachrichten. Da merke ich das die Firewall aus ist.
Seit dem kommt immer diese Nachricht:
________________________________________________________________
Ein Computer mit der IP-Adresse: XXX.XXX.XXX.XXX hat Informationen gesendet, die Merkmale einen "Invalid Destination IP Adresse-Angriffs" aufweisen
________________________________________________________________

Häm, was soll ich damit anfangen ??? Und das die IP-Adresse gehört mir, das bin ich ?!? Ich verstehe garnichts mehr :-( Achso, OS ==> W2K und Firewall ==> NIS 2003.
Kann mir mal einer helfen ???
Danke schon mal im voraus


Spufy

#2 Welche IP?
Es wird immer die eigene und die des "Angreifers" gelistet!
Sprich "Lokal Adress" is deine und "Remote" die des ...naja... Angreifers.
Hast du die Win Firewall aktiv? Dann stammt die Meldung garantiert von da.
um sicher zu gehn lade die ma Anti-Trojan runter
www.anti-trojan.net/at.asp?l=en&t=download
__________
/* whitehouse.css */
#GeorgeWBush { position:absolute; bottom: -6ft; }

#3 Ps: und updaten nicht vergessen
__________
/* whitehouse.css */
#GeorgeWBush { position:absolute; bottom: -6ft; }

#4 Hi,

danke für die antwort :-) Also ich hab NIS 2003 Installiert. Wenn ich mir dann die warmeldunden anschaue, komm wie schon gesagt, folgende Meldung:

__________________________________________________________________
Ein Computer mit der IP-Adresse: XXX.XXX.XXX.XXX hat Informationen gesendet, die Merkmale einen "Invalid Destination IP Adresse-Angriffs" aufweisen
__________________________________________________________________

Anti-Trojan, habe ich gestern schon laufen, lassen, aber der hat nichts gefunden ?!? Was meinst du soll ich den updaten ??? Anti-Trojan oder was ???

Cleaner

#5 Wenn du einigermaßen sicher gehen willst, ob du einen Trojaner draufhast, dann scanne dein System mal mit KAV (Testversion bei www.datsec.de ) oder einem anderen Scanner mit der KAV-Engine. Dazu müsstest du aber (zumindest zeitweise) NIS deinstallieren, um Komplikationen zu vermeiden.
Alternativ (bzw. ergänzend) solltest du dir die Autostart-Einträge mal anschauen. Dafür eignet sich z.B. Trojancheck (www.trojancheck.de)

Ach so...
"Ein Computer mit der IP-Adresse: XXX.XXX.XXX.XXX hat Informationen gesendet, die Merkmale einen "Invalid Destination IP Adresse-Angriffs" aufweisen"
Das ist so eine von diesen "tollen" Warnmeldungen von NPF, die ich meine, Evil...
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#6 @forge77

Zitat

Das ist so eine von diesen "tollen" Warnmeldungen von NPF, die ich meine, Evil...

Falsch, zeigt mir immer die Lokale und die Remote IP an

@spufy
Ja Anti-Trojan updaten! Übrigens ist Anti-Trojan einer der besten Scaner

@all
Nicht nur den Autorun überprüfen da nur dort die "billigen" Trojaner stehen

HKey_Classes_Root\batfile\shell\open\command (Wert sollte "%1" %* sein)
\comfile\ "%1" %*
\exefile\ "%1" %*
\htafile\ "%1" %*
\piffile\ "%1" %*

HKey_Local_Machine\Software\Classes\batfile\shell\open\command "%1" %*
\comfile\ "%1" %*
\exefile\ "%1" %*
\htafile\ "%1" %*
\piffile\ "%1" %*

Aller anderen Einträge sollten mit skepsis betachtet werden. Notfalls löschen aber ACHTUNG beim löschen und "%1" %* MUSS stehen bleiben! Diese Regeinträge gelten nur für XP
__________
/* whitehouse.css */
#GeorgeWBush { position:absolute; bottom: -6ft; }

#7 Sorry wird nicht so dargestellt wie ich mir das dachte...
Bei Unklarheiten einfach nochmal nachfragen, sorry nochmal
__________
/* whitehouse.css */
#GeorgeWBush { position:absolute; bottom: -6ft; }

#8

Zitat

Falsch, zeigt mir immer die Lokale und die Remote IP an

So meinte ich das nicht. Es ging mir darum, dass diese "Warnung" vor einem Angriff aller Wahrscheinlichkeit nach völlig unsinnig ist, weil gar kein Angriff verübt wurde. Und das ist bei nunmal NPF kein Einzelfall.
Siehe hierzu auch:
http://board.protecus.de/t1786.htm
http://www.chip.de/community_events/chip-foren/thread.html?bwthreadid=327894
http://spotlight.de/zforen/sec/m/sec-1038768531-17433.html

Zitat

Übrigens ist Anti-Trojan einer der besten Scaner

Würde ich nicht unterscheriben...
Das Prog kennt nicht sonderlich viele Trojaner und es hat keine Unpack-Engine (für gepackte oder gecryptete Trojaner.)
Wieso meinst du, es sei einer der besten AT's?

Die von dir angegebenen Registry-Schlüssel werden selbstverständlich vom o.g. "Trojancheck" überprüft.
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#9 Natürlich bei mir hat ein gepackten Trojaner gefunden (in ner ZIP)
Warum nich viel Trojaner? Sind immerhin über 9000 registriert und die Registery scant er auch durch, zwar nich via Deapscan, aber er macht es
__________
/* whitehouse.css */
#GeorgeWBush { position:absolute; bottom: -6ft; }

#10 Wär auch mal interessant die ersten 3 stellen der IP zu erfahren, da man da auch erkennt obs ein AOL, Telekom etz. User ist
__________
/* whitehouse.css */
#GeorgeWBush { position:absolute; bottom: -6ft; }

#11

Zitat

Natürlich bei mir hat ein gepackten Trojaner gefunden (in ner ZIP)

Ich meine nicht packen in Form von "archivieren" (zip, rar, ace,...), sondern in Form von "laufzeitkomprimieren" (UPX, ASPack, WWPack32,...) Diese Packer sind wesentlich "gefährlicher" als Archive, weil die gepackten Dateien direkt ins RAM ausgepackt werden. Ein AV-Monitor, der den Virus/Trojaner nicht in gepackter (oder verschlüsselter) Form erkennt, kann die erfolgreiche Ausführung deshalb nicht verhindern (anders als bei Archiven.)

Schau dir mal folgende Seite zu dem Thema an: http://return.to/scheinsicherheit
Und schreib auch, wie sie dir gefällt. Die Seite ist noch im Aufbau, deshalb sind wir sehr an Verbesserungsvorschlägen interessiert...
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#12 @forge77
Ja jetzt weis ich was du meinst, alles klar!
Hmm... welche Seite, oder bin ich blind???!
__________
/* whitehouse.css */
#GeorgeWBush { position:absolute; bottom: -6ft; }

#13 Sorry, Evil, du bist nich blind... aber ICH bin blöd, das ist mal sicher.
Hab die Seite in meinem letzten Post jetzt verlinkt.
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#14 Hat nichts mit blöd zutun, kann ja ma passieren !
Ist sehr interessant, das Funktionsprinzip ja das gleiche wie Stealthviren (meines Wissens nach)! Ist das richtig?
Ist auch sehr interessant was sich Programmierer solcher Trojaner einfallen lassen, wenn sie Langeweile haben! Nicht ausgelastet die Leute.
Hab da aber noch eine andere sehr wage Theorie...
__________
/* whitehouse.css */
#GeorgeWBush { position:absolute; bottom: -6ft; }

#15 Hmm, ich weiß nicht genau, was du mit Stealth-Viren meinst. Dem folgenden Link nach zu urteilen, ist es jedoch etwas ganz anderes:
http://members.blackbox.net/hp_links/21/nikolaus.rameis/virus/typ-tech.htm (diesmal nicht vergessen... )
Der Packer/Crypter-Thematik kommt der Punkt "Selbstverschlüsselung" schon näher. Allerdings ist hier (zumindest bei Trojanern) das eigentliche Problem, das der Schädling nicht(!) vom Trojaner-Programmierer, sondern vom "Anwender" (Skript-Kiddie) mit UPX o.ä. gepackt bzw. verschlüsselt wird. Dadurch können im Prinzip beliebig viele Varianten eines Trojaners erstellt werden, die ein AV-Scanner nicht ohne weiteres erkennen kann.

Bisher haben nur wenige AV-Hersteller einen einigermaßen befriedigenden Lösungsansatz für das Problem verwirklicht. Näheres dazu findet man bei "Scheinsicherheit".
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?