Hab diverse Trojaner und Viren !!! löschen aber Wie ???

#1 Hab seit ner woche erst meinen Schicken DSL - Anschluss Flat.

Das erste was ich natürlich gemacht hab war Norton Personal Firewall 2003 zu installieren. Ich hab nur die Programme Mozilla, Kazaa und Symantec Update die Rechte zugestanden das Internet nutzen zu dürfen.

Drei Tage Später hab ich mir noch Norton Anti Virus 2003 installiert und promt hat er 90 Würmer im Kazaadownloadordner entdeckt, und vier Viren die wohl laut Norton durch die Würmer eingeschleust wurden. Bis hierher nicht so das große Problem die Würmer hat Anti Virus entfernt den Virus hat er mit samt der datei (System32.exe) über den Haufen gehauen (deshalb gibts jetzt immer nette Fehlermeldungen beim Rebooten)

Allerding spring seit gestern nur noch die Firewall an (ca. 10mal/s):
Blocked unused Port .....

Details: TCP non-syn/non-ack packet on invalid connection. Packet has been dropped
Source IP address: 210.212.228.**
Destination IP address: Stefan-i1(213.23.147.***)
TCP Source Port: 4043
TCP Destination Port: 6346
TCP Message Flags: 0x00000004

ich hab keine Ahnung was er mir damit sagen will ???

Das nächste ist dass Die Firewall schon öfter ein Alarmfenster öfnette:

Backdoor/SubSeven erfolgreich geblockt

Das find ich ja auch noch schön. Aber gelöscht es der Trojaner noch lange nicht also hab ich mir TrojanHunter runtergeladen und gedacht der wird das schon regeln. Aber nix ist der findet noch nen paar Trojaner und kann sie nicht löschen

"Registry scan
No suspicious entries found
Inifile scan
No suspicious entries found
Port scan
Port 4488/TCP is open (matches EventHorizon.100) <---- falls ich das richtig
Memory scan verstehe
No trojans found in memory
File scan (autostarted files, running executables)
No trojan files found"


Und nun die eigentlichen Fragen:

1. wie werde ich SubSeven wieder los ???
2. was sind das für kommische anfragen an unused Ports ???
3. Gibt es den ultimativen Trojanerscanner (für Viren sollte Norten AntiVirus
ja ausreichen) ???

Kerio Personal Firewall hatte ich auch schon drauf aber nachdem ich ihm regeln erstellt hatte, hat er die Filesharingclients durchgelassen aber mein auch freigegebener Mozilla hat keine verbindungen mehr aufbauen können.

4. Ist Norton oder Kerio besser ???

#2 zu den trojanern: du kannst dir ANTS auf deinen rechner installieren,das Programm und andere solcher Programme gibt es unter: http://www.trojanerinfo.de !
Das beste für dich wäre aber du machst die Platte mal alle,sprich"Format".
Wenn du schon so einen Haufen Viren, Trojaner und Würmer draufhast, wer weiß was sonst noch alles sich auf deinem rechner befindet. Desweiteren ziehmlich unvorsichtig von dir, Kazza einzusetzen ohne eine Firewall oder Anti-Virenprogramm zu haben!
Bei Kazza würde ich mir an deiner Stelle die neueste Version installieren und in den Optionen "Dateien die Viren enthalten könnten blockieren" aktivieren !
Na dann viel spass bei der Schädlings entfernung.
__________
Meine Internetpräsenz

#3 Mal ganz im Ernst: Dich rettet keine Firewall und auch kein Virenscanner.
Wenn Du an die 90 Würmer und etliche Trojaner auf dem PC hast, heißt das einfach, dass blauäugig jeden Ramsch aus dem Netz saugst und es vorbehaltlos auf deinem Rechner startest.
Ein Virenscanner und eine Firewall sind nie ein 100%-iger Schutz und stellen nur eine Art "letzte Hürde" für schadhafte Programm oder Ähmliches dar.
Der eigentliche Schutz für deinen PC beginnt bei deinem Verhalten bezüglich Filesharing, Downloads, etc.
Immer häufiger sind Würmer, Trojaner darauf programmiert Firewalls oder Virenscanner außer Gefecht zu setzen, nicht zuletzt betrifft dies sehr häufig Symantec-Produkte, da sie sehr verbreitet sind.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#4 Wie kannst du denn mein Downloadverhalten beurteilen ???

Ich hab seit einer woche und Kazaa. Seit ca. 15 Jahren nen Computer und seit über 5 Jahren Internet und noch nie vorher Probleme mit Viren Trojanern etc.

Ich konnt ja net ahnen das Kazaa so eine Virenschleuder ist.

Die Würmer waren ja nicht mal verschiedenen sonndern nur einer allterdings in 90 Dateien und die waren auch nicht mein Problem.

Aber was mach ich gegen den SubSeven ???

#5 @HackTik: Zu deinem Downloadverhalten:

Ich verwende Kazaa und diverse andere filesharing tools schon über 2 Jahre.
Ich hatte noch nie einen Virus aus diesen Quellen!

Und das man vor allem bei Filesharing vorsichtig sein sollte versteht sich von selbst.

Um die Trojaner zu entfernen gibt es meist eine einfache Lösung.

Back to the Roots

Lad dir F-Prot für DOS runter.
Erstelle eine Startdiskette, oder besser: Nimm eine von einem sauberen Rechner.
Auf die Diskette spielst du F-Prot mit den aktuellen Viren Definitionen.

Dann startest du mit der Disk, führst F-Prot aus und kannst in der Regel alle Dateien erfolgreich säubern.

F-Prot: http://www.f-prot.com/

sh4rk
__________
So wird mein Post von allen gelesen..

#6 Erstmal: Sorry New World, aber ANTS ist kein guter Tipp - der ist _hoffnungslos_ veraltet.

TrojanHunter ist dagegen ein ziemlich gutes Programm.
Dies impliziert schon: du hast höchstwahrscheinlich kein Sub7. Schau mal hier: http://board.protecus.de/t1075.htm
(daraus kannst du auch gewisse Rückschlüsse über die Qualität von Norton Firewall ziehen... )

Der Kazaa-Wurm, den du dir eingefangen hast, hat sich wahrscheinlich in deinem Shared-Folder stark verbreitet - deshalb die hohe Zahl (90 Stück.)
Dennoch ist dein Download-Verhalten nicht gerade als "vorsichtig" zu bezeichnen, sorry.

Ein exzellenter Viren- und Trojanerscanner ist übrigens Kaspersky (Testversion bei www.datsec.de) Vielleicht solltest du den mal probieren (Norton aber deinstallieren!)
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#7 Also jeder lernt aus fehler wie kann ich es besser machen !!!

Ich meine, bei Kazaa-lite zum beispiel gibts glaub ich keine funktion potentiel virenhaltige dateien nicht downloaden, und bevor die dateien nicht bei mir auf dem rechner sind kann mir auch keiner sagen ob viren auf der datei sind oder nicht.

Wo soll ich downloaden ohne mir was einzufangen oder was soll ich beim Download beachten ???

Danke schon mal für die vorangegangenen Tips !!!

#8 Ich habe es nachdem beurteilt, was Du geschrieben hast und das war - mit Verlaub- haarsträubend. Vermutlich hattes Du WIN32/Hantaner auf deinem PC..... Generell: J e d e ausfürbare Datei aus P2P-Netzwerken ist vor dem ersten Start mit einem aktuellen AV-Scanner zu prüfen. Am Besten: man lädt keine über P2P-Netzwerke
Zu Subseven: Bringe zuerst den Namen des Severs/infizierten Datei in erfahrung => AV-Scanner

Zitat

Da der Server über vier Methoden gestartet werden kann, muss
er auch über diese Methoden wieder zu entfernen sein. Da der Angreifer alle fünf Methoden verbinden kann, müssen alle geprüft werden! Der Server selbst installiert sich immer im Windowsverzeichnis, dort muss er gefunden und auch gelöscht werden.
Zu Sub7: Bringe als erstes den Namen der infizierten Datei in erfahrung, dann:....
Methode 1:
Um den Namen des Servers herauszubekommen, öffnet man die „system.ini“. Dort
sucht man nach einer Syntax mit dem Aussehen:
shell=Explorer.exe <name>.exe
Den Server erkennt man, da dieser Eintrag bei einem nicht infizierten System so
aussieht:
shell=Explorer.exe
Der Eintrag <name>.exe muss gelöscht werden. Es ist sinnvoll sich diesen Namen zu
merken.
Methode 2:
Der Server kann mit ein oder zwei Registry-Einträgen gestartet werden. Über
Start/Ausführen/regedit gelangt in die Registry. Dort geht man folgende Pfade:
\HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
\HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices
und löscht dort den Eintrag mit dem Namen, der in der system.ini gelöscht wurde.
Methode 3:
Start über die „win.ini“.
Dort sucht man nach dem Eintrag, der so aussieht:
run=<name>.exe
Diese Zeile ist zu löschen. Die Schwierigkeit besteht aber darin, zu wissen, welchen
Namen der Server hat, damit man die richtige Zeile löscht.
Methode 4:
Start über die Registry. Hier werden zwei Schlüssel geändert:
\HKEY_CLASSES_ROOT\exefile\shell\open\command
\HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\exefile\shell\open\command
Standatdmäßig ist dort der Schlüssel „%1“%* hinterlegt. Der Server fügt davor den
Befehl „run.exe“ ein. Dieser muss gelöscht werden. Diese „run.exe“ wird ebenfalls wie
auch der Server selbst ins Windowsverzeichnis installiert. Diese Datei ist nur 12 KB
groß und kann erst nach einem Neustart gelöscht werden wie auch der Server.
Löscht man die „run.exe“ vor dem Neustart kann keine EXE-Datei mehr gestartet
werden, da diese kleine Datei zum Öffnen aller ausführbaren Dateien genutzt wird.
Es gibt noch eine andere Methode SubSeven von seinem Systen zu verbannen. Man
besorgt sich den Trojaner SubSeven, startet die SubSeven.exe, trägt die IP 127.0.0.1 ein
und connectet sich selbst. Dann geht man über den Connection Manager in das Untermenü
„server options“ und wählt den Punkt „remove server“. Alle Einträge werden restlos gelöscht.

Aus einem Referat von von:
Katrin Hoffmann
Daniela Nitzschner
Jana Schliemann,
http://zeus.fh-brandenburg.de/~wiesner/sicherheit/SicherheitSS2001/Ausarbeitungen/subseven.pdf
__________
Durchsuchen --> Aussuchen --> Untersuchen

#9 Joschi, ich glaube (wie gesagt) kaum, dass er Sub7 hat. Das war doch mal wieder eine dieser typischen NortonFW-Meldungen, die HackTik auf Sub7 gebracht haben...

Trotzdem würde mich vor allem interessieren, welcher Prozess an Port 4488/TCP lauscht. HackTik, welches Betriebssystem hast du?
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#10 ich habs jetzt nach einigem Suchen im internet und euren links auch endlich mitbekommen ! die ganzen meldungen bezogen sich auch incoming anfragen an sub7 spezifischen ports (meist 44..).

Betriebssystem ist Windows XP Professionel SP1

#11 Zieh dir mal TCPView: http://www.sysinternals.com/ntw2k/source/tcpview.shtml

Damit kannst du sehen, _welches_ Programm an Port 4488 lauscht.
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?