Hallo Forum,
seit einigen Tagen stelle ich immer wieder fest, dass mein PC
selbstständig eine Internetverbindung aufbaut! Ich habe das Gefühl,
dass sich bei mir ein Trojaner o.ä eingenistet hat.
Mein Betriebssystem ist XP Prof. mit NIS 2004. Der Virenscanner konnte nichts finden. XP ist auf dem aktuellen Stand mit allen wichtigen Sicherheitsupdates. Verdächtige mails habe ich in der letzten Zeit auch nicht bekommen. Könnt ihr mir einen Tip welche Untersuchungen jetzt notwendig sind, dass „Ding“ zu finden?
Gruß
Mik
Hallo Mik,
versuch’s mal mit Spybot S&D, das sollte den Dialer finden.
http://www.security.kolla.de
cu Rainer
Hallo Rainer,
versuch’s mal mit Spybot S&D, das sollte den Dialer finden.
ich vergaß zu sagen, dass ich per DSL Modem ins Internet gehe.
Da ist man meines Wissens vor Dialern sicher ! ?
Gruß
Mik
Hi,
passiert das immer ? bei jedem Start ?
oder nur manchmal ?
Über welchen Provider gehst du ins Netz ? AOL? T-online?
cya Martin
Hallo Forum,
Hallo Forum, too,
seit einigen Tagen stelle ich immer wieder fest, dass mein PC
selbstständig eine Internetverbindung aufbaut! Ich habe das Gefühl,
Gefuehle bitte draussen abgeben.
dass sich bei mir ein Trojaner o.ä eingenistet hat.
Mein Betriebssystem ist XP Prof. mit NIS 2004. Der
Virenscanner konnte nichts finden. XP ist auf dem aktuellen
Stand mit allen wichtigen Sicherheitsupdates. Verdächtige
mails habe ich in der letzten Zeit auch nicht bekommen. Könnt
ihr mir einen Tip welche Untersuchungen jetzt notwendig sind,
dass „Ding“ zu finden?
Ein tcpdump am externen interface. Nein, ich weiss nicht, wie das unter Windows geht. Irgendwo hab ich gerade was von ethereal gelesen, dass macht wohl sowas aehnliches. Schau Dir die Ausgabe an und versuche nachzuvollziehen, von welchem Programm die aufgezeichneten Verbindungsversuche kommen. Wenn Dir das nicht gelingt kommt mit der Ausgabe wieder, wir erklaeren sie Dir.
HTH,
Gruss vom Frank.
Hallo Martin,
passiert das immer ? bei jedem Start ?
oder nur manchmal ?
nur manchmal und nicht in gleichmäßigen Zeitabständen.
Über welchen Provider gehst du ins Netz ? AOL? T-online?
bei 1&1 per DSL-Modem
Gruß
Mik
Hallo Mik,
ich vergaß zu sagen, dass ich per DSL Modem ins Internet gehe.
Da ist man meines Wissens vor Dialern sicher ! ?
Beides Richtig 
Wenn es kein Dialer und kein Trojaner sein kann, bleibt nur noch Spyware … mach den Versuch mit Spybot!
cu Rainer
Hi,
also den Sypbot würd ich auf jeden Fall mal runter ziehen und damit testen.
Da hat der Kollege schon recht.
Wählt er sich mitten im laufenden Betrieb ein oder gleich beim Start ?
Wohl möglich beim Start eines bestimmten Programmes ?
Evt. ein versuch von irgendeinem automatischer updatevorgang.
Wenn es nicht beim Start passiert teste mal etwas rum.
Oder wenn er sich nochma versucht einzuwählen wiederholst du das was du eben getan hast und schaust ob er sich nochmal einwählen will.
mfg
Hallo Forum,
seit einigen Tagen stelle ich immer wieder fest, dass mein PC
selbstständig eine Internetverbindung aufbaut! Ich habe das
Gefühl,
dass sich bei mir ein Trojaner o.ä eingenistet hat.
Mein Betriebssystem ist XP Prof. mit NIS 2004.
Wo siehst du einen Anhaltspunkt für einen Trojaner oder ein anderes Schadprogramm? Was du beschreibst ist das normale Verhalten von WinXP in einem Netzwerk. Du solltest deine Netzwerkeinstellungen überprüfen und feststellen, welche Dienste laufen. Der DHCP-Client-Dienst geht z. B. gerne mal online, um sich bei Microsoft-Servern eine IP-Adresse zuweisen zu lassen. Andere Programme, wie der Acrobat Reader, gucken nach, ob es irgendwelche Updates gibt. Wenn du eine falsche Netzmaske verwendest, oder Adressen per APIPA-Protokoll vergeben lässt, werden Broadcasts in alle Welt geschickt…
Aufschluss erhältst du von deinen Routerprotokollen (falls du einen solchen einsetzt), oder, wie Frank schreibt, z. B. über ein Ethereal-Protokoll.
Gruss,
Schorsch
Hallo Rainer,
Wenn es kein Dialer und kein Trojaner sein kann, bleibt nur
noch Spyware … mach den Versuch mit Spybot!
habe Spybot-S&D vers. 1.2 installiert und siehe da, es waren 9 Einträge in der Registry von Billy Boy’s MS.
Ich glaube das wars - kann ich natürlich erst nach einiger Zeit Beobachtung wirklich beurteilen.
Eins ist aber klar: Nach jedem Windows Update scanne ich jetzt mit Spybot, denn die Probleme traten direkt nach dem letzten update auf !!!
danke Rainer,
Gruß
Mik
ReHi,
wenn du die Outpost-Firewall benutzt:
Das PluIn DNS-Cache baut regelmässig eine Verbindung auf.
CU, DiJey
Ergänzun zu Spybot
Hallo Mik,
nur noch eine Ergänzung. Sieh Dir mal die Einstellmöglichkeiten an. Da gibt es eine Funktion ‚Immunisierung‘ die bei mir ständig läuft. Die soll verhindern, daß sich Spoyware überhaupt einnisten kann. Klappt nicht ganz zuverlässig, hilft aber trotzdem.
cu Rainer
Hallo Schorsch
Aufschluss erhältst du von deinen Routerprotokollen (falls du
einen solchen einsetzt), oder, wie Frank schreibt, z. B. über
ein Ethereal-Protokoll.
das Problem ist leider noch nicht gelöst. Spysbot hat alles verdächtige gelöscht und trotzdem wird immer wieder eine online Verbindung aufgebaut; und zwar auf die Sekunde genau alle 10 Minuten (die Regelmäßigkeit habe ich erst jetzt festgestellt). Die Protokolle der Norton Firewall geben keinen konkreten Hinweis. Was ist denn ein Ethereal-Protokoll ??
Über den EF Prozess manager sehe ich lediglich MS Systemdateien und Symantec Dateien und ein paar mir bekannte Programme die aktiv sind.
Es kann ja nur eines der aktiven Progs sein. Wie finde ich es heraus, welches es ist?
Gruß
Michael
hallo Mike,
Ad-Aware 6.0 und 0190 Warner 4.01, diese beiden Tools kann ich dir nur empfehlen, sie helfen dir ebenfalls den überblick zu bewahren, dein System rein zu halten.
Vor allem wenn du dich näher mit Ad-Aware beschäftigst, findest du schnell heraus wo sich diese Schädlinge am liebsten in der Registry einnisten.
mfg
Erwin
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]