Verdächtiges Programm gescannt

cdti13_2619f4 · 18. März 2007 um 19:44

N ´abend zusammen,

habe den Rat von Max befolgt und boot_.exe (ja, mit Unterstrich) mal bei virusscan.jotti hochgeladen.

Ergebnis: Laut Programm wohl virenfrei, aber das Ergebnis ist ja auch nach Angabe des Betreibers der Seite wohl keine 100% Sicherheit.

Außerdem stellt sich mir natürlich nach wie vor die Frage, was da bei mir wohl „gebootet“ wird, vielleicht meine Kontodaten, PIN-Nummern usw???

Vielleicht weiß ja jemand mehr, ob die ominöse boot_.exe vielleicht auch nur ne Datei ist, die standartmäßig zum Betriebssystem (habe Windows 2000) gehört und beim Start aktiviert sein MUSS??

Vielen Dank erstmal für Eure Antworten und im Voraus für die, die noch kommen:smile:

Schönen Restsonntag

Christian

P.S.: Seit ich vor gut nem Monat eine Firewall („ZoneAlarm“) installiert habe, wurden bei mir über 17000 Zugriffsversuche abgewehrt, davon 411 „ersten Ranges“!! Ist das normal oder hats da jemand auf mich abgesehen…?? Kann man eigentlich anhand der IP des „Angreifers“ rauskriegen, wer genau das ist??

Hinterw_ldler_37172f · 18. März 2007 um 22:00

N ´abend

habe den Rat von Max befolgt und boot_.exe (ja, mit
Unterstrich) mal bei virusscan.jotti hochgeladen.

Woher hast du sie und warum hast du sie nicht schon längst gelöscht

Ergebnis: Laut Programm wohl virenfrei, aber das Ergebnis ist
ja auch nach Angabe des Betreibers der Seite wohl keine 100%
Sicherheit.

Eine 100%ige Sicherheit kann es nicht geben.

Außerdem stellt sich mir natürlich nach wie vor die Frage, was
da bei mir wohl „gebootet“ wird, vielleicht meine Kontodaten,
PIN-Nummern usw???

Was sagt http://www.Hijackthis.de zu diesem Problem? Hast du dein System mal checken lassen?

Vielleicht weiß ja jemand mehr, ob die ominöse boot_.exe
vielleicht auch nur ne Datei ist, die standartmäßig zum
Betriebssystem (habe Windows 2000) gehört und beim Start
aktiviert sein MUSS??

Nein, da müsste im Internet mehr darüber zu lesen sein.

Seit ich vor gut nem Monat eine Firewall („ZoneAlarm“)
installiert habe, wurden bei mir über 17000 Zugriffsversuche
abgewehrt, davon 411 „ersten Ranges“!! Ist das normal oder
hats da jemand auf mich abgesehen…?? Kann man eigentlich
anhand der IP des „Angreifers“ rauskriegen, wer genau das
ist??

Willst du uns veralbern? Wer gibt solche Ratschläge?
Etwas Allgemeinwissen gefällig:
http://de.wikipedia.org/wiki/Personal_Firewall
http://ulm.ccc.de/PersonalFirewalls
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html
http://www.stud.tu-ilmenau.de/~traenk/dcsm.htm
http://www.dingens.org/pf-bericht/bericht.html
http://www.ntsvcfg.de
http://ulm.ccc.de/ChaosSeminar/2004/12_Personal_Fire…
http://ulm.ccc.de/ChaosSeminar/2005/01_%28Un%29Siche…
http://www.ntsvcfg.de/linkblock.html
http://www.dingens.org/

der hinterwäldler

–
Nur Feiglinge sichern ihre Startpartition in einem Image.
Wahre Helden von heute stellen sich der Herausforderung
und benutzen PFWs, Scanner und Removertools.
Sie waren bis gestern damit noch sehr zufrieden.
Ich bin ein Feigling.

old_Max · 19. März 2007 um 08:43

N ´abend zusammen,
…
Vielleicht weiß ja jemand mehr, ob die ominöse boot_.exe
vielleicht auch nur ne Datei ist, die standartmäßig zum
Betriebssystem (habe Windows 2000) gehört und beim Start
aktiviert sein MUSS??

Sehr, sehr unwahrscheinlich !

Ausserdem hast du uns noch nicht mitgeteilt in welchem Verzeichnis die Datei liegt.
Schon mal versucht sie im abgesicherten Modus testweise umzubenennen ?

Gruss
Max

Chewpapa_22ca98 · 19. März 2007 um 09:03

Hallo Christian,

Vielleicht weiß ja jemand mehr, ob die ominöse boot_.exe
vielleicht auch nur ne Datei ist, die standartmäßig zum
Betriebssystem (habe Windows 2000) gehört und beim Start
aktiviert sein MUSS??

ich habe inzwischen mal auf WinXP und Win2000 nachgesehen, bei mir gibt es diese Datei nicht. Verwendest Du noch andere BS auf dem Computer?

Hast Du schon mal in die Eigenschaften der Datei gesehen, ob da etwas über die Herkunft steht? Wenn es keine Schadsoftware ist, könnte da der Hersteller stehen. Hast Du die Datei mal mit einen Texteditor geöffnet und den Inhalt angesehen? Speziell wenn es sich nicht um Schadsoftware handelt findet mal so u.U. Hinweise auf den Verwendungszweck. Der Name wäre zwar unglücklich gewählt, aber es kommt eventuell Handysoftware in Frage und dann können wir uns totsuchen …

Gruß, Rainer

Anonym_028940377b35 · 19. März 2007 um 11:06

Hallo Christian

P.S.: Seit ich vor gut nem Monat eine Firewall („ZoneAlarm“)
installiert habe, wurden bei mir über 17000 Zugriffsversuche
abgewehrt, davon 411 „ersten Ranges“!

Was bitte ist ein ‚Zugriffsversuch ersten Ranges‘? Kannst Du da mal schreiben, was ZA damit genau meint?

Ist das normal oder hats da jemand auf mich abgesehen…?

Es ist erstmal leider normal, dass eine Personal Firewall (PFW) wie ZA standardmässig dazu neigt, jeden Pups (verirrtes Paket, Ping, Portscan…) zu melden. Ein grosser Teil von diesen Sachen gehören zum ‚Hintergrundrauschen‘, das für Netzwerke auf Basis von TCP/IP normal ist. Und völlig harmlos ist, insbesondere wenn Du ein vernünftig konfiguriertes System auf aktuellem Patchlevel hast.

Sinnvollerweise solltest Du Dinge, die gemeldet werden, genauer prüfen und herausfinden, was da gemeldet wurde, warum und ob das gefährlich ist. Und dann geeignete Massnahmen ergreifen. Zu diesen Massnahmen kann z.B. gehören, ZA so zu konfigurieren, dass es harmlose Sachen nicht mehr meldet.

Kann man eigentlich anhand der IP des „Angreifers“ rauskriegen, wer
genau das ist?

Wozu? Der grösste Teil sind ja vermutlich harmlose Sachen. Ausserdem dürften Portscans häufig von Leuten durchgeführt werden, die so ähnlich wie Du ins Internet gehen. Mit wechselnder IP vom Provider. Da kannst Du allenfalls den Provider und den Einwählknoten herausfinden.

Der Aufwand lohnt sich nicht, da gross etwas zu machen. Beim Provider reklamieren, weil einer seiner Kunden einen Portscan durchgeführt hat? Vielleicht, wenn da immer wieder der selbe und in massiver Art und Weise etwas versuchen würde. Aber das wird schwierig nachzuweisen.

CU
Peter

ExNicki_99e239 · 19. März 2007 um 12:10

Hi Christian

habe den Rat von Max befolgt und boot_.exe (ja, mit
Unterstrich) mal bei virusscan.jotti hochgeladen.

Ergebnis: Laut Programm wohl virenfrei, aber das Ergebnis ist
ja auch nach Angabe des Betreibers der Seite wohl keine 100%
Sicherheit.

Außerdem stellt sich mir natürlich nach wie vor die Frage, was
da bei mir wohl „gebootet“ wird, vielleicht meine Kontodaten,
PIN-Nummern usw???

warum löscht du das Ding nicht einfach?
Im schlimmsten Fall mir einem KillFile-Progi

Vielleicht weiß ja jemand mehr, ob die ominöse boot_.exe
vielleicht auch nur ne Datei ist, die standartmäßig zum
Betriebssystem (habe Windows 2000) gehört und beim Start
aktiviert sein MUSS??

sicher nicht. habe hier auch W2k, und weit u breit nix von einer boot_.exe zu sehen

P.S.: Seit ich vor gut nem Monat eine Firewall („ZoneAlarm“)
installiert habe, wurden bei mir über 17000 Zugriffsversuche
abgewehrt, davon 411 „ersten Ranges“!! Ist das normal oder
hats da jemand auf mich abgesehen…?? Kann man eigentlich
anhand der IP des „Angreifers“ rauskriegen, wer genau das
ist??

Zone Alarm hat die Eigenart, bei jedem harmlosen Vorgang anzuschlagen, dafür aber Trojaner und Backdoorprogis ungehindert durch zu lassen.
Das einzig sinnvolle, was man mit Zone Alarm tun kann, ist es zu deinstallieren.

Gruss
ExNicki