4. Win32.Trojan... und srescan

Win32.Trojan... und srescan

  • S

    Hi,

    zu meinem Entsetzen hat mein ZoneLabs Spyware-Scanner (nicht der Virenscanner) in TEMP die Datei "system.dll", die mit einem Win32.Trojan versucht gewesen sein soll, gefunden.
    Ich habe ihm befohlen, diese zu löschen.
    Sie befindet sich (anscheinend, die Windowssuche findet jedenfalls nichts) auch nicht mehr auf dem Rechner.

    Ich habe danach im abgesicherten Modus gestartet und die Registry durchsucht:

    Dabei ist mir aufgfallen, dass ich unter "RunOnce" ein Eintrag "srescan" befand, der früher auf jeden Fall nicht dort war.
    Entsprechend habe ich auch diesesn gelöscht.

    Sein Pfad führte nach C:\windows\system32\zonelabs

    Die dort befindlichen Dateien srescan.dll und srescan.sys habe ich vorsichtshalber auch entfernt
    (zur Not kann ich ZoneAlarm immernoch neu installieren).

    ZoneAlarm läuft auch immernoch normal (nur scheinen dir Protokolle zu fehlen) und prüft gerade (im Abgesicherten immernoch).

    Weiß hier jemand, ob srescan irgendwie infiziert gewesen sein könnte, wie gefährlich dieses Ding ist etc.?
    Was soll ich jetzt machen?
    Muss ich formatieren oder reichen meine Maßnahmen?

    Vielen Dank,
    Sinthoras

    0
  • ?

    Sinthoras schrieb:

    Was soll ich jetzt machen?
    Muss ich formatieren oder reichen meine Maßnahmen?

    Plattmachen das Ding! Was denn sonst?
    Du weißt doch nicht, was dir alles untergeschoben wurde.

    0
  • S

    Ok, aber bevor ich es platt mache:

    Wie kann ich an sowas rangekommen sein?
    Ich hab weder irgendwelche "seltsamen" Seiten besucht, noch irgendentwas runtergeladen... außerdem waren meine ZoneAlarm- und Windows-Updates auf dem neuesten Stand...

    Was kann ich denn da noch falsch gemacht haben???

    Ich hab in letzter Zeit leider öfter solche Probleme, aber ich verstehe wirklich nicht, warum. Und warum so häufig.
    Soweit ich weiß, habe ich doch alles richtig gemacht?!?
    Oder wo irre ich mich???

    0
  • ?

    HACKED

    0
  • F

    Sinthoras schrieb:

    Dabei ist mir aufgfallen, dass ich unter "RunOnce" ein Eintrag "srescan" befand, der früher auf jeden Fall nicht dort war.
    Entsprechend habe ich auch diesesn gelöscht.

    Sein Pfad führte nach C:\windows\system32\zonelabs

    Die dort befindlichen Dateien srescan.dll und srescan.sys habe ich vorsichtshalber auch entfernt
    (zur Not kann ich ZoneAlarm immernoch neu installieren).

    Diese Einträge waren dazu da, dass das System nach einem Neustart nochmals einen Virenscan durchführt, für den Fall, dass nochwas übrig geblieben ist. Genau das hast Du nun verhindert.

    0
  • E

    du kannst mit einem einmal korrumpiertem System sowieso kaum noch nen vernünftigen Virenscann machen. Zieh dir ne BartPE und mach 2-3 Virenscanner drauf und lass das ding dann mal von der LiveCd laufen. Wenn das nix bringt dann mach die kiste platt.

    0
  • S

    Hab ich jetzt platt gemacht.

    Gibt es irgendeine Möglichkeit, wie ich mich das nächste Mal besser schützen kann?

    0
  • E

    ja installier ein vernünfiges Betriebsystem z.B. Linux 😃

    0
  • F

    Sinthoras schrieb:

    Hab ich jetzt platt gemacht.

    Gibt es irgendeine Möglichkeit, wie ich mich das nächste Mal besser schützen kann?

    Virenscanner a la AntivirXP.

    0
  • ?

    Patches und Updates regelmäßig einsp8ielen.
    Nicht benötigte Dienste abstellen (Ports schließen).
    Browser entsprechend konfigurieren (Alles abstellen und nur für vertrauenswürdige Seiten zu lassen.)
    Virenscanner und Firewall (Aber nicht blind drauf verlassen.)
    Hirn einschalten.

    0
  • F

    - Router im Stealthmodus
    - EmailClient, der nicht sofort Anhänge anzeigt und ausführt

    0
  • ?

    F98 schrieb:

    - Router im Stealthmodus

    Bringt jetzt genau was?

    0
  • F

    SeppSchrot schrieb:

    F98 schrieb:

    - Router im Stealthmodus

    Bringt jetzt genau was?

    Indirekt Sicherheit dadurch, dass man nicht pingbar ist. Für Idioten die pauschal alles durchpingen und dann gezielt Angriffe gegen potentielle Rechner fahren ist somit der Router nicht sichtbar. Diese Maßnahme filtert eine Menge dieses tagtäglichen und lästigen Hintergrundrausches.

    0
  • C

    F98 schrieb:

    SeppSchrot schrieb:

    F98 schrieb:

    - Router im Stealthmodus

    Bringt jetzt genau was?

    Indirekt Sicherheit dadurch, dass man nicht pingbar ist. Für Idioten die pauschal alles durchpingen und dann gezielt Angriffe gegen potentielle Rechner fahren ist somit der Router nicht sichtbar. Diese Maßnahme filtert eine Menge dieses tagtäglichen und lästigen Hintergrundrausches.

    Diese Methode erhöht andererseits die Login-Zeiten für IRC und manche andere Dienste, bei denen Ping (oder Ident-Abfrage, ähnliche Baustelle) Standard ist.

    Die Programme, die "alles durchpingen", werden wahrscheinlich auch unterscheiden können zwischen "der router ignoriert den Ping" und "host unreachable"; denn wenn die IP wirklich nicht in Verwendung ist, wird ein Ping nicht ignoriert, sondern beantwortet.

    0
  • F

    Nicht, wenn man sowas wie "discard ping from wan" einstellen kann, also keine ICMP-Anfragen beantwortet werden.

    0
  • ?

    Wieso, diese Meldung kommt doch dann von woanders.
    http://www.hansenonline.net/Networking/stealth.html

    Na gut, vielleicht entstehen dem Scannenden ja dadurch größere Wartezeiten, weil er auf das Timeout warten muss. Und er verliert die Lust.

    Trotzdem glaube ich, dass dieser "Stealth-Mode" den Routerherstellern mehr als Buzzword dient, das sie als extra Feature verkaufen können.
    Problem ist dann wieder, dass sich viele damit in falscher Sicherheit™ wiegen.
    "Mein Rechner wurde gehackt und dabei war ich doch unsichtbar im Netz :(..."

    0
  • ?

    Christoph schrieb:

    F98 schrieb:

    SeppSchrot schrieb:

    F98 schrieb:

    - Router im Stealthmodus

    Bringt jetzt genau was?

    Indirekt Sicherheit dadurch, dass man nicht pingbar ist. Für Idioten die pauschal alles durchpingen und dann gezielt Angriffe gegen potentielle Rechner fahren ist somit der Router nicht sichtbar. Diese Maßnahme filtert eine Menge dieses tagtäglichen und lästigen Hintergrundrausches.

    Diese Methode erhöht andererseits die Login-Zeiten für IRC und manche andere Dienste, bei denen Ping (oder Ident-Abfrage, ähnliche Baustelle) Standard ist.

    Die Programme, die "alles durchpingen", werden wahrscheinlich auch unterscheiden können zwischen "der router ignoriert den Ping" und "host unreachable"; denn wenn die IP wirklich nicht in Verwendung ist, wird ein Ping nicht ignoriert, sondern beantwortet.

    Und wie soll der Angreifer das ubnterscheiden, wenn der Ping nicht beantwortrt wird? Glaskugel?

    0
  • ?

    MisterX schrieb:

    Und wie soll der Angreifer das ubnterscheiden, wenn der Ping nicht beantwortrt wird? Glaskugel?

    Mindestens der Rechner von deinem ISP weiß ja, dass dein Router gerade online ist. Des Angreifers Ping wird also von diesem Rechner auf deinen Router weiterverwiesen. Dein Router kann die Anfrage dann ignorieren oder nicht.

    Das ist aber etwas anderes, als wenn der ISP Rechner gleich sagt: "Diese IP gibt es hier nicht."

    0
  • F

    iCH SEHE DA ABER KEINEN uNTERSCHIED 8DRECKS CAPS LOCK9; OB NUN DER ISP ODER DER ROUTER SAGEN. 2iSS NICH12

    0
  • C

    F98 schrieb:

    iCH SEHE DA ABER KEINEN uNTERSCHIED 8DRECKS CAPS LOCK9; OB NUN DER ISP ODER DER ROUTER SAGEN. 2iSS NICH12

    Gut möglich, dass Windows' ping.exe das ICMP-Paket "host unreachable" nicht auswertet. Versuch es mal mit dem ping-Programm von Linux oder Mac OS X, das funktioniert wie gewünscht.

    0
  • T

    Der Router sagt dann ja grade nicht "iss nich", sondern gar nichts. Wenn da wirklich nichts ist wird aber "iss nich" gesagt, und zwar vom Router des ISP.

    0
Anmelden zum Antworten