Trojaner, Viren & Co.

[traveller23]

hi judma,

 

ich hab auch Kaspersky AV, dazu Kerio Firewall.

 

Dann noch Adaware, Spybot. und "a squared 2"

 

Das geht recht gut.

Ich verwende Firefox (mozilla) und Thunderbird (mozilla mail) als browser und mail.

 

Das Problem bei MS Produkten ist halt, das sie so weit verbreitet sind und somit primär Viren und Co dafür gemacht werden.

 

Jede mail mit Anhang dessen Absender ich nicht kenne wird gleich gelöscht. Jeder download vorm öffnen auf Viren untersucht.

 

Und trotzdem fand letztens wieder ein Trojaner zu mir. Kaspersky hat ihn aber gefunden und weg is er.

Wichtig is immer alle Programme am neuesten Stand zu halten. Ich update jeden Tag alle Programme, Kaspersky macht das selber alle 3 Stunden.

 

Kaspersky ist finde ich das beste AntiVIren PRogramm. ICh hatte vorher AntiVir (freeware) dann Norton Antivir und die beiden fanden nicht das alles was die Russen fanden Alte Spione eben

[Matthias]

Original geschrieben von traveller23

hi judma,

 

ich hab auch Kaspersky AV, dazu Kerio Firewall.

 

Dann noch Adaware, Spybot. und "a squared 2"

 

Das geht recht gut.

Ich verwende Firefox (mozilla) und Thunderbird (mozilla mail) als browser und mail.

 

Das Problem bei MS Produkten ist halt, das sie so weit verbreitet sind und somit primär Viren und Co dafür gemacht werden.

 

Jede mail mit Anhang dessen Absender ich nicht kenne wird gleich gelöscht. Jeder download vorm öffnen auf Viren untersucht.

Das mache ich eh!

 

Kaspersky AV dated sich alle paar Stunden up, dann verwende ich Mozilla (normalen, Firefox, Thunderbird). Ausschließlich fürs BB nehme ich den IE 6.0, da die Anzeige merklich besser ist!

 

Dass ich rigoros alle email attachments lösche, ist für mich selbstverständlich, mit Ausnahme angekündigter Emails + Attachment! Diese Vorgehensweise hat übrigens meinen PC jahrelange virusfrei gehalten (und das ohne irgendein AV-Programm, Spyware oder so a Klump). Dafür halt Win 98, der PC ist aber gegangen wie die Sau!

 

 

 

Trotzdem danke erstmals für die Hilfe, wenngleich mir da im Taskmanager noch immer zuviele Programme aktiv sind und nach wie vor sehr viel Daten den PC ohne Grund verlassen!

Besonders stutzig macht mich folgenden: svchost.exe läuft gleich 3x, explorer32.exe 2x....

[Matthias]

So, den Würmern und sonstigem Unrat am PC geht's jetzt gehörig an den den Kragen! Gleich 8 Spyware-Programme (die net nur Spyware, sondern vieles andere auch finden) haben das System gecheckt und da kam was ans Tageslicht....

 

Die hamma gleich razzeputz gelöscht und siehe da, plötzlich braus' ma wieder durch Netz mit Heispid!

[ca.avrdownhill]

Original geschrieben von judma

Besonders stutzig macht mich folgenden: svchost.exe läuft gleich 3x, explorer32.exe 2x....

svchost ist ein name eines generic host process

ausserdem ist svchost ein service, der über dynamic-link libraries (DLLs) rennt

 

 

 

info svchost:

 

man findet die svchost-dienste in der registry unter:

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost

 

die anwendungen bzw. die dienste sind als value in REG_MULTI_SZ angeführt (man kann selbst dienste starten bzw. löschen - jedoch nicht zu empfehlen)

 

 

 

wintasks 4 professional:

 

WinTasks 4 Professional ist ein tool mit dem man tasks verwalten kann - recht hilfreich wenn viele tasks laufen und man keinen überblick mehr hat

 

link: http://www.liutilities.com/products/wintaskspro/

 

 

 

info svhost:

 

wichtig: svchost ist nicht gleichzusetzen mit svhost!!!!

 

svchost ist wie oben schon erwähnt ein generic host process und läuft unter windows (ist ein windows service)

 

svhost ist jedoch eine attacke bzw. ein teil eines virus - falls svhost als task läuft, sofort löschen!!!!

[Matthias]

Nein, es läuft svchost.exe und das 3x!

[ca.avrdownhill]

Original geschrieben von judma

Nein, es läuft svchost.exe und das 3x!

 

ok - dann passt alles, dass svchost drei mal läuft ist normal - bei mir läuft der prozess 4x, je nach art der dienste die unter windows rennen

 

bei mir rennt svchost als LOCAL SERVICE, NETWORK SERVICE und 2x als SYSTEM

 

 

 

ich wollt oben nur mal für alle verdeutlichen, dass svhost eine attacke ist, weil die meisten den kleinen unterschied übersehn

[ca.avrdownhill]

falls du als betriebsystem winxp pro hast, dann kannst unter DOS den befehl tasklist /svc ausführen

 

mit tasklist /svc werden alle dienste eines prozesses angezeigt

[Matthias]

Original geschrieben von ca.avr|downhill

falls du als betriebsystem winxp pro hast, dann kannst unter DOS den befehl tasklist /svc ausführen

 

mit tasklist /svc werden alle dienste eines prozesses angezeigt

Nein, habe Win2000!

[ca.avrdownhill]

Original geschrieben von judma

Nein, habe Win2000!

aufjedenfall sind die dienste in der registry aufgelistet oder mit 'nem tool wie WinTasks 4 Professional

[Nebeljäger]

also bei meinem Win2000 Rechner in der Arbeit rennt des svchost a 4x!!(Netzwerk!!!)

 

kann mich aber dumpf errinnern das irgendein Wurm auch mit einer svchost in den Tasks zu finden war

 

wor des net da Blaster?????

[ca.avrdownhill]

Original geschrieben von Berni

also bei meinem Win2000 Rechner in der Arbeit rennt des svchost a 4x!!(Netzwerk!!!)

 

kann mich aber dumpf errinnern das irgendein Wurm auch mit einer svchost in den Tasks zu finden war

 

wor des net da Blaster?????

svchost kann durchaus 4x laufen, je nach dienst

 

 

ich kenn nur einen blaster wurm und zwar den W32.Blaster.Worm

soviel ich weiß rennt dieser wurm nicht unter dem task svchost - er führt sich selbst aus indem er in der registry unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run den wert windows auto update=msblast.exe hinzufügt

 

W32.Blaster.Worm wurde am 11. August 2003 entdeckt und der wurm nützt haputsächlich den tcp port 4444, bei den applikationen DCOM RPC den tcp port 135 und bei TFTP den udp port 69

 

der wurm greift nur diese system an:

 

Microsoft Windows NT 4.0

Microsoft Windows 2000

Microsoft Windows XP

Microsoft Windows Server 2003

[Nebeljäger]

hab nachgegoogelt s'war der W32 Welchia B Wurm....

 

bei den ganzen Würmereien der letzten Zeit kein Wunder mit der Verwirrung

[Thompson]

Original geschrieben von Berni

also bei meinem Win2000 Rechner in der Arbeit rennt des svchost a 4x!!(Netzwerk!!!)

 

kann mich aber dumpf errinnern das irgendein Wurm auch mit einer svchost in den Tasks zu finden war

 

wor des net da Blaster?????

 

na.. der wurm war sCvhost.exe ... nicht svChost.exe.

schaut aufn ersten Blick allerdings wirklich aehnlich aus.

Und gewesen wars der Gaobot...

 

Thompson

[ca.avrdownhill]

Original geschrieben von Thompson

na.. der wurm war sCvhost.exe ... nicht svChost.exe.

schaut aufn ersten Blick allerdings wirklich aehnlich aus.

Und gewesen wars der Gaobot...

 

Thompson

 

 

stimmt, im gegensatz zu svchost sind svhost und scvhost sind attacken

 

scvhost ist ein angriff eines wurms der unter diesen namen bekannt ist:

W32/Agobot-AV, Backdoor.Agobot.3.gen, W32/Gaobot.worm.gen, W32.HLLW.Gaobot.gen, W32/Agobot-BB, WORM_AGOBOT.BB

 

er verwendet hauptsächlich die tcp ports 135, 445, 13659 und hats auf die dateien, eines mit einfachen login und password geschützten netzwerkes, abgesehn

 

er läuft auch unter diesen files:

 

Scvhost.exe

WincfgM32.exe

Winhlpp32.exe

Bla.exe

[Matthias]

So, brauche wieder die kompentente Hilfe der BBer!

 

Auf meinem PC hat sich wieder irgendwas eingenistet. Permanent gehen Daten raus ohne dass ich was tue!

 

Anbei ein Screenshot! Vielleicht kann mir jemand sagen, was da nicht hingehört?! Ich habe I-Explorer, Mozilla Thunderbird offen, mehr net. Und der PC sendet und sendet...

 

Kaspersky AV auf dem letzten Stand, sowie Ad-Aware sind installiert und haben das System schon abgesucht, einen Haufen gefunden, alles gelöscht und noch immer sendet er!

 

Ich sag's euch, am anderen PC habe ich gor kein Virenprogramm u.ä. oben und der macht seit Jahren kein Problem und auf diesem fahre ich mit Win2000 Prof. und der spinnst alle paar Monate.

 

 

HELP NEEDED!!!!!!!!!!!!!!!!!!!!!!!!

[HAL9000]

Original geschrieben von judma

... HELP NEEDED!!!!!!!!!!!!!!!!!!!!!!!!

kümmere dich mal um den dntus26.exe -> klick

 

CU,

HAL9000

[GO EXECUTE]

@ judma

Für Win 2000 gibts bereits das Service Pack 4. Schon installiert ??

Schließt eine Vielzahl von Sicherheitslücken.

 

Persönlich entzieh ich vielen Viren einfach die Grundlage sich zu installieren und auszuführen in dem ich bei den Internetoptionen unter Sicherheit alle Punkte mit ActiveX und Java Script deaktiviere.

 

Diese Einstellung hebe ich nur kurzfristig bei vertrauenswürdigen Seiten ( Bikeboard usw. ) auf, und dann auch nur um in Beiträgen Smiles einzufügen. Ansonsten läuft noch ein Activ Port Scanner - Trojancheck 6 ( Freeware) - Sygate Personal Pro Firewall und ein Virenprogramm.

Dazu noch ein DVD Image Backup wenns mal doch wer schafft.

Paranoia läßt grüßen :f:

 

lg, GO EXECUTE

[HAL9000]

Original geschrieben von GO EXECUTE

... Paranoia läßt grüßen :f: ...

aber das konto, mit dem du arbeitest hat administrative rechte, oder...

 

CU,

HAL9000

[Matthias]

Original geschrieben von HAL9000

kümmere dich mal um den dntus26.exe -> klick

 

CU,

HAL9000

Schon gefunden! Nur er läßt sich net löschen/deaktivieren! Liegt im Verzeichnis "C:\WINNT\dntus26.exe" und wie lösche ich den. Immer die Meldung: kann nicht gelöscht werden, Quelldatei geöffnet...:s:

[HAL9000]

Original geschrieben von judma

... kann nicht gelöscht werden, Quelldatei geöffnet...:s:

eh klar... - läuft ja auch noch . hast du dir den verlinkten artikel durchgelesen?

(wozu mache ich mir eigentlich die arbeit... )

mit dem löschen dieser einen dateil ist es nicht getan...

 

CU,

HAL9000

[Matthias]

Original geschrieben von HAL9000

eh klar... - läuft ja auch noch . hast du dir den verlinkten artikel durchgelesen?

(wozu mache ich mir eigentlich die arbeit... )

mit dem löschen dieser einen dateil ist es nicht getan...HAL9000

So, alles rausgelöst, wie es beschrieben ist, PC sendet noch imma!

[HAL9000]

Original geschrieben von judma

So, alles rausgelöst, wie es beschrieben ist, PC sendet noch imma!

dreh mal alles auf der firewall für ausgehend ab (hast überhaupt eine

installiert? lt. taskliste nicht), dann sollten die entsprechenden meldungen

kommen, wenn ein programm raus will...

 

CU,

HAL9000

[Matthias]

Original geschrieben von HAL9000

dreh mal alles auf der firewall für ausgehend ab (hast überhaupt eine

installiert? lt. taskliste nicht), dann sollten die entsprechenden meldungen

kommen, wenn ein programm raus will...

Firewall kann ich nicht installieren, weil dann funzt das I-net net mehr...

Habe da schon u.a. einen PC-Spezialisten gehabt, der hat einige FW durchprobiert, aber keine verträgt sich mit dem I-net...:s:

[GO EXECUTE]

Original geschrieben von HAL9000

aber das konto, mit dem du arbeitest hat administrative rechte, oder... CU,HAL9000

 

Lieber nicht. Be my "Guest" reicht fürs surfen.

 

lg, GO EXECUTE

[Roox]

maximaler schutz:

• hardware firewall oder. router mit integrierter firewall
  
• dann eine gscheite software firewall ala mcafee
  
• alle ports sperren die du nicht brauchst!!
  
• cookies generell nicht zulassen, und nur falls du sie für eine seite brauchst, dann temporär zulassen
  
• regelmäßig mit diverse tools (viren, spy, ..) das system cheken