# Trojaner aktiv?



## Anonymous (2 April 2004)

Seit kurzem blockiert die DSL-Verbindung, und zwar immer dann, wenn Outpost eine Verbindung zu bender*optel-media*de (vorsichtshalber geändert) anzeigt, egal, ob explorer, ebaytoolbar oder icq gestartet sind. Gehe ich dann in Outpost über "Regel erstellen" auf das Feld "DNS", wird dort als letzte Zeile angezeigt "back orifice trojan program".

AntiVir und AdAware haben nichts gefunden. Spybot kann zwei Dateien in \temp nicht lesen, die können auch nicht gelöscht werden. Eine <blank>.exe in der registry (\run, \runservices) war nicht zu finden. 

Über ISDN gelang Update von AntiVir beim dritten Anlauf, bei DSL wird ganz schnell blockiert. 

Gelegenheit für einen Trojaner gab es, bei Benutzerwechsel (W98) blieb Outpost schon mal hängen und war dann eine zeitlang abgeschaltet. Auch AntiVir war plötzlich mal aus. 

Ist Outpost bzw. die Sicherheit beim IE 6.0 zu hoch eingestellt? Mit welchem Programm schaffe ich Klarheit? Ist das hinzukriegen ohne neu zu formatieren?


----------



## Counselor (2 April 2004)

Schalte mal Outpost ab und überprüfe die DSL Verbindung:

http://www.winfaq.de.vu/OperatingSystems/Windows/Windows_2000/tcpip/tcpip_nav.asp

Prüf auch mittels 'netstat -a', ob Verbindungen zu Servern bestehen, die verdächtig sind. Das sind zB solche, deren IP sich per NSLOOKUP nicht zu einem lesbaren Namen auflösen lassen.

Danach solltest du im Taskmanager nachsehen, ob verdächtige Prozesse laufen und diese ggfs beenden und aus der Registry löschen.

Infos zu Back Orifice

http://vil.nai.com/vil/content/v_10229.htm

Außerdem ist IMHO der Einsatz eines Breitband-Routers mit Gateway und Firewallfunktion zu empfehlen (Kostenpunkt: Verdrahtet ca 50 EUR, Wireless ca. 120 EUR). Der kann nämlich so konfiguriert werden, dass der grobe Internetmüll schon 'vor der Tür weggekehrt' wird'. Man kann auch ausgehende Verbindungen damit managen, so dass man IMHO gar keine Personal Firewall mehr benötigt. Hardwarelösungen sind auch zuverlässiger als Softwarelösungen.


----------



## Anonymous (2 April 2004)

Counselor schrieb:
			
		

> Außerdem ist IMHO der Einsatz eines Breitband-Routers mit Gateway und Firewallfunktion zu empfehlen


Ich nutze den Draytek Vigor sowohl über Funk als auch per Kabel - ohne lange nachgelesen zu haben, geht das damit? Kann der die "Bremse" gewesen sein?

Habe die Tipps noch nicht umgesetzt, war noch nicht dran am Rechner: Sieht das nach Back Orifice aus?

Was hat der bender... auf meinem Rechner verloren, warum hängt der da immer zwischen?


----------



## Counselor (2 April 2004)

Eine kurze Nachforschung zur Bender-Url:

Der Server ist bei
http://www.blars.org/errors/block.html
http://www.dnsstuff.com/tools/ip4r.ch?ip=62.146.38.54

mit Code 32 gelistet. Möglicherweise nutzt er Mail-Relay Exploits, dh er mißbraucht möglicherweise deinen Rechner zum Spammen.
Außerdem ist das ein Alias für h**p://wxw.optelmedia.dx. 

Untersuche daher mal, ob bei dir der Port 25 offen ist. Falls ja, sofort schliessen.

Hier noch ein Workshop zur Absicherung eines Wireless LAN:

http://www.vnunet.de/testticker/Mobile/article.asp?ArticleID=20030521507&Ref=pc-direkt


----------



## Anonymous (3 April 2004)

*Hilfeee!!!*

Nach einer kurzen Nacht: Es klappt immer noch nicht, nur ISDN geht. Hat's nur mich erwischt?

Der screenshot zu bender... sieht so aus:


----------



## Anonymous (3 April 2004)

*Bender2*

Und mein Rechner versucht ständig die Signale der Außerirdischen abzufangen:


----------



## Anonymous (3 April 2004)

*Kontaktsuche - bender3*

Und ständig will einer mit meinem Rechner flirten, bei DSL geht's noch schneller:


----------



## Genesis (3 April 2004)

Sieht für mich wie das "ganz normale Hintergrundrauschen" aus.


----------



## Anonymous (3 April 2004)

*Langsam voran*

So, jetzt habe ich auf einer alten Festplatte neu installiert, und benders müssen draußen bleiben. Das Horchen und der Begriff "back orifice" sind zwar immer noch da, aber alles problemlos mit gewohntem Tempo, keine Versuch mehr, auf die bender-Seite zuzugreifen. Am Router oder dem Provider lag's damit ja wohl nicht. 

Ich will aber trotzdem die große Platte nicht neu formatieren. Welches Programm könnte noch helfen?


----------



## Counselor (4 April 2004)

AUPDRUN.EXE ist das Autoupdate Feature der Outpost Firewall. Der UDP Port 53 ist normalerweise für die Namensauflösung der Rechner im Internet zuständig.


----------



## Anonymous (4 April 2004)

Hallo,

zunächst administrativ:
Ich konnte mich hier leider nicht registrieren, es gab jedes Mal ein:

Could not find email template file :: admin_notification
DEBUG MODE
Line : 111
File : /xxx/xxx/xxxxxxxx/xxxxx/xxxxxx/emailer.php

Deshalb ausnahmsweise mal als Gast  :-? 



> Gehe ich dann in Outpost über "Regel erstellen" auf das Feld "DNS", wird dort als letzte Zeile angezeigt "back orifice trojan program".



Was genau meinst Du damit bzw. wo hast Du die Zeile gefunden?
Ich frage deshalb so explizit, weil meine Wenigkeit derjenige ist, der die OP 2.1 Ressourcen übersetzt hat und ich hoffe mal nicht, da ist uns was durchgerutscht. Falls ja, müsste das schleunigst korrigiert werden.

Nächste Frage:
Du schreibst, Outpost läuft auf Win98. Welche Outpost Version? 2.1 oder die Free? Falls 2.1, kann das Hängenbleiben schon mal passieren, wenn die ODBC Bibliotheken in einer älteren Version installiert sind (die bei der Installation von OP 2.1 installiert bzw. aktualisiert werden müssen). In dem Fall  bleibt OP beim Zugriff auf das Log-System schon mal gerne stehen.
Falls es die Free-Version ist, schreib mir bitte noch die exakte Fehlermeldung, falls eine angezeigt wird (oder bleibt OP einfach nur stehen bzw. deaktiviert sich?)

Was meinst Du mit "bender*optel-media*de"?

Gruß Uwe (firewallinfo.de)


----------



## Blue_the_hunter (4 April 2004)

> zunächst administrativ:
> Ich konnte mich hier leider nicht registrieren, es gab jedes Mal ein:



Ok, Registrierung hat doch geklappt aber dennoch wird diese irritierende Fehlermeldung angezeigt   

Gruß Uwe


----------



## Anonymous (4 April 2004)

@ uwe

Das mit "back orifice.:." steht in der Reihenfolge oben auf dem screenshot "bender1.jpg". Nach Aufklappen des "+" (rechte Maustaste)Regel erstellen; "DNS" anklicken; letzte Zeile im Fenster. 

Auf meiner Neueinrichtung ist das immer noch da, es klappte aber.

Bin jetzt besuchshalber auf einem anderen Rechner mit XP, da sieht das genauso aus, wenn Outpost gestartet ist.

Ich nutze Outpost als download von der Seite www.bsi-fuer-buerger.de (1.0)


----------



## Blue_the_hunter (4 April 2004)

Ok, das steht in der Tat in der Port-Auswahl und mir ist gerade sehr unbegreiflich, warum. Gut, ich kläre diesen Punkt direkt mit dem Agnitum Beta-Team. Dafür hätte ich schon sehr gerne eine griffige Erklärung.

Was diese Download-Version von bsi für Bürger betrifft, scheint sie nicht mehr vorhanden zu sein. Da wird aktuell was von einer Schwachstelle berichtet, die ich nicht nachvollziehen kann und prüfe das noch.
Angeboten wurde da aber offensichtlich Version 1.0. Die ist völlig veraltet.
Ich weiß leider immer noch nicht, welche Version bei Dir installiert ist. Schau bitte mal im Outpost Hauptfenster im Menü "Hilfe" im Menüpunkt " Über Outpost Firewall". Da wird die Versionsnummer angegeben.

So wie sich Dein Screenshot hier zeigt, hast Du eine von den älteren Versionen erwischt, warum auch immer die bei bsi angeboten wurde. Lass uns das bitte klären, welche Version Du künftig benutzen möchtest und dann wirst Du als erstes eine aktuelle Version laden und installieren. Die Datei AUPDRUN.EXE ist in der Tat das Update-Tool und das greift mit absoluter Sicherheit nicht auf "bender.optel-media.de" zu sondern auf den Agnitum Update-Server. Weiß der Teufel, was da bei Dir passiert aber das bekommen wir schon rund   

Also nochmals zusammengefasst:

Welche Version benutzt Du zur Zeit?
Welche Version willst Du nutzen (Free 1.0, 2.0 oder 2.1)?

Danach schauen wir dann weiter.

Gruß Uwe


----------



## Anonymous (4 April 2004)

Blue_the_hunter schrieb:
			
		

> Die Datei AUPDRUN.EXE ist in der Tat das Update-Tool und das greift mit absoluter Sicherheit nicht auf "bender.optel-media.de" zu sondern auf den Agnitum Update-Server.


War Zufall, dass der screenshot die AUPDRUN.EXE getroffen hat! War der zehnte Versuch oder so. Bei den neun vorher war die Meldung mit den benders schon weg, bevor ich über Regel erstellen usw. zum shot kam. Die benders waren immer da, sie schreckten auch vorm Forum nicht zurück; ich konnte eingeben, was ich wollte. Wurde alles geblockt. 

Bevor hier irgendjemand sich zu Unrecht in Misskredit gebracht sieht: Ich halte durchaus für möglich, dass am PC oder am Router irgendeine Einstellung falsch war. Aber die benders kannte hier vorher keiner.


----------



## Blue_the_hunter (4 April 2004)

Hi,

nein, ich zumindest fühle mich nicht diskreditiert. Ich arbeite eigentlich in einem anderen Forum und wurde hier auf die Seltsamkeiten mit Outpost aufmerksam gemacht und weil ich Outpost mit sehr viel Herzblut "supporte", wollte ich natürlich helfen. So kam das zusammen  8) 

Ich habe trotzdem bereits mal eine Anfrage an Agnitum geschickt. Ich kenne dort einige Leute recht gut und bekomme meist schnell eine Antwort. Insbesondere die Option "BackOrifice" in der Port-Auswahl möchte ich schon ganz gerne erklärt haben. Ich weiß natürlich, das BackOrifice von einigen Leuten auch ganz gerne als normales "Remote-Access-Tool" für die Administration von Rechnern benutzt wird (häufig von amerikanischen Usern und die sind vielfach im Beta-Forum vertreten), orakele ich jetzt mal, die Option wurde bewußt eingebaut. Das möchte ich aber offiziell bestätigt haben.

Aber zurück zu den Problemen....
Ich würde wirklich mal diese seltsam reagierende Version deinstallieren und dann eine von der Agnitum Homepage laden unter:

Free-Version 1.0
h**p://www.agnitum.com/download/outpost1.html

Aktuelle Pro-Version 2.1
h**p://www.agnitum.com/download/outpostpro.html

Deutsches Handbuch (PDF)
h**p://www.agnitum.com/download/Benutzer-Handbuch.pdf

Was "bender" betrifft, schau doch bitte mal in Deine HOSTS Datei, ob da möglicherweise was umgelenkt wird. Die ist zu finden im Verzeichnis:

Windows98
Im Windows Hauptordner und nennt sich HOSTS.SAM

Windows 2000/XP
/WINDOWS\system32\drivers\etc und nennt sich einfach nur HOSTS

Manche Spyware setzt mitunter dort ihre DNS Einträge hinein, um den Benutzerverlauf zu protokollieren. Da sollte an und für sich eigentlich nur ein:

127.0.0.1 localhost

enthalten sein. Alles andere kann gelöscht werden. Am besten würde ich die HOSTS Datei dann direkt mit einem Schreibschutz versehen, damit nichts mehr unbemerkt dort eintragen kann.

Gruß Uwe


----------



## Anonymous (4 April 2004)

@ Uwe

Bitte Verständnis - ich bin im Moment mit Passworten sparsam und logge mich erstmal nirgends ein: Du hast Email über die Webseite. Wenn nicht angekommen, bitte hier mitteilen.

Dann bin ich ein Stück weiter: Ich habe "optel-media" in Windows als Suchbegriff eingegeben und siehe da, Meldung von AntiVir, gab's gestern noch nicht, in den Temoprary Internets: 

freenet[2].html und noch eine andere Datei, die index[2]html, als AntiVir die speichern sollte, stürzte der Rechner ab, enthalte den Trojaner 

TR/Script.JS.Now.2

Juhu, ich bin mal ganz vorne dabei, wenn's Schädlinge gibt, mein letzter war ein Bootvirus vor drei Jahren!!!

Meine neuen Freunde: www.computerhilfen.de/hilfen-17-25615-0.html 

Vorsicht: wer danach googelt, ich hab's getan, eine Seite mit irgendwas von freenet aufgerufen, jetzt hängt meine große Festplatte wieder. 

Dazu als Hintergrund: In meiner Not habe ich mich für die 30 Stunden von freenetdsl angemeldet. Wahrscheinlich hat sich der Trojaner gleich eine der neuen Dateien gegriffen.

Ich weiß nicht, ob dieser Trojaner etwas mit den benders zu tun hat, aber das sieht ja alles ganz interessant aus. Aber wenn das mein Problem ist, dann hat das nichts mit freenet zu tun - oder doch, ich habe mich vor meinem Kontakt zu den benders über das freenet-Angebot informiert?


----------



## Anonymous (4 April 2004)

@ Uwe

Ach, dickes Lob an Outpost. Wenn dort die Blockierung nicht aufgefallen wäre, würde ich wahrscheinlich heute noch frei und fröhlich mit den benders kommunizieren. Ob ich da wohl ein Image meiner Festplatte kriegen könnte?


----------



## Anonymous (4 April 2004)

So, jetzt ist der Trojaner weg, jetzt läuft alles wieder super auf der großen Festplatte, ob's das wohl war?

Outpost ist auch wieder ganz friedlich, nichts zu sehen von einer bender...-Webadresse. 

Und wer immer jetzt durch mein Problem mit Outpost verunsichert ist: Outpost hat's nur an den Tag gebracht. Gerade wo ich dieses hier schreibe, ist nur ein IE-Fenster offen, angezeigt unter den Outpost-Verbindungen nur mit "explorer.exe", dahinter nur Sternchen, wo vorher bender.optel..... stand (siehe oben bender1.jpg).

Und wenn ich dann über rechte Maustaste, Regel erstellen pp. die Fenster wie oben öffne, steht da immer noch das gleiche von back orifice. Dürfte wohl so sein, wie Uwe schrieb, dass das programmtechnisch so dargestellt wird, aber keine Unruhe auslösen muss. Wenn doch, wird Uwe das sicher schreiben.


----------



## Anonymous (4 April 2004)

*Warnung -- Warnung --- Warnung*

Vorsicht!!!

Habe eben versucht, die ganz normale freenet-Seite www. freenet. de zu laden, indem ich das per Hand in die Adresszeile eingegeben habe - sofort meldete sich AntiVir und wies auf den Trojaner hin!!

Da gibt's ein echtes Problem - entweder wurde freenet was untergejubelt, oder die haben versehentlich in einem Script die Signaturen des Trojaners untergebracht.

Bei meinen neuen Freunden in Computerhilfen.de wird über Fehler bei AntiVir gemutmaßt, laut freenet; aber andere Virenscanner entdecken den Trojaner inzwischen auch.

Hat schon jemand die beanstandete Datei untersucht?


----------



## Stalker2002 (4 April 2004)

*Warnung zurecht, hab's überprüft!!!*



			
				benderfan schrieb:
			
		

> Vorsicht!!!
> 
> Habe eben versucht, die ganz normale freenet-Seite www. freenet. de zu laden, indem ich das per Hand in die Adresszeile eingegeben habe - sofort meldete sich AntiVir und wies auf den Trojaner hin!!
> 
> ...



Habe auch gerade die Seite angesurft und mein AntiVir hat sofort das brüllen angefangen. Da ist mächtig was im argen, mit der Startseite.

*Warnung an Freenet:*
[X] Done

MfG
L.


----------



## Dino (4 April 2004)

Habe bis eben noch gar nicht gewusst, dass AntiVir ein eigenes Forum unterhält. Man lernt eben nicht aus  :roll: 

Dort wird jedenfalls auch schon eifrigst diskutiert. Scheint fast so, als wäre das tatsächlich ein Fehlalarm, der - ähnlich wie bei einem 6er im Lotto - durch eine zufällige Übereinstimmung von Bytefolgen in der Freenet-Index-Seite und diesem JS.Now.2 ausgelöst wird. Beispiel aus dem AV-Forum:

http://www.free-av.de/cgi-bin/ubb/ultimatebb.cgi?ubb=get_topic&f=5&t=002482

Ich kann mir eigentlich nicht vorstellen, dass ein Unternehmen wie Freenet die Stirn hat, seinen Kunden einen Trojaner unterzujubeln, der dazu noch so offensichtlich ist. Freenet mag sich ja in der letzten Zeit im Umgang mit seiner Klientel nicht gerade mit Ruhm bekleckert haben, aber Kunden so offensichtlich ausspionieren? Nee, eher nicht...


----------



## Anonymous (4 April 2004)

*Reihenfolge*

Bei Computerhilfen.de wird von einem Bug des AntiVir geschrieben. Ich weiß nicht, ob mein Problem damit zusammenhängt, deshalb der Reihe nach: 

30.03. - von freenetdsl erfahren, den Link www freenet de / hilfe / dsl /probesurfen   abends angeklickt und noch ein paar Seiten dahinter - dann Sendepause, die benders in Outpost! 

31.03. - Internetfreier Tag, kurz vor 23.00 Uhr Uhr erste Einwahl über ISDN, weil DSL nicht funktionierte; die benders brauchen bis zu einer Stunde, bis sie mich gefunden haben und auch ISDN hängt. Neu einwählen, neues Glück. 

01. bis 03.04. - die Kids surfen über ISDN trotz DSL flat, es sind Ferien!

03.04. - abends spät: Andere Festplatte neu installiert - DSL pur! 

04.04. - AntiVir-Update findet den "freenet-Trojaner", entfernt ihn: Wieder DSL pur auf der großen Festplatte! 

Dann googeln nach dem Trojanernamen: AntiVir meldet sofort den Trojaner, als ich eine freenet-Seite aufrufe.

Über die Zusammenhänge kann ich nur mutmaßen.

Im ganzen Monat März wurden bis zum 29.03. nur zwei Cookies mit dem Namensbestandteil "freenet" erstellt oder geändert - erst nach Aufruf der freenetdsl-Seite kam die Pest. 

Was das mit Outpost zu tun hat, ist mir ein Rätsel. Seitdem AntiVir meldet, habe ich die benders nicht wiedergesehen in Outpost.

Kennt jemand eine Verbindung zwischen freenet und optel-media?

Habe eben in die beiden anderen Foren nochmals reingesehen: Wenn das ein Bug von AntiVir ist, warum fing es bei mir an mit freenetdsl und hörte auf mit dem Trojanerfund durch AntiVir-neu? AntiVir-alt, Spybot, AdAware -  half alles nicht, immer hatte ich die benders auf dem Schirm, erst AntiVir-neu setzte dem ein Ende!

Kommt noch dazu: Als ich die benders zu Besuch hatte, klopfte ständig jemand an Outpost an. Jetzt bin ich schon eine Stunde ohne Unterbrechung mit der großen Festplatte online, ständig am rüberklicken zu Outpost: kein einziger Scan oder Verbindungsversuch. Mit benders sah das anders aus, s. oben bender3.jpg

@ Uwe: Gibt's was Neues?


----------



## Blue_the_hunter (4 April 2004)

Kann man so sagen  8) 

Also, bender.optel-media.de macht nichts böses, das gehört zum Geizkragen:

.......

Was immer Du Dir da auch eingefangen hast, an der Freenet Seite liegt das auch nicht. Hier werkeln drei verschiedene Scanner vor sich hin (Cillin, NAV und AVK) und keiner meldet verdächtige Aktivitäten dort. AntiVir hat sich schon häufiger Fehlalarme geleistet, es würde mich also nicht wundern. Hat das jemand mit einem anderen Scanner gegengeprüft?

Gruß Uwe

_Persönliche Angaben , zu denen auch Whois gehört , gelöscht 
http://forum.computerbetrug.de/rules.php#9 tf/moderator _


----------



## Stalker2002 (5 April 2004)

*Entwarnung bzgl. Freenet*

Mit der neuen Virendefinition (6.24.0.85), die irgendwann zwischen Gestern und Heute rauskam, macht AntiVir keinen Muxer mehr (erst noch mit der alten Datei getestet, dann mit der neuen), wenn man Freenet besurft. Diesbezüglich kann man eigentlich von "Entwarnung" sprechen.

MfG
L.


----------



## Der Jurist (5 April 2004)

http://www.heise.de/newsticker/meldung/46282

Heise schreibe, dass es ein Fehlalarm war.




			
				heise schrieb:
			
		

> Virenscanner löste Fehlalarm beim Besuch von Freenet aus
> Für Verwirrung sorgt seit dem Wochenende die Warnung des Virenscanners von H+BEDV beim Besuch der Seiten von Freenet.de. Beim Laden der index.html erkannte Antivir fälschlicherweise den Trojaner TR/Script.JS.Now.2 und schob die Datei in die Quarantäne. Erste Vermutungen betroffener Internet-Nutzer, der Server von Freenet sei eventuell geknackt worden, bestätigten sich nicht. Schuld ist stattdessen eine von H+BEDV am 4. April herausgegebene fehlerhafte Signatur, die ein Javascript in der HTML-Datei als bösartigen Code identifiziert (False Positive). Anwendern soll Freenet als Workaround das Abschalten des Scanners empfohlen haben.
> 
> Betroffen sind die freie und die kommerziellen Versionen des Virenscanners Antivir von H+BEDV. Der Hersteller hat das Problem gegenüber heise Security bestätigt und mittlerweile eine korrigierte Signatur zur Verfügung gestellt.


----------



## Anonymous (5 April 2004)

*Zurücklehnen*

Hm. Hatte ja wohl mit freenet nichts zu tun. Hätte ja sein können. Rechner läuft wieder wie neu, die neue AntiVir ist auch drauf. Aber verunsichern tut's schon, ständig die Kontrolle in Outpost, aber nichts mehr da. Vielleicht teilt Uwe ja nochmal mit, was es da mit dem back orifice auf sich hat. Für mich: Problem gelöst, aber nicht geklärt.

Danke für die Hilfen, nichts für ungut an die benders.


----------

