Trojanisches Pferd

[Coloured_Girl]

Hallo!
Vor kurzem bekam ich plötzlich die Meldung von meinem Viren Programm (Norton Internet Secrurity+Norton Anti Virus) das mein System durch das Trojanische Pferd Backdoor Subseven angeriffen wird. (Fragt mich nicht voher ich das habe, ich glaube aber durch ICQ )
Danach hab ich mich ersteinmal schlau gemacht was Backdoor Subseven GENAU macht, ziemlich tückisch das ding.
Und ich habe sogar den verdacht das ich mehr als eins habe!!!!!!! :angry:
Nun bräuchte ich wirklich hilfe, denn ich will es entfernen, weiß aber nicht wie!
Könnt ihr mir vielleicht helfen???
Wäre seeeeehr dankbar!

Euer Coloured_Girl

 

[Flo]

Also...

wenn dir deine Firewall meldet das du dadurch "angegriffen" wirst, isnd das wohl nur ein paar Scripptkiddies die deinen Rechner nach offenen Ports abscannen und schauen ob du diesen Trojaner installiert hast.
Allerdings da du ja auch Norton AntiVirus installiert hast hätte der die angeblichen Trojaner auf deinem System schon erkennen müßen.
Also ich würde mir über solche Meldungen nicht so nen großen Kopf machen, weil es einfach net bedeutet das du den Trojaner installiert hast. Es heißt viel mehr von außen prüft jemand ob du Ihn installiert hast und das kannst du nicht verhindern.

 

[stpe]

ich denke nicht, dass auf Deinem rechner ein trojaner laeuft. vielmehr wollte Dir Deine firewall nur sagen, dass jemand von aussen ausprobiert, ob er auf den trojaner zugreifen kann und dieser zugriff abgeblockt wurde.

 

[stpe]

@flo: ooops, hatte den post schon offen, bevor Du geantwortet hast; wollte Deine antwort nicht einfach wiederholen.

 

[Coloured_Girl]

Seid ihr euch wirklich sicher???
Also dann hat ein Hacker versucht auf meinem PC zuzugreifen, damit er überprüfen kann ob ich schon einen Trojaner hab, mit dem er dann auf meinem PC voll zugreifen kann???

Euer Coloured_Girl

 

[Matrix]

Hi
Von welchem Programm hast du genau die Warnung erhalten? Firewall oder Virenscanner?
Wenn es von der Firewall kam ist es wirklich so wie stpe und flo geschrieben haben! Aber wenn die Meldung vom Virenscanner kam, hast du sehr wahrscheinlich einen Trojaner auf deinem System! Ist jedoch der Virenscanner richtig eigestellt, sollte der Trojaner gleich bei der Erkennung (Ausgabe der Meldung) automatisch gelöscht oder in Quarantaine gestellt worden sein.
Ich rate dir jedoch, nochmal mit dem Virenscanner einen umfassenden System-Check durchzuführen.
gruss matrix

 

[Coloured_Girl]

Die Meldung kam von meiner Firewall (also von Norton Internet Secrurity!).
Mein System habe ich nachdem schon mehremale durchchecken lassen, es wurde nichts gefunden, nichts isoliert und nichts gelöscht.

Euer Coloured_Girl

 

[Matrix]

Ok... dann wars wirklich nur ein "harmloser" Portscan!
Und immer schön die Firewall eingeschaltet halten... hörst du!?
gruss matrix

 

[MGWIESEL]

Diese Meldung hatte ich auch schon öffter schau hier nach

 

[Guest]

Puhhhhhh bin ich erleichtert!!!!
Hmmmm, wie schaftst du es die potenziellen Agreifer zu lokalisieren, MGWIESEL????
Das ist wirklich interessant!!!!
Ich würd ja auch mal gern wissen, wer mich da ständig (naja manchmal) angreift!

Dein Coloured_Girl

 

[MGWIESEL]

Das ist ganz einfach Coloured_Girl wenn du die Meldung bekommst das jemand dich gescannt hat, sagst du einfach das du mehr Infos möchtest. Da bei Internet Security Visual Tracking dabei ist schaltet sich der ein sobald du auf die IP des Angreiferst klickst.

 

[Coloured_Girl]

Ja das werde ich mal probieren (hoffentlich greift mich einer an!!! )
Soll jetzt aber keine Aufforderung sein!

Euer Coloured_Girl

 

[Coloured_Girl]

Also man mag es nicht glauben aber GERADE hat mich tatsächlich einer Angegriffen.
Doch ich habe dieses Internet Security Visual Tracking nicht!

Da steht nur:
Sie wurden zuletzt angegriffen am: 22.04.2003 21:29:59
Letzte unberechtigte Zugriffsversuche: 2
Letzter Angreifer: 1
Häufigster Angreifer: 217.1.5.83

Wie kann ich den Angreifer jetzt lokalisieren???


Euer Coloured_Girl

 

[Matrix]

Hi Coloured_Girl
Du könntest auch ganz einfach diese IP nehmen und sie hier einfügen und anschliessend "search" clicken!
Dann bekommst du auch die Adresse des Angreiffers raus!
gruss matrix

 

[Coloured_Girl]

% This is the RIPE Whois server.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-services/d.../copyright.html

inetnum: 217.0.0.0 - 217.5.127.255
netname: DTAG-DIAL13
descr: Deutsche Telekom AG
country: DE
admin-c: DTIP
tech-c: DTST
status: ASSIGNED PA
remarks: ************************************************************
remarks: * ABUSE CONTACT: [email protected] IN CASE OF HACK ATTACKS, *
remarks: * ILLEGAL ACTIVITY, VIOLATION, SCANS, PROBES, SPAM, ETC. *
remarks: ************************************************************
mnt-by: DTAG-NIC
changed: [email protected] 20000804
changed: [email protected] 20030211
source: RIPE

route: 217.0.0.0/13
descr: Deutsche Telekom AG, Internet service provider
origin: AS3320
mnt-by: DTAG-RR
changed: [email protected] 20000728
source: RIPE

person: DTAG Global IP-Addressing
address: Deutsche Telekom AG
address: D-90449 Nuernberg
address: Germany
phone: +49 180 5334332
fax-no: +49 180 5334252
e-mail: [email protected]
nic-hdl: DTIP
mnt-by: DTAG-NIC
changed: [email protected] 20030210
source: RIPE

person: Security Team
address: Deutsche Telekom AG
address: Germany
phone: +49 180 5334332
fax-no: +49 180 5334252
e-mail: [email protected]
nic-hdl: DTST
mnt-by: DTAG-NIC
changed: [email protected] 20030210
source: RIPE

Bold: Object type.
Underlined: Primary key(s).
Hyperlinks: Searchable Attributes.


Hmmm ich werd daraus nicht so ganz schlau!
Der Angreifer kommt aus Nürnberg???

Euer Coloured_Girl

 

[Serge]

Nee, da sitzt die deutsche Telekom.
Aber jetzt weisst Du, wo Du dich beschweren kanns, wenn Du willst.

 

[Coloured_Girl]

Hmmmm, also ging der Angriff von der Deutschen Telekom aus???

Euer Coloured_Girl

 

[Matrix]

Glaub ich kaum....!
Eher jemand der die DTAG als Provider hat!
Und das können, glaub ich, sehr viele sein!
gruss matrix

 

[Flo]

Nein

du hast mit dieser Whois Abfrage lediglich die Chance herauszubekommen von welchem Anbieter die IP stammt, die nun bei dir deine Ports gescannt hat. Das war in deinem Fall eben die Telekom. Du siehst nun aber nicht woher der Angreifer nun genau kommt. Da hast du so gesehen auch keine chance das 100% rauszubekommen.

Du könntest so ein Tool wie VisalRoute einsetzen, wobei dir das dann auch nicht die straße mit hausnummer vom Angreifer ausspuckt, lediglich so die ungefähre angabe der Region wenn überhaupt was.
Im Endefekt kann dir nur der Provider des angreifers sagen wer das denn nu wirklich war. Was er aber so ohne weiteres auch nicht machen wird.
Portscanns sind ja nichts illegales.... schließlich schaut hier nur jemand ob ein Dienst auf einem Rechner läuft oder nicht. Wenn darauf kein dienst läuft, was solls also.

Was du noch machen könntest wenns dich zu sehr nervt und es einer stundenlang mcht oder so, dann schickst nen mail an die jeweilige abuse abteilung des Providers des angreifers, wie in deinem beispiel nun die telekom und schickst denen nen Logfile mit und dann wartest mal ab was passiert. Vielleicht wird er abgemahnt oder es passiert gar nix... kommt immer drauf an.

 

[Coloured_Girl]

Naja!
DAAAANKEEE für die vieeeelen Antworten hat mir SEHR geholfen!
Aber egal, was soll ich mich da beschweren?
HAUPTSACHE ich habe keinen TROJANER!

Euer Coloured_Girl