3 Beiträge / 0 neu
Letzter Beitrag
Manfred
Offline
Registriert seit: 19.11.2007 - 17:33
Trojaner

Meine Firewall meldete: "Zugriffsversuch auf lokalen PC durch das Trojanische Pferd Shive Burka blockiert."
"Um 09:38 wurde die folgende Kommunikation ermittelt: Anwendung: C:\WINDOWS\System\SPOOL32.EXE Protokolll: TCP()"
Laut Zugangsprotokoll war der Rechner von 8:36:54 bis 8:37:51 am Netz,
um 09:38 war der Angriff (Rechner also nicht am Netz, erst wieder um 09:42).
Wie ist dies zu bewerten?
Ist der Trojaner also auf meinem Rechner, wie kann ich diesen wohl finden?
13.06.2005
Manfred

Bild des Benutzers hrk
hrk
Offline
Registriert seit: 19.11.2007 - 17:33
Re: Trojaner

Der Trojaner "shive burka" wird scheinbar meist als "shiva burka" bezeichnet. Zumindest findet man unter Google mehr als 10x soviele Einträge:

Einer der unter Google gefundenen Links führt zu M$:

Was die Uhrzeit angeht: kann es sein, daß irgendeine Uhr um eine Std. falsch geht?

Manfred
Offline
Registriert seit: 19.11.2007 - 17:33
Re: Trojaner

>Was die Uhrzeit angeht: kann es sein, daß irgendeine Uhr um eine Std. falsch geht?
kann ich mir nicht vorstellen. Ich habe doch wahrscheinlich nur eine Uhr nach dieser richtet sich vermutlich sowohl die Firewall (Norton I S) als auch das ISDN-Zugangsprotokoll.

Danke für die Links
>http://www.google.de/search?q=Shiva+Burka&hl=de&lr=&client=firefox-a&rls=org.mozilla:de-DE:official&start=10&sa=N
>Einer der unter Google gefundenen Links führt zu M$:
>http://www.microsoft.com/technet/security/alerts/info/virusrat.mspx
Dort gab es viel (sehr viel !!) zu lesen. Allerdings bin ich Otto-Normal-user-Thor: "so klug als wie zuvor". Das dort Stehende habe ich oft an anderer Stelle auch schon gelesen.
Ich habe selbst einmal versucht mit netstat -a etwas zu eruieren:
Ich finde während ich online bin u.a. folgende Verbindungen, ohne dass ich etwas angefordert habe.

"Aktive Verbindungen (uninteressante Zeile wurden von mir gelöscht)

Proto Lokale Adresse Remote-Adresse Status
TCP Ocker2:138 OCKER2:0 LISTENING
TCP Ocker2:nbsession OCKER2:0 LISTENING
TCP Ocker2:1029 OCKER2:0 LISTENING
TCP Ocker2:1182 OCKER2:0 LISTENING
TCP Ocker2:1182 loopback.mediaways.net:1183 ESTABLISHED
TCP Ocker2:1183 loopback.mediaways.net:1182 ESTABLISHED
TCP Ocker2:1191 loopback.mediaways.net:1030 TIME_WAIT
TCP Ocker2:1194 loopback.mediaways.net:1030 TIME_WAIT
TCP Ocker2:1900 OCKER2:0 LISTENING"

Ein Suche in Google ergab, dass mediaways.net von telefonica.de kommt. Dorther kommt auch die Rechnung für meinen Internetzugang (msn.de)

mir hilft das aber auch nicht weiter. Außerdem habe ich mit 2 Virenscannern den Rechner geprüft, es wurde nichts gefunden.
Mein vorläufiges Fazit: keiner weiss so recht, was zu tun ist gegen Trojaner. Ein Glück, dass die Firewall den Zugriff blockiert.

15.06.2005 Manfred