# Trojaner erkennen



## Siiirah (30. August 2005)

Hallo Mädels,

ich habe da mal so eine Frage zum Thema Trojaner. Habe zwar schon unter suche gesucht aber keine wirkliche antwort darauf gefunden.

Woher weiß ich das ich einen Trojaner auf dem Rechner habe ohne in vorher gesucht zu haben? Gibt es dort bestimmte anzeichen für?


Würde mich um eine Antwort freuen.

LG Siiirah


----------



## IAN (30. August 2005)

Hallo Siiirah,
Nein, sowas kann man nicht Global sagen.
Es kommen jeden Tag neue Trojaner, Viren und Würmer hinzu. Diese Verhalten sich zum Teil recht unterschiedlich.
Besteht ein konkreter Verdacht?
Gruß IAN


----------



## Neurodeamon (30. August 2005)

Einige, aber die sind nicht unbedingt eindeutig für die meisten Laien (DAU):

Die Internetverbindung ist viel langsamer als sie sein sollte - und das schon seit mehreren Tagen
Der Rechner verbraucht plötzlich ständig alle Resourcen und alles wird tierisch langsam - auch ein Neustart ändert nichts daran.
 Man kann nicht mehr auf Webseiten von Antivirensoftware-Herstellern surfen / das AV-Update will nicht mehr / der AV-Prozess stürzt ständig ab

Dies sind - mögliche - Anzeichen, können aber ebenso durch etwas anderes ausgelöst worden sein. Aber man sollte zumindest vorsichtig überprüfen. Es gibt tools wie »HijackThis« mit denen man die relevanten Prozesse und Registryeinträge anzeigen lassen kann.


----------



## Alex Duschek (30. August 2005)

Eventuell verrät sich ein Trojaner durch verursachten Traffic.Schalte mal alle Programme ab,die aufs Internet zugreifen (Browser,Messenger,Spiele,etc...) und guck dir deine Übertragungsrate an.Das kannst du beispielsweise mit dem T-Online SpeedManager machen.Normalerweise sollte kein Traffic verursacht werden (außer Windows schickt mal wieder Daten an MS,kannst du aber mit XPY unterdrücken  ). So kannst du einen Trojaner eventuell erkennen.


----------



## Tobias K. (30. August 2005)

moin


Du kannst auch mal imn Taskmanager gucken, ob da ein Prozess läuft der normalerweise nicht läuft. Er kann aber einen ganz "normalen" Namen haben!


mfg
umbrasaxum


----------



## Siiirah (31. August 2005)

> Du kannst auch mal imn Taskmanager gucken, ob da ein Prozess läuft der normalerweise nicht läuft. Er kann aber einen ganz "normalen" Namen haben!



Da kann er doch auch mit einem Rootkit "versteckt" worden sein oder?



Also so zum ende kommt ich dann zum entschluss das man einen Trojaner "nur" mit einem (Trojaner)Programm aufschnüffeln kann, welches extra dafür programmiert wurde...


LG Siiirah


----------



## Dennis Wronka (31. August 2005)

2 weitere Moeglichkeiten:
1. Der Trojaner besitzt Backdoor-Faehigkeiten: Dafuer muss natuerlich ein Port geoeffnet werden. Dieser kann mit Hilfe eines Portscanner gefunden werden.
2. Der Trojaner sendet Daten: Diese koennen mit Hilfe eines Traffic Analyzers wie Ethereal analysiert werden.

Oft kommt wohl Variante in zusammen mit Variante 2.
Die Backdoor wird geoeffnet und es wird auch gleich in alle Welt hinausposaunt, dass hier das Scheunentor sperrangelweit offen steht.


----------



## Siiirah (31. August 2005)

Wenn man ein Rootkit auf dem Computer hat, kann man dieses aber nicht soleicht bemerken oder? Also dafür gibts meiner meinung nach was ich so nachgelesen habe keine Anzeichen für oder habe ich dann bei dem Thema was falsch verstanden?


----------



## Tobias K. (31. August 2005)

moin


Korrigiert mich wenn ich mich irre, aber jeder Prozess und jedes Programm das läuft, steht auch im Taskmanager.

Was ist denn ein Rootkit?


mfg
umbrasaxum


----------



## Siiirah (31. August 2005)

> Korrigiert mich wenn ich mich irre, aber jeder Prozess und jedes Programm das läuft, steht auch im Taskmanager.
> 
> Was ist denn ein Rootkit?



Ein Rootkit ist eine Sammlung von Softwarewerkzeugen, die nach dem Einbruch in ein Computersystem auf dem kompromittierten System installiert wird, um zukünftige Logins des Eindringlings zu verbergen, Prozesse zu verstecken und Daten mitzuschneiden.
... Artikel geht noch weiter auf http://de.wikipedia.org/wiki/Rootkit 


Also ein Rootkit unterdrückt, das ein aktives Malware (Schad-Programm) oder ein Prozess im Windows Taskmanager zu sehen ist. 



LG Siiirah


----------



## Neurodeamon (31. August 2005)

> Also ein Rootkit unterdrückt, das ein aktives Malware (Schad-Programm) oder ein Prozess im Windows Taskmanager zu sehen ist.



Es unterdrückt oder manipuliert Ausgaben so, das die eigene Existenz verborgen bleibt. Meist passiert das indem betreffende Dateien durch modifizierte Dateien ersetzt werden.
Im besten Fall verläßt man sich niemals nur auf die Systemeigenen Tools, sondern installiert weitere Tools, die den gleichen oder größeren Funktionsumfang bieten. Ich verwende neben dem Taskmanager auch den »Processviewer 3« und den »alten«, nicht mehr im Netz verfügbaren »PV4«. Hier ist die warscheinlichkeit gering, das jemand dem Programm ins Handwerk »pfuscht«, es ist nur noch so paranoiden wie mir bekannt  

P.S.
Trojaner erkennen ist unötig, weil:
Trojaner vermeidet man, indem man
a) sein System aktuell hält
b) eine Firewall verwendet (z. B. ein Hardwarerouter oder ein Softwarerouter auf *nix Basis)
c) keine Software ausführt, die man über ICQ, per Mail oder von Schulkameraden/Arbeitskollegen/Nachbarsjungen/etc. bekommt


----------



## Siiirah (1. September 2005)

Genau das sind Rootkits   
Keine schönen "dinger" 

Gehen wir mal davon aus das jemand mit dem Internet Explorer surft. Wenn man damit auf "falsche" Seiten rumsurft, kann man sich ja sowas zuziehen, wenn man nicht die nötigen Updates installiert hat. Kann dieses aber auch passieren wenn man die Sicherheitszone zu niedrig eingestellt hat?


LG Siiirah


----------



## Neurodeamon (1. September 2005)

Siiirah hat gesagt.:
			
		

> Kann dieses aber auch passieren wenn man die Sicherheitszone zu niedrig eingestellt hat?


Ja, das kann einem ganz leicht passieren, wenn man dem IE zu lasche Einstellungen beläßt (also den Standard nach der Installation). Am besten man schaltet aktive Inhalte aus. Bzw. erlaubt diese nur für bestimmte (bekannte, sichere) Seiten.


----------

