3 viren auf einen streich

Anonym_c7ab69a8f8ca · 5. August 2003 um 09:46

Hallo alle =)

Vorgeschichte:
Vorgestern hab ich in 2 Computern neuen Ram eingebaut (den ich über eBay bei der gleichen Person ersteigert hatte). Da ich grad Zeit hatte, hab ich auch beide Computer mal entrümpelt (Temp Ordner geleert, unwichtige Progs deinstalliert, andere Progs auf den neusten Stand gebracht, Autostart entrümpelt, defragmentiert etc.). Beide Computer sind durch ein Netzwerk verbunden (Drucker is auch mit dran).
Nun hatt ich auf dem Zweitcomputer die kostenlose Software AntiVir drauf und auch upgedated (aber nicht gescannt, da das Programm eh nie was anzeigte). Auf dem Hauptcomputer hab ich selbiges deinstalliert und wollte eine andere Trialvirensoftware installieren, habs dann aber doch nicht gemacht.

Gestern zeigte doch der Zweitcomputer doch prompt Virenbefall an.
Im Autostart (msconfig) waren auch plötzlich Einträge die am Vortag nicht da waren (z.B.: run= Brasil.pif, load= ***.exe etc.). Antivir zeigte mir zwar die Viren an (FunLove, OpaSoft A und Dubator) aber konnte sie nicht entfernen da wohl mind. einer von ihnen eine EXE datei vom Virenscanner geändert hat, so das das Prog immer abbrach.
Der Hauptcomputer zeigte haargenau das gleiche.
Also von heut auf morgen waren beide Comps mit den gleichen Viren verseucht (der Hauptcomputer hatte immernoch keine neue Virensoft drauf) und das wo monatelang nix war.
Nach etlichen Stunden und mit verschiedenen Removal Tools für FunLove und OpaSoft (vom Internet gezogen), und die Trialvirensoft die ich eigentlich am Vortag installieren wollte, hab ich dann auf dem Hauptcomp die Viren entfernt. Die Kernel32.dll wurde dabei auch gelöscht weil sie vom Dubator Virus verändert wurde.
Den Zweitcomp hatt ich vorher vom Netzwerk genommen.

Nun ist es mir ein totales Rätsel wie erstens die Viren so urplötzlich auf die Comps kamen (ein virenverseuchter Comp reicht ja um den anderen übers Netzwerk anzustecken). Es wurden keine Anhänge von Mails geöffnet, und die alte Virensoftware hatte nie was angezeigt.

Dann würd ich gern wissen ob ein Virus irgendwo außerhalb beider Comps überleben kann. Kann er sich z.B. im Drucker einnisten um dann wiede rbeide Comps zu befallen wenn se wieder angeschlossen werden?

Die Einträge im Autostart sind immernoch da (hab die Einträge in der WIN.INI deaktiviert damit die bösen Dateien die von den Tools gelöscht wurden, nicht immer geladen werden (kommen immer diese ‚nicht gefunden msgs‘).
Kann ich die Einträge irgendwie löschen?

Und was für ne Virensoft sollt ich nehmen? AntiVir hat auf dem einen Comp ja wohl versagt einen der Viren aufzuhalten und auch noch zugelassen das das eigene Scanprogramm befallen wird.
Gibt es für Netzwerke spezialle Virenwächter? Ansonsten hol ich mir Antivirus von Symantec.

MfG

Darkwing__v_8ddc01 · 5. August 2003 um 10:08

Kann ich die Einträge irgendwie löschen?

In der Registry gibt’s für jedes zu startende Programm einen
Eintrag unter:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
und
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Diesen einfach löschen und das Problem sollte erstmal gelöst sein.

Und was für ne Virensoft sollt ich nehmen? AntiVir hat auf dem
einen Comp ja wohl versagt einen der Viren aufzuhalten und
auch noch zugelassen das das eigene Scanprogramm befallen
wird.
Gibt es für Netzwerke spezialle Virenwächter? Ansonsten hol
ich mir Antivirus von Symantec.

Den Norton Antivirus kann ich nicht empfehlen (zumindest nicht die 2003er Version). Ich hab letzten Samstag bei einem bekannten die T-Online-Mailbox repaieren sollen wei diese „plötzlich“ nicht mehr funktionierte ob wohl er „gar nichts“ gemacht hat. Tatsächlich hat sich der Wurm KLETZ.E aus seinem Rechner eingenistet. Der NAV 2003 ließ sich aber nicht mal installieren da der Virus bereits während der Installation die Setup.exe gelöscht und einige DLLs verändert hat.
Personal AntiVir hat den Virus aber in allen Dateien erkannt und diese gelöscht.

Ich vermute mal, du hast dir den Virus bei deiner „auf-den-aktellen-Stand-bringen“-Aktion eingefangen. Warum AntiVir den nicht gefunden hat kann ich nicht sagen. Auf welchem Stand war der denn, als du mit dem Aufräumen angefangen hast?

Gruß,
Darkwing ^v^

Anonym_028940377b35 · 5. August 2003 um 12:04

Hallo Lillian

Nun hatt ich auf dem Zweitcomputer die kostenlose Software
AntiVir drauf und auch upgedated (aber nicht gescannt, da das
Programm eh nie was anzeigte).

Merke: Nur weil ein Antivirentool nichts anzeigt, heisst nicht zwingend, dass kein Virus vorhanden ist. AV-Tools erkennen generell vor allem bekannte Viren, die im jeweiligen Signaturfile enthalten sind. Neuere, unbekannte bzw. ggf. modifizierte Viren werden selten bis gar nicht erkannt.

Im Autostart (msconfig) waren auch plötzlich Einträge die am
Vortag nicht da waren (z.B.: run= Brasil.pif, load= ***.exe
etc.).

Brasil.pif deutet auf das Virus ‚Opaserv‘ hin. Unter http://www.uni-karlsruhe.de/Uni/RZ/Netze/Sicherheit/… findest Du genauere Informationen.

Antivir zeigte mir zwar die Viren an (FunLove, OpaSoft
A und Dubator) aber konnte sie nicht entfernen da wohl mind.
einer von ihnen eine EXE datei vom Virenscanner geändert hat,
so das das Prog immer abbrach.

Du musst einerseits zuerst dafür sorgen, dass die Viren nicht mehr auf Deine Computer gelangen können. Opaserv kommt z.B. via NetBIOS aus dem Netzwerk bzw. Internet. Dann musst Du ein Tool organisieren, das die Viren entfernen kann (bzw. für jedes gefundene Virus ein Tool…).

Alternativ kannst Du auch die Rechner der Reihe nach komplett frisch installieren. Dann würde ich aber empfehlen, sie erst dann zu vernetzen bzw. mit dem Internet zu verbinden, wenn Du sie so konfiguriert hast, dass eben z.B. Opaserv nicht erneut auf Deine Rechner gelangen kann.

Nun ist es mir ein totales Rätsel wie erstens die Viren so
urplötzlich auf die Comps kamen (ein virenverseuchter Comp
reicht ja um den anderen übers Netzwerk anzustecken).

Opaserv nutzt wie gesagt NetBIOS. Also sind z.B. Netzwerkfreigaben, die vom Internet her zugänglich sind, gefährdet. Unter Win9x ist ja NetBIOS und damit die Laufwerksfreigabe standardmässig auch an der Internetverbindung gebunden. Das ist die Sicherheitslücke, die Opaserv nutzt.

Es wurden keine Anhänge von Mails geöffnet

Bist Du da völlig sicher? Outlook Express in Standardkonfiguration führt so einiges aus, wenn man nur die Vorschau anklickt…

Dann würd ich gern wissen ob ein Virus irgendwo außerhalb
beider Comps überleben kann. Kann er sich z.B. im Drucker
einnisten um dann wiede rbeide Comps zu befallen wenn se
wieder angeschlossen werden?

Nö. Aber via Netzwerk bzw. eben Internet kann er u.U. sofort wieder auf Deinen PC gelangen.

Und was für ne Virensoft sollt ich nehmen?

Brain 1.0 (oder welche Version Du auch immer hast…). Sprich, konfiguriere erstmal Deinen PC so, dass möglichst wenig passieren kann. Sorge dafür, dass Dein OE nichts einfach so ausführt bzw. verwende doch am besten etwas besseres als IE und OE, z.B. Mozilla.

AntiVir hat auf dem
einen Comp ja wohl versagt einen der Viren aufzuhalten und
auch noch zugelassen das das eigene Scanprogramm befallen
wird.

Jegliches Antivirentool ist maximal so gut wie die Signaturfiles, auf die es zugreifen kann. Das regelmässige Aktualisieren ist also erstmal fundamental. Dann muss man auch bedenken, dass viele AV-Tools (Symantecs Produkte sind als Beispiele zu nennen) z.B. bei Archivdateien (ZIP-Archive und anderes komprimiertes…) oftmals versagen.

CU
Peter

Anonym_c7ab69a8f8ca · 5. August 2003 um 14:58

In der Registry gibt’s für jedes zu startende Programm einen
Eintrag unter:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
und
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Diesen einfach löschen und das Problem sollte erstmal gelöst
sein.

Hey danke =)

Der NAV 2003 ließ sich aber nicht mal
installieren da der Virus bereits während der Installation die
Setup.exe gelöscht und einige DLLs verändert hat.
Personal AntiVir hat den Virus aber in allen Dateien erkannt
und diese gelöscht.

Weiß ja nicht ob das nun mit dem Prog oder doch nicht mehr mit dem Virus zu tun hat. Da AntiVir bei mir eh kaputt war (wg der geänderten EXE) hab ich ‚Solo AntiVirus‘ installieren wollen und da war das Prog nichtmal ganz drauf der hat der AntiVir Guard schon ein Zugriffsversuch vom Virus auf die grad installierte EXE angezeigt.
Den Virus bin ich nur durch n speziales Removal Tool was nicht installiert wird, losgeworden und dannach konnt ich die andere Virensoft nochmal installieren und alles nochmal von DOS aus durchgescannen.

Ich vermute mal, du hast dir den Virus bei deiner
„auf-den-aktellen-Stand-bringen“-Aktion eingefangen. Warum
AntiVir den nicht gefunden hat kann ich nicht sagen. Auf
welchem Stand war der denn, als du mit dem Aufräumen
angefangen hast?

Also das glaub ich auch langsam.
Hab nur 1 Sache auf beiden Computer aktualisiert. Java 1.3 runtergeschmissen (weil im ‚downloaded program files‘ ordner version 1.3 als beschädigt angezeigt wurde) und 1.4 runtergeladen und installiert. Und bei dem Zweitcomp AntiVir von der PC-Welt CD über die alte Version drüberinstalliert und diese dann noch übers Internet geupdated. Na und auf dem anderen Comp halt AntiVir komplett runtergeschmissen.

Heute stellt sich raus das Java 1.4 die falsche version ist und 1.3 benötigt wird. Also hat einer 1.4 deinstalliert und angefangen 1.3 zu ziehen und bei ungefähr 90% schlug der AV Guard an und zeigte den Virus Spaces in irgendeiner DLL an.
Download abgebrochen und n Removal Tool für Spaces gezogen, welches rein gar nix auf der Festplatte gefunden hat.

Langsam denk ich das AntiVir Virusprogramm kommt mit einpaar Viren so zum testen ¬¬

MfG