Hallo Semjon Michailowitsch
nachdem ich gestern mal einen
WXP-Rechner "ohne Router" direkt
an einem Dialin (Arcor) betrieb,
hab ich mir auf der Kiste
Diese Zusammenhänge sind nicht glaubwürdig, denn ich habe noch nie einen Router besessen. Vorher hast du mit sehr hoher Wahrscheinlichkeit den Trojaner Troj/RKFu-A auf deinem System ausgeführt. Dieser hat dir in Folge den Wurm W32-Tilebot-S
tatsächlich nach 1h einen W32-Tilebot-S eingefangen
nicht nach 1h, wie du schreibst, sondern innerhalb weniger Sekunden heruntergeladen, als Server installiert und fast perfekt getarnt.
- trotz aktivierter WXP-Firewall
- trotz aktualisiertem AntiVir+Guard
Und was sagt dir das?
- trotz nicht-Bindung von Win-Dateidiensten an Einwahl
Sophos schreibt dazu wörtlich:
W32/Tilebot-S attempts to remove network shares from
the infected computer, as well as changing the policy
for SeNetworkLogonRight for the computer.
Die Übersetzung kann wie folgt interprediert werden:
W32/Tilebot-S versucht NetzwerkPCs vom angesteckten PC aus zu infizieren, sowie die Rechte bezüglich SeNetworkLogonRight (Administratorrechte) für den Computer zu entfernen oder zu ändern.
Leider sind meine Russischkenntnisse schlechter als deine in Deutsch :-)
Ist dies gelungen, gehört der PC und vielleicht das ganze infizierte Firmen- bzw. Heimnetz nicht mehr dir. Der Wurm ist in der Lage das ganze Netz entsprechend der Vorstellungen seines Initiators zu modifizieren und zu nutzen. Das einzige Recht, was du besitzt, wäre dann den Netzschalter zu bedienen.
Bedenke:
Der Initiator der Malware hat wesentlich bessere Kenntnisse zum Betriebssystem als die meisten von uns.
Nicht das ich das Ding nach 1h nicht wieder mit Hand
rausschmeissen konnte, aber welche reale Chance hat
denn der Normalanwender noch,
Rechten Zeigefinger ambutieren und alternative Internetsoftware benutzen.
Einen Trojaner erhält man zugeschickt und führt ihn aus, bzw. er wird manchmal automatisch von OjE ausgeführt. Auch durch Download nach einem Klick auf Irgend-etwas (Button, Linkzeile, Pic) ist ein Empfang möglich. Sollte er mit einem Script verknüpft gewesen sein, machen es IÄ und OjE auch ganz automatisch. In einem gebe ich dir Recht, die Installation des Serfers und seine Konfiguration geschieht mit DSL innerhalb weniger Sekunden.
Ansonsten wurde ich mich nicht drauf verlassen, alle installierte "BÖSE"(tm) Software entfernt zu haben. Selbst dem, was bei Sophos http://www.sophos.com/virusinfo/analyses/w32tilebots... steht, würde ich nicht vertrauen, denn dazu ist der Wurm viel zu jung und ist wohl eher eine Vermutung. Bekannt ist, das ein einziger übersehener Eintrag in der Registry meist reicht, um die gelöschte Software wieder zu installieren.
Die einzige ernsthafte Lösung zeigt http://faq.jors.net/virus Dies sollte dann so oft und so lange wiederholt werden, bis vom OP begriffen wird:
- das IÄ&OjE keine vertrauenswürdige Software sondern Schrott ist,
- das alle unnötigen Dienste abgeschaltet sind, denn früher funktionierte das Internet ohne diese Dienste auch
- das man als Nutzer des Internet bestimmte Verhaltensregeln einhalten sollte
- das Securitysoftware keinen Schutz bietet, sondern nur der Indikator eines Zustandes sein könnte
- das eine Software zur Erstellung eines Partitions-Images keine zusätzliche Belastung, sondern die effektivste Lösung des Problems nach einer Infektion ist.
der hinterwäldler
