Infizierte Archive?

ironlady_c8ce43 · 13. April 2004 um 09:05

Moin,
als blutiger Laie möchte ich heute mal folgende Frage an euch richten:

Mein System stürzt seit ca. 4 Wochen zigmal täglich ab.
Beim Virenscan mit AntiVir erhalte ich folgende Meldungen:

„Es wurden eine oder mehrere infizierte Dateien in Archiv xyz gefunden. Infizierte Dateien in Archiven werden nicht gelöscht oder repariert.“

Was bedeutet das? Ist ein Zusammenhang zwischen den Abstürzen und anscheinend infizierten Archiven zu vermuten? Wie komme ich an diese ran bzw. kriege ich diese trotz anders lautender Meldung gesäubert?

Für jeden Rat dankbar,
Ironlady

P.S. Habe Windows XP

LouLou_a8ae33 · 13. April 2004 um 10:10

Hallo, Ironlady,

mit Antivir kenne ich mich leider nicht aus. Wird angezeigt, um welche Archive es sich handelt, so daß Du sie eventuell selbst (im abgesicherten Modus) löschen kannst ?

Laß Deinen PC auf jeden Fall mal online prüfen. Das kannst Du unter folgendem Link: http://www.symantec.de/region/de/avcenter/snoops.html.

Viel Glück
LouLou

littlePanda · 13. April 2004 um 10:53

Aber vorher…
hi LouLou

Laß Deinen PC auf jeden Fall mal online prüfen. Das kannst Du
unter folgendem Link:
http://www.symantec.de/region/de/avcenter/snoops.html.

…vielleicht diesen Artikel lesen:

http://www.heise.de/security/news/meldung/46354

Gruß
Edith

LouLou_a8ae33 · 13. April 2004 um 13:15

Hallo, Edith,

danke für den Link. Das ist ja wirklich peinlich für Symantec - nach all den Fehlermeldungen für NAV 2003 und jetzt auch 2004.

Ich weiß von Freunden, die diesen Online-Check (vor einiger Zeit) durchgeführt haben, deshalb hatte ich diesen Link gespeichert. Ich selbst habe ihn noch nie benutzt.

Von McAfee gibt es auch so einen Online-Test; die Adresse habe ich im Moment leider nicht da.

Gruß
LouLou

LouLou_a8ae33 · 13. April 2004 um 13:56

McAfee-Link
Hier ist der Link von McAfee: http://vil.nai.com/vil/stinger/. (Steht auch in den FAQ für dieses Board.)

Ich hoffe, daß es damit keine Probleme gibt.

Gruß
LouLou

littlePanda · 13. April 2004 um 15:04

Hi LouLou

Hier ist der Link von McAfee: http://vil.nai.com/vil/stinger/.
(Steht auch in den FAQ für dieses Board.)

Ich hoffe, daß es damit keine Probleme gibt.

So wie es aussieht, sollte man im Moment keinem Onlinescanner wirklich trauen. *grummel*

http://www.heise.de/security/news/meldung/46355

Gruß
Edith

littlePanda · 13. April 2004 um 15:06

Hi Du

Ich weiß von Freunden, die diesen Online-Check (vor einiger
Zeit) durchgeführt haben, deshalb hatte ich diesen Link
gespeichert. Ich selbst habe ihn noch nie benutzt.

Ich habe ab und zu Online-Scanner zusätzlich benutzt, aber so wie es aussieht ist es im Moment keine gute Idee. *seufzüberviren*

Gruß
Edith

Sebastian_M_f76e5c · 13. April 2004 um 15:53

Hi,

Ich habe ab und zu Online-Scanner zusätzlich benutzt, aber so
wie es aussieht ist es im Moment keine gute Idee.
*seufzüberviren*

Naja in dem „Update“, ganzu unten auf der Seite wird das ganze aber wieder etwas relativiert (was ähnliches steht auch bei symantec ):

Weitergehende Tests haben gezeigt, dass in Mcafees ActiveX-Controls kein Buffer Overflow enthalten ist, der das Einschleusen und Ausführen von Code ermöglicht. Vielmehr basiert der Fehler auf einer sogenannten Null-Pointer-Dereference, bei der der Versuch auf freigegebenen Speicher zuzugreifen zum Absturz führt. Der Fehler in Pandas Controls basiert auf einem Heap Overflow, der aber das Einschleusen und Starten von Code erlaubt.

Gruß

Sebastian

Schorsch_de7743 · 13. April 2004 um 23:30

Märchenstunde
Hallo Sebastian,

Naja in dem „Update“, ganzu unten auf der Seite wird das ganze
aber wieder etwas relativiert (was ähnliches steht auch bei
symantec ):

da wird garnix relativiert. Den eigentlich relevanten Link hat Edith nicht genannt, er ist die Quintessenz ihres Links, sollte eigentlich jedem ins Auge springen: http://www.heise.de/security/artikel/46359 ‚Was bisher geschah‘.

Gruss,
Schorsch

ironlady_c8ce43 · 14. April 2004 um 09:02

Bin ich jetzt schlauer als vorher?

Sebastian_M_f76e5c · 14. April 2004 um 10:11

Hallo Schorsch,

da wird garnix relativiert. Den eigentlich relevanten Link hat
Edith nicht genannt, er ist die Quintessenz ihres Links,
sollte eigentlich jedem ins Auge springen:
http://www.heise.de/security/artikel/46359 ‚Was bisher
geschah‘.

Das hab ich wohl übersehen, aber bei mir funktioniert der Test eh nicht:

Symantec Security Check is not compatible with your Web browser because:
Error 003
To run Security Scan, you must be using at least Internet Explorer 5.0, Netscape 4.5 or Safari 1.0.
To run Virus Detection, you must be using at least Internet Explorer 5.0.



PS: Das Problem ist nicht grundsätzlich auf den Internet Explorer
oder Windows beschränkt. Mittlerweile gibt es auch Möglichkeiten, 
ActiveX-Controls in Netscape auszuführen. Mozilla enthält mit XPConnect
eine Schnittstelle, XPCOM-Objekte via JavaScript fernzusteuern. XPCOM
steht für Cross Platform Component Object Model, soll also 
plattformübergreifend funktionieren. Welche Risiken diese Architektur 
mit sich bringt, ist derzeit noch unklar, eine unabhängige Analyse der
Sicherheitsmechansimen von XPCOM ist mir derzeit nicht bekannt.

Gibts die Schnittstelle bei mozilla auch und kann man die irgendwie deaktivieren?

Gruss,
Sebastian

Sebastian_M_f76e5c · 14. April 2004 um 10:21

Hi,

Bin ich jetzt schlauer als vorher?

Am sichersten wäre wohl eine Neuinstallation, kann zwar sein das die Abstürze nicht von einem Virus kommen, aber da hilft eine Neuinstallation ja oft auch weiter.

Welcher Virus wird gefunden? Du könntest mal im Internet schauen was die gefundenen Viren verändern/ beschädigen.

Beim Scan, oder im Log, der am Ende angezeigt wird, stehen ja wahrscheinlich die infizierten Archive drin, oder?
Ich würd die Archive wahrscheinlich komplett löschen und dann noch mal scannen, außer du benötigst sie dringend. Welche Archive sind den betroffen?

Gruß

Sebastian

Anonym_3d17b81d428f · 14. April 2004 um 19:18

STOOOOOOOOOOOOOOOOOOOPPP!!!
Hola eiserne Lady,

„Es wurden eine oder mehrere infizierte Dateien in Archiv xyz
gefunden. Infizierte Dateien in Archiven werden nicht gelöscht
oder repariert.“

bevor Du nun verzweifelt Deine HD plattmachst, wie Du weiter unten ankündigst, hier ein Tip für eine dezentere Verfahrensweise: melde Dich als Benutzer ab und als neuer Benutzer mit Administratorrechten (ggf. mußt Du ein solches Benutzerkonto erst kreieren) auf Deinem Rechner wieder an. Dann machst Du (von diesem Benutzerkonto aus) den AntiVir-Suchdurchlauf (auf „alle Dateien“ einstellen!) noch einmal. Und? Alle Viren weg?

Gruß
Uwe

Schorsch_de7743 · 15. April 2004 um 10:06

XPCOM-Objekte im Mozilla
(Zitate von mir neu formatiert)

ActiveX-Controls in Netscape auszuführen. Mozilla enthält mit
XPConnect eine Schnittstelle, XPCOM-Objekte via JavaScript
fernzusteuern.

Gibts die Schnittstelle bei mozilla auch und kann man die
irgendwie deaktivieren?

Du kannst bei Mozilla JavaScript deaktivieren und damit die Schnittstelle zu XPCOM-Objekten mattsetzen. Da du aber m. w. keine Möglichkeit hast, Javascript für bestimmte Seiten wieder zu erlauben wäre ein Workaround der Einsatz versch. Browser: Ein restriktiv eingestellter fürs normale Surfen, ein anderer Browser f. ‚vertrauenswürdige‘ Seiten.

Das Security Advisory zu Mozilla-Schwachstellen http://cert.uni-stuttgart.de/ticker/article.php?mid=… erwähnt XPCOM bzw. XPConnect nicht ausdrücklich, als Gegenmassnahme gegen bekannte Sicherheitslücken wird Mozilla 1.6 empfohlen.

Soweit derzeit vor dem Einsatz von Mozilla gewarnt wird, beziehen sich diese Warnungen auf Linux-Distributionen, die teilweise noch veraltetete Mozilla-Versionen beinhalten, für diese aber kein Patchmanagement bereitstellen.

Gruss,
Schorsch