Hallo zusammen,
habe gerade auf meinem PC einen Trojaner namens TR/Script.JS.Now2 vernichtet, der sich anscheinend über freenet verbreitet. Also Achtung. Weiß vielleicht jemand, was der so anstellt? Muß ich jetzt alle meine Paßwörter erneuern?
Viele Grüße
soneji
Moin moin,
Du habe bei zwei Viren-Datenbänken geschaut der Virus sagt dort nichts. :-? Tut mir leid kann Dir leider nicht helfen.
Viel Erfolg und wegen den Passwörtern wenn es nicht viel ist dann ändere Sie eben oder?
Grüße
DJ
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
habe gerade auf meinem PC einen Trojaner namens
TR/Script.JS.Now2 vernichtet, der sich anscheinend über
Es gibt für Viren und trojanische Pferde keine einheitlichen Benennungssysteme, jeder AV-Hersteller hat seine eigene Nomenklatur. Wenn du also über einen bestimmten Virus oder Trojaner etwas wissen möchtest, solltest du zusätzlich noch angeben, von welchem Hersteller dein AV-Programm stammt.
Da du nicht weisst (und auch ein AV-Programm das nicht feststellen kann), welche Hintertüren ein evtl. Angreifer mit Hilfe dieses (oder anderer, noch nicht entdeckter) Trojaners auf deinem PC geöffnet hat, ist eine vollständige Neuinstallation des befallenen Systems die einzige saubere Reaktion.
Natürlich nicht, ohne dich vorher über den Infektionsweg schlau zu machen, um ähnliche Vorfälle zukünftig zu vermeiden. Aber dafür bedarf es halt ein paar weiterer Informationen.
Gruss,
Schorsch
Hi Schorsch,
ich habe diesen Trojaner auch gemeldet bekommen…
Wenn du also über einen bestimmten Virus oder
Trojaner etwas wissen möchtest, solltest du zusätzlich noch
angeben, von welchem Hersteller dein AV-Programm stammt.
…und zwar von Antivir PE von H+BEDV. Die Meldung in der LogDatei lautete wie folgt:
C:\WINDOWS\Temporary Internet Files\Content.IE5\OHCDKFAZ\
customerindex_4[1].htm
[FUND!] Ist das Trojanische Pferd TR/Script.JS.Now.2 WURDE GELÖSCHT!
Bei der Datei customerindex_3 hatte ich gestern genau das gleiche. Es ist die Startseite, wenn man sich über eine call-by-call-Verbindung von Freenet ins Netz einwählt. Merkwürdigerweise meldet sich mein Virenscanner nicht jedesmal, wenn ich diese Seite anwähle!??!
Da du nicht weisst (und auch ein AV-Programm das nicht
feststellen kann), welche Hintertüren ein evtl. Angreifer mit
Hilfe dieses (oder anderer, noch nicht entdeckter) Trojaners
auf deinem PC geöffnet hat,
Wie kann ich das denn herausfinden???
ist eine vollständige
Neuinstallation des befallenen Systems die einzige saubere
Reaktion.
DAS will ich nämlich nicht…
Weitere Hinweise würden mich daher brennend interessieren!
Gruß
Martin
Fehlalarm???
Hallo an alle,
Update: Bin gerade doch fündig geworden:
Auf der Herstellerseite von Antivir gibt es ein Forum, dort
(http://www.free-av.de/cgi-bin/ubb/ultimatebb.cgi?ubb…) ist von einem Fehlalarm die Rede.
Ich zitiere:
Es handelt sich dabei höchstwahrscheinlich um einen Fehlalarm. Also kein Grund zur Besorgnis. Löschen lassen und weitersurfen
Hier wurde das Thema schon ausgiebig besprochen:
http://www.free-av.de/cgi-bin/ubb/ultimatebb.cgi?ubb…
Ich werde also beim nächsten Auftreten mal einen anderen Virenscanner prüfen lassen!
Gruß
Martin
Danke an alle!
Hallo,
ich habe das Ding per Antivir gelöscht und sämtliche temporären Internetdateien ebenfalls. Seitdem bekomme ich keine Warnung von Antivir mehr und ich hoffe, das war’s dann.
Viele Grüße
soneji
Hallo Martin,
schön, dass sich die Sache so schnell als harmlos herausgestellt hat. Auf deine Frage möchte ich trotzdem noch kurz eingehen:
Da du nicht weisst […]
Wie kann ich das denn herausfinden???
Das herauszufinden ist nicht ganz einfach. Während du in der Regel recht leicht feststellen kannst, daß ein System kompromittiert ist, ist es nahezu unmöglich nachzuweisen, daß es nicht verseucht ist.
Eine Möglichkeit ist die Überprüfung der offenen Ports, wie z. b. in diesem Posting http://www.wer-weiss-was.de/cgi-bin/forum/showarchiv… beschrieben. Dies führt bei einem infizierten System aber nur dann zum Erfolg, wenn die ‚Zombie‘-Dienste zum Zeitpunkt des Scans auch aktiv sind.
Für eine dauerhafte Prüfung empfiehlt sich der Einsatz eines Intrusion Detection Systems (IDS), das verdächtige, unerwünschte Aktivitäten registriert und meldet. Innerhalb eines privaten Netzes hiesse das aber mit der ‚Dicken Bertha‘ auf Spatzen zu schiessen. Daher sollte die vollständige Neuinstallation eigentlich immer das Mittel der Wahl sein. Der tägliche Backup sämtlicher wichtigen Daten hat sich ja heutzutage auf breiter Front durchgesetzt, so daß einem Plattmachen nichts mehr im Wege steht.
Gruß,
Schorsch
Mit dem neuesten Update ist der Fehlalarm behoben.
gruß schlibo