Neuer Virus ?!

Hallo!

Ich habe hier eine Maschine, die mit mehreren Viren verseucht war. Norton Antivirus konnte die Infektionen nicht verhindern. Ich habe die Festplatte ausgebaut und in einem anderen Rechner eingebaut, der sicher Virenfrei ist.

Dort habe ich eine aktuelle Version von
o.) Trend Micro Internet Security
o.) Avert Stinger von Mcafee
o.) Ad-aware von Lavasoft

Ich habe die Festplatte wieder in den Rechner eingbaut, bin aber sicher, daß noch immer Viren vorhanden sind, weil folgendes passiert:

o.) Wenn ich eine Eingabeaufforderung starte, dann wird diese sofort wieder geschlossen
o.) Wenn ich REGEDIT starte, dann wird dieser sofort wieder geschlossen
o.) Wenn ich eine Seite im Interner Explorer starte, dann komme ich irgendwo hin, nur nicht auf diese Seite.

Was könnte das sein, welchen Plagegeist habe ich mir gefangen, der von keinem Virus erkannt wird? Wie kann ich mir helfen?

tks!
Herbert

Hallo Herbert

Ich habe hier eine Maschine, die mit mehreren Viren verseucht
war. Norton Antivirus konnte die Infektionen nicht verhindern.

Das sollte Dir zu denken geben.

Ich habe die Festplatte ausgebaut und in einem anderen Rechner
eingebaut, der sicher Virenfrei ist.

Korrektur: ‚…der sicher virenfrei war.‘

Ob er es jetzt immer noch ist?

Dort habe ich eine aktuelle Version von
o.) Trend Micro Internet Security
o.) Avert Stinger von Mcafee
o.) Ad-aware von Lavasoft

Alles keine Antivirensoftware. Oder ist im Trend Micro-Dingens auch ein AV-Tool enthalten?

Im übrigen: Was hast Du mit der Platte im anderen Rechner gemacht? Hast Du sie mit diesen drei Tools gescannt? Was war das Ergebnis? Welche weiteren Massnahmen hast Du ergriffen?

Was könnte das sein, welchen Plagegeist habe ich mir gefangen,
der von keinem Virus erkannt wird? Wie kann ich mir helfen?

Dein Rechner ist sehr wahrscheinlich mit mindestens einem Virus o.ä. infiziert. Er ist also kompromittiert. Den Aussagen von Antivirentools etc. ist daher prinzipiell nicht mehr zu trauen, da das Virus diese Programme behindern bzw. beeinflussen kann.

Die sauberste Lösung wäre, den Rechner mit Hilfe von vertrauenswürdigen Medien (welche, die garantiert virenfrei sind…) komplett frisch aufzusetzen.

Im weiteren würde ich Dir empfehlen, Dich im Internet und anderweitig mit dem Thema zu beschäftigen. Lerne, wie Viren, Würmer etc. funktionieren, wie sie auf Rechner gelangen können. Damit Du in Zukunft das Risiko einer Infektion vermindern kannst. Einige Lesetips:

http://www.eisenheim.de/tipps2/surprise.html
http://www.malte-wetz.de.vu/index.php?viewPage=sec-c…
http://www.zotteljedi.de/misc/ielinks.html
http://www1.ku-eichstaett.de/urz/inkuerze/2_02/ieout…
http://www.terramatrix.de/svp/sicherheit1.html

CU
Peter

Hallo!

Auch Hallo,

Ich habe hier eine Maschine, die mit mehreren Viren verseucht
war. Norton Antivirus konnte die Infektionen nicht verhindern.
Ich habe die Festplatte ausgebaut und in einem anderen Rechner
eingebaut, der sicher Virenfrei ist.

aha

Dort habe ich eine aktuelle Version von
o.) Trend Micro Internet Security
o.) Avert Stinger von Mcafee
o.) Ad-aware von Lavasoft

hoho

Ich habe die Festplatte wieder in den Rechner eingbaut, bin
aber sicher, daß noch immer Viren vorhanden sind, weil
folgendes passiert:

Aua

o.) Wenn ich eine Eingabeaufforderung starte, dann wird diese
sofort wieder geschlossen
o.) Wenn ich REGEDIT starte, dann wird dieser sofort wieder
geschlossen
o.) Wenn ich eine Seite im Interner Explorer starte, dann
komme ich irgendwo hin, nur nicht auf diese Seite.

schlimm

Was könnte das sein, welchen Plagegeist habe ich mir gefangen,
der von keinem Virus erkannt wird? Wie kann ich mir helfen?

http://oschad.info/wiki/index.php/Kompromittierung lesen und danach handeln.

Gruß Norbert

tks!
Herbert

Hallo Peter!

Ich hoffe, ich trette Dir nicht zu nahe, aber eine große Stütze scheinst Du mir nicht zu sein!

Ich habe hier eine Maschine, die mit mehreren Viren verseucht
war. Norton Antivirus konnte die Infektionen nicht verhindern.

Das sollte Dir zu denken geben.

Gut! Mir gibts zu denken, und was bringt mir das?

Ich habe die Festplatte ausgebaut und in einem anderen Rechner
eingebaut, der sicher Virenfrei ist.

Korrektur: ‚…der sicher virenfrei war.‘

Ob er es jetzt immer noch ist?

Sehr firm scheinst Du nicht zu sein! Solange ich von der verseuchten Platte keine Programme starte - warum sollte ich mir einen Virus einfangen? Versuch das mal zu erklären!

Dort habe ich eine aktuelle Version von
o.) Trend Micro Internet Security
o.) Avert Stinger von Mcafee
o.) Ad-aware von Lavasoft

Alles keine Antivirensoftware. Oder ist im Trend Micro-Dingens
auch ein AV-Tool enthalten?

Wieder: sehr firm scheinst Du mir nicht zu sein! Seit wann sind das keine Antiviren-Programme. Hast Du welche, die so viel besser sind?

Im übrigen: Was hast Du mit der Platte im anderen Rechner
gemacht? Hast Du sie mit diesen drei Tools gescannt? Was war
das Ergebnis? Welche weiteren Massnahmen hast Du ergriffen?

Hatte ich das nicht gesagt? Doch hatte ich! Zum Scannen benötige ich einen sauberen Rechner.
Ich bin immer noch auf der Suche nach einem Telepathie-Interface für den Zugriff auf die Daten auf der Platte. Solange ich das nicht gefunden habe, nehme ich einen sauberen REchner und lösche die Viren. Bin aber bereit zu lernen, wenn Du mir so weit überlegen bist!?

Was könnte das sein, welchen Plagegeist habe ich mir gefangen,
der von keinem Virus erkannt wird? Wie kann ich mir helfen?

Dein Rechner ist sehr wahrscheinlich mit mindestens einem
Virus o.ä. infiziert.

Ja, das sehe ich genau so, das hatte ich bereits gesagt!

Er ist also kompromittiert. Den Aussagen
von Antivirentools etc. ist daher prinzipiell nicht mehr zu
trauen, da das Virus diese Programme behindern bzw.
beeinflussen kann.

Nicht wenn ich die DAten von einem sauberen Rechner aus scanne!

Die sauberste Lösung wäre, den Rechner mit Hilfe von
vertrauenswürdigen Medien (welche, die garantiert virenfrei
sind…) komplett frisch aufzusetzen.

Dau hauts mich aber jetzt um! Sehe ich das richtig! Du beginnst jeden Rechner neu aufzusetzen, wenn dieser mit einem Virus infiziert ist/war.
Also von mir kriegst Du sicher keine Aufträge!

Im weiteren würde ich Dir empfehlen, Dich im Internet und
anderweitig mit dem Thema zu beschäftigen!

Gute Idee!

Lerne, wie Viren,
Würmer etc. funktionieren, wie sie auf Rechner gelangen
können. Damit Du in Zukunft das Risiko einer Infektion
vermindern kannst. Einige Lesetips:

Kann ich das von Dir lernen?

http://www.eisenheim.de/tipps2/surprise.html
http://www.malte-wetz.de.vu/index.php?viewPage=sec-c…
http://www.zotteljedi.de/misc/ielinks.html
http://www1.ku-eichstaett.de/urz/inkuerze/2_02/ieout…
http://www.terramatrix.de/svp/sicherheit1.html

Ich hoffe, ich bin Dir nicht zu hart an den Karren gefahren! Sollte das der Fall sein, dann tus mir leit! Nimms nicht persönlich! Ich danke Dir dafür, das Du helfen wolltes.

Leider hat mir das alles keine neuen Erkenntnisse gebracht.

Vielleicht noch ein paar Worte zu mir: Ich bin EDV-Techniker (seit 14 Jahre) und habe bereits mehr Viren entfernt, als die meisten Leute gesehen haben. In all den Jahren mußte ich nur eine handvoll PCs neu installieren weil diese nicht vernünftig zu reinigen waren.

Ich hatte gehofft, daß jemand diesen Virus bereits kennt, der bestimmte Programme sofort wieder schließt (cmd.exe, regedit.exe, …) wenn diese geöffnet werden.

Ich habe auf diesem Rechner insgesammt ca. 45 verschiedene Viren gefunden (und beseitigt). Die letzte 10 manuell, weil sie von keinem AV-Programm erkannt wurden.
Autoruns von Sysinternals leistet mir immer wieder gute Dienste dabei.

Dank und Gruß!
Herbert

Hallo Herbert

Ich habe hier eine Maschine, die mit mehreren Viren verseucht
war. Norton Antivirus konnte die Infektionen nicht verhindern.

Das sollte Dir zu denken geben.

Gut! Mir gibts zu denken, und was bringt mir das?

Nun, es sollte Dir klar werden, dass auch das beste Antivirentool nicht wirklich verhindern kann, sich doch etwas einzufangen.

Ob er es jetzt immer noch ist?

Sehr firm scheinst Du nicht zu sein! Solange ich von der
verseuchten Platte keine Programme starte - warum sollte ich
mir einen Virus einfangen? Versuch das mal zu erklären!

Du hast leider nicht erläutert, was Du genau gemacht hast mit der Platte im anderen Rechner.

Alles keine Antivirensoftware. Oder ist im Trend Micro-Dingens
auch ein AV-Tool enthalten?

Wieder: sehr firm scheinst Du mir nicht zu sein! Seit wann
sind das keine Antiviren-Programme. Hast Du welche, die so
viel besser sind?

Trend Micro Internet Security -> Entweder ist das eine Personal Firewall oder es ist vielleicht der Name eines Pakets, das eine PFW und ein Antivirentool und evt. noch etwas enthält. Falls es so ein Paket wäre, dann hättest Du recht.

Stinger ist kein Antivirentool. Es ist lediglich ein Tool, welches einige Plagegeister entfernen kann. Mehr nicht.

Und Adaware ist ein Tool, um Spyware zu entfernen.

Im übrigen: Was hast Du mit der Platte im anderen Rechner
gemacht? Hast Du sie mit diesen drei Tools gescannt? Was war
das Ergebnis? Welche weiteren Massnahmen hast Du ergriffen?

Hatte ich das nicht gesagt?

Nein, hast Du nicht.

Doch hatte ich! Zum Scannen
benötige ich einen sauberen Rechner.

Schön. Du hast aber nicht gesagt, was diese Tools allenfalls gefunden oder entfernt haben.

Er ist also kompromittiert. Den Aussagen
von Antivirentools etc. ist daher prinzipiell nicht mehr zu
trauen, da das Virus diese Programme behindern bzw.
beeinflussen kann.

Nicht wenn ich die DAten von einem sauberen Rechner aus
scanne!

Wenn Du die Daten mit einem Antivirentool mit aktuellen Virenpattern scannen würdest, könnte dieses Tool vielleicht erkennen, um was für einen Plagegeist es sich handelt.

Die sauberste Lösung wäre, den Rechner mit Hilfe von
vertrauenswürdigen Medien (welche, die garantiert virenfrei
sind…) komplett frisch aufzusetzen.

Dau hauts mich aber jetzt um! Sehe ich das richtig! Du
beginnst jeden Rechner neu aufzusetzen, wenn dieser mit einem
Virus infiziert ist/war.

Zitat von http://securityresponse.symantec.com/avcenter/venc/d…

Isolate infected computers quickly to prevent further compromising your organization. Perform a forensic analysis and restore the computers using trusted media.

Du siehst, sogar eine Firma wie Symantec empfiehlt im Zweifelsfall, den betroffenen Rechner neu aufzusetzen.

Ich hatte gehofft, daß jemand diesen Virus bereits kennt, der
bestimmte Programme sofort wieder schließt (cmd.exe,
regedit.exe, …) wenn diese geöffnet werden.

Dieses Verhalten ist zu unspezifisch, das können viele Plagegeister.

Ich habe auf diesem Rechner insgesammt ca. 45 verschiedene
Viren gefunden (und beseitigt). Die letzte 10 manuell, weil
sie von keinem AV-Programm erkannt wurden.

Was für welche? Wie hast Du die beseitigt? Hast Du Dir für jeden einzelnen detaillierte Informationen besorgt und die betreffenden Dateien, Registry-Einträge etc. von Hand entfernt? Falls ja, hättest Du einen enormen Aufwand betrieben und viel Zeit investiert. Da wäre eine Neuinstallation schneller und vermutlich effektiver gewesen.

Ausserdem stellt sich die Frage, wie 45 Viren (oder gar mehr) auf diesen Rechner gelangen konnten. Wer arbeitete mit diesem Rechner? Was hat diese Person ggf. falsch gemacht?

CU
Peter

Hallo Herbert

Ich bin zwar ein Blödi, aber manchmal hat der auch eine Idee:
Ich nehme mal an, das da von den Viren eine Datei (dll) beschädigt wurde. Versuche es doch mal mit einer Reparaturinstallation. Dort werden alle Dateien ersetzt.
Vorbeugend empfehle ich dir zukünftig immer eine BertPE mit aktuellen Virenscanner zur Hand zu haben. Damit brauchst du keine HD’s aus- und einbauen.

der Hinterwäldler

Hallo,

versuch mal den Taskmanager zu öffnen. Falls dieser sich wieder von selbst schließt hast Du den gleichen Virus wie ich. Auch die DOS-Box schloß sich gleich wieder.

Die von Dir erwähnten Programme sind meilenweit von einem Antivirenprogramm entfernt (es sei denn, bei Trendmicro wäre eins enthalten). An Deiner Stelle würde ich es auch nicht riskieren, eine offensichtlich verseuchte Platte in einen sauberen Rechner zu hängen. Aber jeder wie er mag.

Wenn Du nicht neu aufsetzen möchtes, lade Dir mal den Prozessexplorer von Systernals runter. Damit kannst Du den virulenten Task kicken. Danach z.B. Antivir installieren und die Viren löschen. Aber alles auf einem verseuchten Rechner. Denke das bringt nicht unbedingt die Sicherheit, die einen ruhig schlafen lässt.

Ciao

Hallo Peter!

Abend

Ich hoffe, ich trette Dir nicht zu nahe, aber eine große
Stütze scheinst Du mir nicht zu sein!

Warum?

Ich habe hier eine Maschine, die mit mehreren Viren verseucht
war. Norton Antivirus konnte die Infektionen nicht verhindern.

Norton ist Schlangenöl Software und kann nichts verhindern.

Gut! Mir gibts zu denken, und was bringt mir das?

Das du grundlegende Vorgehensweisen bei einer kompromittierung nicht ignorieren solltest.

Er ist also kompromittiert.

Die sauberste Lösung wäre, den Rechner mit Hilfe von
vertrauenswürdigen Medien (welche, die garantiert virenfrei
sind…) komplett frisch aufzusetzen.

Korrekt.

Dau hauts mich aber jetzt um! Sehe ich das richtig! Du
beginnst jeden Rechner neu aufzusetzen, wenn dieser mit einem
Virus infiziert ist/war.
Also von mir kriegst Du sicher keine Aufträge!

Du solltest jetzt aufhören hier herum zu Trollen

Im weiteren würde ich Dir empfehlen, Dich im Internet und
anderweitig mit dem Thema zu beschäftigen!

Gute Idee!

Ja,sehr gute Idee

Lerne, wie Viren,
Würmer etc. funktionieren, wie sie auf Rechner gelangen
können. Damit Du in Zukunft das Risiko einer Infektion
vermindern kannst. Einige Lesetips:

Kann ich das von Dir lernen?

Wenn du dir Mühe gibst ,vielleicht.

Ich hoffe, ich bin Dir nicht zu hart an den Karren gefahren!
Sollte das der Fall sein, dann tus mir leit! Nimms nicht
persönlich! Ich danke Dir dafür, das Du helfen wolltes.

Leider hat mir das alles keine neuen Erkenntnisse gebracht.

Dann ist dir nicht zu helfen.

Vielleicht noch ein paar Worte zu mir: Ich bin EDV-Techniker
(seit 14 Jahre) und habe bereits mehr Viren entfernt, als die
meisten Leute gesehen haben.

Du bist ein Held!

In all den Jahren mußte ich nur

eine handvoll PCs neu installieren weil diese nicht vernünftig
zu reinigen waren.

Respekt

Ich hatte gehofft, daß jemand diesen Virus bereits kennt, der
bestimmte Programme sofort wieder schließt (cmd.exe,
regedit.exe, …) wenn diese geöffnet werden.

Keine Ahnung.
Windows Code wird bei meinem OS nicht ausgeführt

Ich habe auf diesem Rechner insgesammt ca. 45 verschiedene
Viren gefunden (und beseitigt).

Hoffentlich hast du alle Backdoors schließen können.

Die letzte 10 manuell, weil
sie von keinem AV-Programm erkannt wurden.
Autoruns von Sysinternals leistet mir immer wieder gute
Dienste dabei.

Du weist nicht wirklich von was du sprichst,oder?

Norbert

Dank und Gruß!
Herbert

Hallo Andreas

versuch mal den Taskmanager zu öffnen. Falls dieser sich
wieder von selbst schließt hast Du den gleichen Virus wie ich.
Auch die DOS-Box schloß sich gleich wieder.

Wie kommst Du darauf, dass das das selbe Virus sein muss? Wenn sich der Taskmanager oder andere Programme sofort wieder schliessen, ist das ein Symptom. Dieses Symptom kann ohne Frage von mehreren Viren o.ä. verursacht werden.

Wenn Du niesen musst, kann das eine einfache Erkältung sein, oder aber eine Grippe. Oder einfach nur etwas Staub o.ä.

Wenn Du nicht neu aufsetzen möchtes, lade Dir mal den
Prozessexplorer von Systernals runter. Damit kannst Du den
virulenten Task kicken.

Und woran erkennt er den virulenten Task? Kann dieser Prozessexplorer die Prozesse vielleicht irgendwie kennzeichnen?

Denke das bringt nicht unbedingt die Sicherheit, die einen
ruhig schlafen lässt.

Vor allem: Selbst wenn man eine Anleitung zur Entfernung eines Virus brav befolgt, woher weiss man dann, dass wirklich alles von dem betreffenden Virus entfernt wurde?

Es ist erstaunlich, wieviel Aufwand für die manuelle Entfernung eines Plagegeistes mitunter investiert wird. Da wäre eine Neuinstallation sehr oft deutlich einfacher. Vor allem bei einem sinnvollen Backup-Konzept, wenn man etwa ein Image der Installation in sauberem Zustand gezogen hat…

CU
Peter

Hi,

Wie kommst Du darauf, dass das das selbe Virus sein muss? Wenn
sich der Taskmanager oder andere Programme sofort wieder
schliessen, ist das ein Symptom. Dieses Symptom kann ohne
Frage von mehreren Viren o.ä. verursacht werden.

Die Antwort sollte mehr den Effekt betreffen. Und da genau der beschriebene Effekt seit Kurzem bei vielen anderen auch auftritt, habe ich das mal so in den Raum gestellt ohne darauf pochen zu wollen.

Wenn Du niesen musst, kann das eine einfache Erkältung sein,
oder aber eine Grippe. Oder einfach nur etwas Staub o.ä.

Ja ja, ich hab´s ja kapiert. Ich denke man sollte nicht so haarspalterisch sein. Und um den Bogen zu spannen, wenn eine Grippewelle läuft und sehr viele davon betroffen sind und ich dann niese, dendiere ich als alter Paranoiker in diese Richtung und nicht in Richtung Staub.

Und woran erkennt er den virulenten Task? Kann dieser

Aus meiner Erfahrung heraus habe ich ihn erkannt, ohne in genau in Wort und Schrift zu kennen. Der erste Task, den ich ins Auge faste, war auch gleich der richtige. Und selbst wenn ich ein Systemtask erwischt hätte (diese sind aber sehr gut beschrieben im Prozessexplorer - lade mal das Teil und schaue wie genau es Dir Infos gibt, dann hättest Du das etwas eingeschränkter moniert), mehr als ein nicht mehr funktionierendes System zum Absturz zu bringen kann ich nicht.

Prozessexplorer die Prozesse vielleicht irgendwie
kennzeichnen?

Aus der Art der Fragestellung ersehe ich ein bisschen was Oberlehrerhaftes. Ohne die SW zu kennen, etwas zu vorschnell aus dem Fenster gelehnt. Natürlich steht da nicht - „Hallo, ich bin der Wurm-Task“ - sondern ähnlich wie im Taskmanager der Name des Prozesses. Aber mit sehr vielen zusätzlichen und nützlichen Infos. Z.B. wird je nach Kontext, in dem der Task läuft, eine farblich Unterscheidung getroffen. So kann man sehr schnell die verschiedenen Ebenen erkennen. Und je nach Erfahrung (sehe mir extrem oft die Prozessliste bei vielen verschiedenen Installationen an (beruflich repariere ich die Teile) fallen einem schon in einer Art Mustererkennung Prozesse auf, die so eigentlich unbekannt sind. Und wie gesagt, wenn man das so nicht kann, dann einfach kicken - was soll denn noch großartig passieren?

Denke das bringt nicht unbedingt die Sicherheit, die einen
ruhig schlafen lässt.

Vor allem: Selbst wenn man eine Anleitung zur Entfernung eines
Virus brav befolgt, woher weiss man dann, dass wirklich alles
von dem betreffenden Virus entfernt wurde?

Deswegen das mit dem ruhig schlafen… Beantwortet es selbst.

Es ist erstaunlich, wieviel Aufwand für die manuelle
Entfernung eines Plagegeistes mitunter investiert wird. Da
wäre eine Neuinstallation sehr oft deutlich einfacher. Vor
allem bei einem sinnvollen Backup-Konzept, wenn man etwa ein
Image der Installation in sauberem Zustand gezogen hat…

Im Gegensatz zu anderen maße ich mir nicht an, zu wissen, wie ein User sein System behandelt bzw. sichert (nicht persönlich nehmen). Und wenn er denn gar nichts in dieser Richtung unternimmt, ist mir das absolut egal. Ich gebe in meinem bescheidenen Rahmen Hilfestellung, wenn denn das Kind in den Brunnen gefallen ist. Hatte hier z.B. jemanden, der seit 4 Jahren keine Sicherung gemacht hat. Machst Du dann nichts, sondern maßregelst ihn, ob seiner Sorglosigkeit? Ihn hat es 3500,- € gekostet seine sehr wichtigen Daten wieder zu finden (Neine nein, nicht ich habe dies bewerkstelligt, sondern die Firma die auch die HDDs aus dem WTC in Arbeit hat). Und wenn er weiterhin keine Sicherung macht - mir persönlich völlig schnuppe.

Ciao

CU
Peter