Seltsamer Virus oder Trojaner

Hallöchen miteinander

Ich hab seit Kurzem zwei Probleme, die ich nicht lösen kann und von denen ich nicht weiß, ob sie eventuell zusammen hängen. Vor einigen Tagen fing es damit an, dass sich immer wieder der Cursor meiner Maus aufhängte, sich also nicht mehr bewegte. Einige Sekunden später wird dann der Bildschirm dunkel, aber auch nur für einen Augenblick. Wenn dann wieder das Bild erscheint, funktioniert der Cursor auch wieder. Hauptsächlich passiert es, wenn ich ein Dokument im Word, vom MS-Office 2003, erstelle oder bearbeite. Man könnte beinahe den Eindruck bekommen, als würde da jemand eine Momentaufnahme des Bildschirminhaltes knipsen, also ein Hardcopy. So wirkt es jedenfalls. Außderdem habe ich ganz offensichtlich einen hartnäckigen Freund auf der Festplatte, der immer wieder auftaucht, auch wenn ich ihn jedesmal mit Norton Internet Security platt mache. „Trojan.Brisv.Alinf“ nennt sich der Kumpel, aber ich habe noch keine eindeutige Beschreibung gefunden, was der tut und warum er sich so hartnäckig weigert, sich endgültig löschen zu lassen. Und eben… was mich brennend interessieren würde, wäre, ob die zuerst beschriebenen Probleme evnetuell mit diesem Trojaner zusammenhängen könnten? Hat vielleicht jemand ähnliche Erfahrungen damit gemacht? Wenn mir da jemand helfen könnte, wäre das super. Vielen Dank schonmal und nette Grüße aus dem Schwarzwald.
Micha0160

Und eben… was mich
brennend interessieren würde, wäre, ob die zuerst
beschriebenen Probleme evnetuell mit diesem Trojaner
zusammenhängen könnten?

Wer weiss… Aufgabe des Brisv ist u. a. das Nachladen weiterer Schädlinge, und möglicherweise ist eines dieser nachgeladenen Programme dafür verantwortlich. Ist aber egal, dein Rechner ist das jetzt eh nicht mehr, soll sich doch der Hijacker, der neue Besitzer darum kümmern.

Oder du holst dir dein Eigentum zurück, indem du die Systemplatte plättest und ein neues Betriebssystem installierst.

Gruß

Im Großen und Ganzen ist hermann zuzustimmen. Ist dein Rechner erstmal infiziert, ist es zu spät. Denn du kannst nie wissen inwiefern sich der Schädling auf deinem System breit macht, deine AV-Software manipuliert oder sonstwas auf bzw. von deinem System aus treibt.

die von dir beschriebenen Macken können aber unabhängig vom Schädlingsbefall auch auf einen Hardware-Defekt hindeuten - möglicherweise auf defekten Arbeitsspeicher. Falls du also nach der Neuinstallation noch die gleichen Probleme hast, solltest du mal deine Hardware checken.

Gruß, djhooker

Hallo,
für dein Trojaner-Problem empfehle ich kein Plattmachen sondern eine Desinfektion; man schießt nicht mit Kanonen nach Spatzen!

http://www.freeware.de/download/symantec-trojanbrisv…

Grüße Culles

Dummes Geschwätz

für dein Trojaner-Problem empfehle ich kein Plattmachen
sondern eine Desinfektion; man schießt nicht mit Kanonen nach
Spatzen!

[MOD: Teil wegen Beleidigung gelöscht]

Es wurde bereits mehrfach versucht, diesen Trojaner zu entfernen. Dies ist nicht gelungen, das Teil ist also offenkundig quicklebendig. Es ist daher zwingend anzunehmen, dass auch die Schadfunktionen dieses Trojaners, nämlich u. a. weiteren Schadcode nachzuladen, fröhlich und bei bester Laune ihren Dienst getan haben und weiterhin tun. Jede andere Annahme wäre nicht leichtsinnig, sondern schlicht dumm.

Ein ‚Removal Tool‘ welches laut Hersteller einzig und allein auf diesen Wurm ausgelegt ist, wird also garkeinesfalls irgendeinen der nachgeladenen Schädlinge entfernen. Die werden vielmehr weiterhin ungestört ihren Aufgaben nachkommen.

Es gibt aber einen sehr einfachen und sicheren Weg, diese zu 100% zu entfernen: Die Neuinstallation.

Nachgeladene Schadware ist nicht erkennbar, das Removal Tool wird nicht von Laien, sondern von Sicherheitsexperten empfohlen. Die Bedrohung durch den Virus wird als gering eingestuft.
Insofern handelt es sich nicht um geistigen Dünnschiss, und dein Plattmachempfehlung kann leider dazu führen, dass wichtige, nicht gesicherte Daten gelöscht werden (leider soll es ja Zeitgenossen geben, die keine Datensicherung machen), für den du natürlich bereit bist zu haften.
Mich als denkresistent zu bezeichnen und zu unterstellen, dass ich nicht in der Lage bin, deine falsche Behauptung zu begreifen, dass es bisher nicht gelungen sei, den Trojaner zu entfernen, halte ich schlichtweg für unverschämt. Frechheiten, Unterstellungen und Fehlinformationen ersetzen keine mangelnde Argumente.
Im Übrigen ist auch bei einer Neuinstallation nicht auszuschließen, dass Bootviren weiterhin vorhanden sind, also wenn schon, dann sollte man auch einen neuen MBR schreiben.
Jedes Problem lässt sich verschieden angehen und in der Regel auch lösen; eine Diskussion darüber und ein Abwägen der Maßnahmen ist durchaus sinnvoll, aber nicht auf deinem Niveau.

Culles

Äh… nö

Nachgeladene Schadware ist nicht erkennbar, das Removal Tool
wird nicht von Laien, sondern von Sicherheitsexperten
empfohlen.

When opened in Windows Media Player the infected files cause the 
program to connect to a malicious URL which may result in <u>more <br>malware being downloaded</u> on to the compromised computer.

^{Quelle: http://www.symantec.com/security_response/writeup.js…}

Im Klartext:
Das Ding lädt sehr wohl Schadsoftware nach. Und die wird von keinem dieser Removal Tools entfernt und daher lassen sich solche Infektionen nicht mehr „entfernen“. Genau das hast du abgestritten und hermann dagegen richtig gesagt.

Die Bedrohung durch den Virus wird als gering eingestuft.

Mein Gott… du hast leider keine Ahnung was die mit Bedrohung meinen. In das Bedrohungs-Rating fließt u.a. die Verbreitung des Virus mit ein. Das nützt aber jemandem der sich das Ding eingefangen hat leider absolut gar nichts.

_ Category 2 - Low
Threat type characterized either as low or moderate wild threat (but reasonably harmless and containable) or non-wild threat characterized by an unusual damage or spread routine, or perhaps by some feature of the virus that makes headlines in the news.
* Damage: High
* Wild: Low or Moderate_
_{Quelle: http://www.symantec.com/security_response/severityas…}

Nochmal im Klartext: Eine Einstufung als „Low“ z.B. von Symantec sagt noch lange nicht aus, dass das Ding nicht gefährlich ist und ist in keinster Weise ein Indiz dafür, dass man sowas einfach mal „entfernen“ kann oder sich da was „harmloses“ eingefangen hat.

Nur mal zu deiner Information:
Auch der Wurm Conficker der für schwere Schäden gesorgt hat wird mit dem Risk-level „Low“ eingestuft: http://www.symantec.com/security_response/writeup.js…

Insofern handelt es sich nicht um geistigen Dünnschiss

Doch das tut es.

und dein Plattmachempfehlung kann leider dazu führen, dass
wichtige, nicht gesicherte Daten gelöscht werden

Darauf wird der Benutzer sowohl hier im Forum als auch bei der Neuinstallation seines Betriebssystems hingewiesen. Dagegen wird von Leuten wie dir nicht darauf hingewiesen, dass ein solches Removal-Tool purer Blödsinn ist bei Malware, die andere Schadsoftware nachladen kann. Und das ist hier - siehe oben - klarerweise der Fall.

Mich als denkresistent zu bezeichnen und zu unterstellen, dass
ich nicht in der Lage bin, deine falsche Behauptung zu
begreifen, dass es bisher nicht gelungen sei, den Trojaner zu
entfernen, halte ich schlichtweg für unverschämt. Frechheiten,
Unterstellungen und Fehlinformationen ersetzen keine mangelnde
Argumente.

Klarer Fall von Eigentor:
Derjenige der hier offensichtlich falsche Behauptungen verbreitet bist du, und sonst keiner.

Im Übrigen ist auch bei einer Neuinstallation nicht
auszuschließen, dass Bootviren weiterhin vorhanden sind, also
wenn schon, dann sollte man auch einen neuen MBR schreiben.

a)
Bei der Neuinstallation von welchem Betriebssystem bitte wir der MBR nicht neu geschrieben? Bei Windows kann man sich das nicht mal aussuchen.

b)
Der Trojaner um den es in diesem Fall geht ist kein Bootvirus.

Hallo,
es wurde nicht von mir bestritten, dass Malware nachgeladen werden kann. Der Virenscanner hat aber keine gefunden und ich gehe mal davon aus, dass da auch nichts ist.
Bei der Installation eines Betriebssystem ist durchaus vorstellbar, dass eine vorhandener MBR nicht zwangsläufig neu geschrieben wird. Ansonsten wäre eine Parallelinstallation mehrerer Betriebssysteme sehr problematisch.
Ich habe nicht behauptet, dass der Trojaner ein Bootvirus ist. Der Trojaner könnte aber einen Bootvirus nachgeladen haben, wenn man unterstellt, dass der Virenscanner versagt hat. Interessanterweise konnte ich bisher allerdings nicht herausfinden, welche Malware der hier besprochene Trojaner nachlädt, für Hinweise bin ich dankbar.

Dein Symantec-Links bewertet übrigens die Conficker-Bedrohung nicht wie von dir angegeben als „low“, sondern in allen Punkten als „Medium“.

Ich zitiere dich: „… Dagegen wird von Leuten wie dir nicht darauf hingewiesen, dass ein solches Removal-Tool purer Blödsinn ist bei Malware, die andere Schadsoftware nachladen kann …“. Ich habe doch darauf hingewiesen, dass nachgeladene Schadware nicht erkennbar ist (siehe dein Zitat). Und aus meiner Sicht genügt daher das Removal-Tool von Symantec.
Bitte lasse andere Leute aus dem Spiel. Ich gebe hier nur meine persönliche Empfehlungen weiter, die ich nach besten Wissen und Gewissen abgebe.
Culles

es wurde nicht von mir bestritten, dass Malware nachgeladen
werden kann. Der Virenscanner hat aber keine gefunden und ich
gehe mal davon aus, dass da auch nichts ist.

Das ist aber eine sehr wagemutige Einstellung.

Bei der Installation eines Betriebssystem ist durchaus
vorstellbar, dass eine vorhandener MBR nicht zwangsläufig neu
geschrieben wird.

Bei welchem denn?

Ansonsten wäre eine Parallelinstallation
mehrerer Betriebssysteme sehr problematisch.

Wenn du Windows installierst, dann ist es Windows auch vollkommen egal, welche Betriebssysteme sonst noch da drauf sind. Es klatscht einfach seinen MBR ungefragt drüber. Wenn du ein Linux installierst, dann überschreibt es den MBR ebenfalls, ist allerdings so nett auch eine vorhandene Windows-Partition mit in den Bootloader aufzunehmen.

Interessanterweise konnte ich bisher allerdings nicht
herausfinden, welche Malware der hier besprochene Trojaner
nachlädt, für Hinweise bin ich dankbar.

Das weiß ja keiner. Das ist ja nicht fest einkodiert sondern wird von demjenigen der den Trojaner „betreibt“ nach eigenem Belieben festgelegt. Deshalb ist es ja gerade nicht möglich, das Zeug zu entfernen, weil das oft Eigenkompositionen des Betreibers sind von denen auch die Antiviren-Hersteller keine Ahnung haben. Das wechselt oft innerhalb kürzester Zeit und die AV-Hersteller müssen ja erstmal solche Malware in Honeypots etc fangen, um Signaturen entwickeln zu können.

Dein Symantec-Links bewertet übrigens die Conficker-Bedrohung
nicht wie von dir angegeben als „low“, sondern in allen
Punkten als „Medium“.

Lies doch bitte die Überschrift:
„W32.Downadup
Risk Level 2: Low“

Ich habe doch darauf hingewiesen, dass nachgeladene
Schadware nicht erkennbar ist (siehe dein Zitat). Und aus
meiner Sicht genügt daher das Removal-Tool von Symantec.

Also das verstehe ich beim besten Willen nicht:
Einerseits sagst du, dass nachgeladene Schadsoftware nicht entfernt ist und daher weiterhin auf dem PC aktiv bleibt. Im gleichen Atemzug folgerst du dann, dass der Removal-Tool trotzdem ausreichend ist zur Entfernung. Das entzieht sich jeglicher Logik…

Hallo,

lies einfach noch mal in aller Ruhe was ich geschrieben habe.

Belassen wir es dabei!

Culles

Lieber Micha,

im Artikelbaum siehst du dass sich die Experten streiten. Meine Meinung habe ich ja schon gesagt - s. u.

Letztlich musst du selbst entscheiden - Auf Nummer sicher gehen (Format C, danach Neuinstallation) oder bequem gewisse Risiken in Kauf nehmen, wenn man andere Software zum Entfernen nutzt.

Bei letzterem solltest du jedoch bedenken: Genauso wie Viren sind AV-Programme und Removal-Tools Software, die von Menschen geschrieben wurde und demnach nur so „clever“ sind, wie es der Programmcode erlaubt. Soll heißen: Viren oder ungewöhnliches Systemverhalten können von AV-Software nur erkannt werden, wenn diese „weiß“, dass Programm x infiziert/dass Programm x ein Virus ist. Wissen und Unwissen bezieht die AV-Software über die AV-Signaturen des Herstellers. Virenautoren programmieren ihre Viren aber heutzutage oft so, dass diese verhindern, dass AV-Programme die entsprechenden AV-Signaturen nachladen. Ergebnis: Dein AV-Programm ist blind.

Du kannst also nicht 100% sicher sein, dass du virenfrei bist, wenn dir deine AV-Software meldet dass der Virus oder eine schadhafte Datei gelöscht ist.

Diese Sicherheit hast du nur, wenn du deine Festplatte formatierst und dein System neu aufsetzt.

By the way: du solltest dir im Klaren sein, dass ein Virenbefall unterschiedlich „heftig“ ausfallen kann. Im günstigsten Fall wirst du beim Öffnen deines Browsers vielleicht nur auf vermeintliche XXX-Sites geleitet. Ungünstiger wird es, wenn nun sämtliche auf deinem PC gespeicherten Passwörter (Online-Banking, Login-Daten, Kreditkarten-Daten, WLAN-Keys) ausgespäht werden und daraufhin jemand auf deine Kosten groß einkauft oder gleich deine Konten abräumt. Davon bekommst du erst was mit, wenn du das nächste Mal bei der Bank bist oder die Herren in Grün vor der Tür stehen. Die könnten allerdings auch aus einem anderen Grund gekommen sein: Dein Rechner wurde als Quelle für Cyberkriminalität ausgemacht (wobei Spamversand noch das harmloseste ist), weil er Teil eines Botnetzes ist, welches von Osteuropa oder China aus gesteuert wird.

Und du hast die ganze Zeit nichts mitbekommen. Aber immerhin kannst du dann sagen, dass dein AV-Programm vor 6 Monaten den Virus gelöscht hat.

In diesem Sinne
djhooker

im Artikelbaum siehst du dass sich die Experten streiten.

Naja, es sind sich drei „Experten“ ziemlich einig, und lediglich einer behauptet was anderes. Expertenstreit ist für mich was anderes.

Hallo Leute

Danke erst Mal, für die umfangreiche Hilfe. Ich hoffe sehr, es lebt überhaupt noch jemand und ihr habt euch nicht gegenseitig masakriert. Also soviel hab ich (als einfacher User) nun verstanden, dass es in jedem Fall besser ist, Windows neu aufzusetzen. Ich hoffe, meine Recovery-CD reicht dazu aus, denn es war eine OEM-Version, die auf dem Rechner drauf war, als ich ihn kaufte. Meine Privatdateien sichere ich regelmäig, auch wenn das jedesmal Stunden dauert, weil ich dazu zehn 700MB CD´s dazu brauche. Die letzte, von vor drei Monaten, müsste auch sauber sein, da es da noch keine Probleme gab.

Gut, also nochmals vielen Dank und dann werd ich mnich gleich mal dran begeben.

Grüsse aus dem Schwarzwald
Micha0160

Moin!

Naja, es sind sich drei „Experten“ ziemlich einig, und
lediglich einer behauptet was anderes.

Mach’ vier draus. Der einzig sichere Weg ist nunmal, das System neu aufzusetzen. Und da kann man sich das Leben leichter machen, wenn man seine System- und ggf. Programmpartition von Zeit zu Zeit sichert (z. B. mit Acronis True Image). Wird ein Befall festgestellt, oder hat man auch nur den Verdacht, spielt man seine Sicherung in fünf Minuten zurück. Keine Aktivierung, keine Seriennummerneingabe und auch kein endloses Herunterladen und Installieren von Updates, keine Treibersuche und -installation, kein langes Gefrickel an den Benutzereinstellungen, keine Installiererei von Anwendungen, es ist alles sofort wieder da.

Eine Komplettinstallation und Einrichtung von WinXP beispielsweise kann schonmal einen Tag dauern. Zieht man etwa alle drei Monate (und jedesmal vor der Installation „suspekter Software“) ein Image, steht man im Fall des Falles gut da.

Sinnvoll ist es dabei freilich, zumindest eine System- und eine Datenpartition zu haben. Die kann man beim jetzt notwendigen Neuaufsetzen ja gleich anlegen.

Übertriebene Vorsichtsmaßnahmen? Ja, vielleicht, aber wirklich großer Aufwand steckt nicht dahinter. Wenn ich Rechner im Bekanntenkreis neu aufsetzen soll, gehe ich genauso vor, was mir inzwischen schon einige Tage langweil- und -wieriger Arbeit gespart hat.

Munter bleiben… TRICHTEX

Hallo Micha,

wenn du dein System neu aufsetzt, vergiss nicht sämtliche Passwörter zu ändern, die auf dem PC bis dato gespeichert waren. Online-Banking- und andere „externe“ Passwörter natürlich erst von einem „frischen“ System aus

So long
djhooker